Win32:Sality-AM Fermé

Question

Bonjour,
je fait sans doute pas dans l'originalité mais voici mon rapport fair avec hitjackthis...c bien toute ces lignes, mais je fai quoi maintenant...aidez moi!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:11:19, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\DOCUME~1\Julien\LOCALS~1\Temp\winmnllws.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\12b22.exe
C:\WINDOWS\system32\134f5.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Julien\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe "C:\DOCUME~1\Julien\LOCALS~1\Temp\winmnllws.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD62154C-B950-460D-B611-A4897807BF69}: NameServer = 192.168.1.1,80.10.246.2
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

g!rly · Accepted Answer

geoffrey,

tu comprends pas qu´il est infecté par sality ???

l´infection attaque chaque .exe qu´il va lancer...

qu´est ce que tu veux faire avec navilog ou rogueremover ?

excuse, mais t´es vraiment a la masse !

geoffrey5 · Answer

Salut !!

Télécharger sur le bureau malware bytes : https://www.besttechie.com/resources/malwarebytes/
 

= double-clic sur mbam-setup pour lancer l'installation 
= Installer simplement sans rien modifier 
= Quand le programme lancé ==> cocher Exécuter un examen complet 
= Clic Rechercher 
= Eventuellement décocher les disque à ne pas analyser 
= Clic Lancer l'examen 
= En fin de scan , si infection trouvée 
==> Clic Afficher résultat 
= Fermer vos applications en cours 
= Vérifier si tout est coché et clic Supprimer la sélection 

un rapport s'ouvre le copier et le coller dans la réponse 

Puis redémarrer le pc !!

Et refais un rapport hijackthis

^^Marie^^ · Answer

'lu

Pas d'anti virus
Pas de pare feu

Ce que j'appellerai rouler à tombeau ouvert

jkl54 · Answer

voila le rapport de malware mais il a rien trouver d'infecter!



Malwarebytes' Anti-Malware 1.15
Version de la base de données: 836

01:11:23 07/06/2008
mbam-log-6-7-2008 (01-11-23).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 71043
Temps écoulé: 22 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

geoffrey5 · Answer

télécharger sur le bureau Navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Si votre antivirus s'affole , le désactiver 
= double-clic dessus pour l'installer et le lancer 
Quand installé 
= taper F 
= Appuyer sur une touche jusqu' arriver aux options 
= Choisir Recherche ( = taper 1 ) 
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes 

un rapport : fixnavi.txt 
dans ==> C : 
le copier et le coller dans la réponse

jkl54 · Answer

et j'ai pas eu de truc supprimer la selection


voila le rapport de hijackthis (jcroi sa a pas du changer grand chose, mais bon comme j'y connais rien...)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:18:35, on 07/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\DOCUME~1\Julien\LOCALS~1\Temp\winmnllws.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Julien\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe "C:\DOCUME~1\Julien\LOCALS~1\Temp\winmnllws.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD62154C-B950-460D-B611-A4897807BF69}: NameServer = 192.168.1.1,80.10.246.2
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

jkl54 · Answer

Search Navipromo version 3.5.8 commencé le 07/06/2008 à  1:24:20,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Julien" 

Mise à jour le 06.06.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Julien\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Julien\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Julien\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Julien\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Julien\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 07/06/2008 à  1:27:15,17 ***

geoffrey5 · Answer

ok maintenant : 

Note bien cette manipulation car tu n auras pas acces au forum en mode sans échec !!

Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage 
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel 
-------------- 
- Double-Clic navilog1 
- Choisir cette fois option 2 taper 2 
note : le bureau disparaît 
-Redémarrage du PC en mode normal 

- mettre le rapport dans la réponse

ensuite refais un rapport hijackthis, je repasserai demain pour vérifier..Bonne fin de soirée

Utilisateur anonyme · Answer

geoffrey5 pas besoin de lancer l'option 2 de navilog ^^

Fais lui plutôt installer un antivirus et un pare feu comme la préconisé la grande ^^Marie^^ (cf post2 :) )

g!rly · Answer

Bonsoir a tous,

Sality a pour particularité de s´attaquer a tout exe lancé et de l´infecter a son tour...

Jkl54, 

Est ce le cas ?

Qui t´as detecté sality ?

@+

jkl54 · Answer

alors de toute maniere jarivve pas a mettre en oeuvre la manoeuvre puisque je n'arrive pas a demarer le mode sans echec...kan je valide louverture, l'ecran bleu s'affiche une fraction de seconde et l'ordi redemarre!!!  

sinon je sais pas trop si c'est lui ni quoi ni comme, mais il est vrai que beaucoup de truc plante et mem windows plante frequemment!!!

et c'est Avast  qui me la detecter avec 3 ou 4 autres Win32 dont je ne me souvient plus les noms;;;

g!rly · Answer

re,

evite de lancer quoi que ce soit pour le moment a part ot_move it 

supprime ceci :

C:\WINDOWS\system32\12b22.exe
C:\WINDOWS\system32\134f5.exe

si tu n´y arrives pas :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\WINDOWS\system32\12b22.exe
C:\WINDOWS\system32\134f5.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

dis moi si tu arrive a redemarrer en mode sans echec apres ceci ...

@+

jkl54 · Answer

luder-F et trojan-gen les 2 otre virus selon avast...
g fai la suprression jessai me redemarage!

g!rly · Answer

post le rapport de ot_move it stp
il est sirtué ici :
C:\\_OTMoveIt\MovedFiles
@+

jkl54 · Answer

donc g supprimer les 2 truc ke tu ma dit mais sa na pas pour autant redemerrer en mode sans echec

g!rly · Answer

tu as le rapport ?
C:\\_OTMoveIt\MovedFiles

jkl54 · Answer

C:\WINDOWS\system32\12b22.exe moved successfully.
C:\WINDOWS\system32\134f5.exe moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06072008_022729

g!rly · Answer

ok

instale antivir et fais un scan avec les reglages ci dessous et post le rapport ici stp

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
ceux qui ne voie pas root kit search : clcik sur le parapluie dans ta barre des tache > dans la fenetre d´antivir click sur local protection click en suite sur scanner
dans la fenetre de droite : tu a rootkit search vers le bas > tu developpe en appuyant sur le petit +
et coche tes disques...
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

c´est long et fastidieux, mais...

@+

g!rly · Answer

Edit :

si tu as avast, je te demande car il n´est pas visible dans ton rapport hijack this, desinstal le avant d´ainstaller antivir...

jkl54 · Answer

AntiVir PersonalEdition Classic
Report file date: samedi 7 juin 2008  02:46

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         Julien
Computer name:    ASUS

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 12:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 11:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 14:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes  13/09/2007 13:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes  13/09/2007 13:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes  17/09/2007 16:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 06:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03/08/2007 07:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 06:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 06:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 11:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 11:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Rootkit search
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp
Logging..........................: high
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Scan memory......................: off
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Expanded search settings.........: 0x00300922

Start of the scan: samedi 7 juin 2008  02:46

Starting search for hidden objects.
'277213' objects were checked, '0' hidden objects were found.


End of the scan: samedi 7 juin 2008  02:49
Used time: 02:42 min

The scan has been done completely.

      0 Scanning directories
      0 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      0 Files not concerned
      0 Archives were scanned
      0 Warnings
      0 Notes
 277213 Objects were scanned with rootkit scan
      0 Hidden objects were found

g!rly · Answer

aucun fichier n´a ete scanné antivir a juste effectué une recherche rootkit...

click sur le parapluie dans la barre des taches > la fenetre d´antivir va s´ouvrir > la tu click sur scan system now...

@+

jkl54 · Answer

oups ;)

g!rly · Answer

ca arrive...
je vais arreter maintenant
je repasserais demain`
les autres aussi surement
bonne nuit`

jkl54 · Answer

j'ai fait ignorer a chaque fois qu'il trouvais de l'anormalité, comme je savais pas trop.

g!rly · Answer

non tu mets en quarantaine...

jkl54 · Answer

voila le scann ke j'ai recommencer en mettant tou en quarantaine


AntiVir PersonalEdition Classic
Report file date: samedi 7 juin 2008  02:53

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    ASUS

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 12:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 11:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 14:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes  13/09/2007 13:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes  13/09/2007 13:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes  17/09/2007 16:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 06:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03/08/2007 07:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 06:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 06:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 11:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 11:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: samedi 7 juin 2008  02:53

Starting search for hidden objects.
'38346' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'winmnllws.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\DOCUME~1\Julien\LOCALS~1\Temp\winmnllws.exe'
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
23 processes with 23 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '21' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\Julien\Application Data\Microsoft\Installer\{051E7B99-6D35-4905-BAF3-740893EF657A}\Icon051E7B992.exe
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\Documents and Settings\Julien\Application Data\Microsoft\Installer\{051E7B99-6D35-4905-BAF3-740893EF657A}\Icon051E7B993.exe
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\Documents and Settings\Julien\Application Data\Microsoft\Installer\{457791C5-D702-4143-A7B2-2744BE9573F2}\NewShortcut1_5B69D3033CA54B39B5ECE7D051297E77.exe
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\Documents and Settings\Julien\Local Settings\Temp\winmnllws.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\MOVTEK\MOVTEK.EXE
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\MOVTEK\Uninstal.exe.vir
      [DETECTION] Contains detection pattern of the Windows virus W32/Luder.A
      [WARNING]   The file was ignored!
C:\System Volume Information\_restore{2B77CE41-3805-473F-B3EA-C47B1C2FABC5}\RP40\A0039169.dll
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\System Volume Information\_restore{2B77CE41-3805-473F-B3EA-C47B1C2FABC5}\RP40\A0039170.sys
      [DETECTION] Is the Trojan horse TR/Drop.Warezov.A.1
      [WARNING]   The file was ignored!
C:\System Volume Information\_restore{2B77CE41-3805-473F-B3EA-C47B1C2FABC5}\RP40\A0040168.dll
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\System Volume Information\_restore{2B77CE41-3805-473F-B3EA-C47B1C2FABC5}\RP40\A0040169.sys
      [DETECTION] Is the Trojan horse TR/Drop.Warezov.A.1
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\106f0.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\10bd2.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\116939c.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\12507.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\12b92ac.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\15a3cb.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\15fbde.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\1627c0.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\2a989a.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\2b45b2.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\2b70f8.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\3f92d7.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\40a188.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\54863e.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\55e532.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\69e03f.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\6b21c8.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\7f2acf.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\805d73.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\948935.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\a122.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\a1ed.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\aa33e6.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\afb8.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\bfcc57.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\ceef47.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\f116.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\NeroCheck.exe
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\wmdrtc32.dll
      [DETECTION] Contains detection pattern of the Windows virus W32/Sality.s
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\wmdrtc32.dl_
      [DETECTION] Is the Trojan horse TR/Drop.Warezov.A.3
      [WARNING]   The file was ignored!
C:\WINDOWS\system32\wmdrtc32.dl_
  [0] Archive type: MSCOMPRESS
  --> wmdrtc32.dl
      [DETECTION] Contains detection pattern of the Windows virus W32/Saltiy.S
      [WARNING]   The file was ignored!
C:\_OTMoveIt\MovedFiles\06072008_022729\WINDOWS\system32\12b22.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!


End of the scan: samedi 7 juin 2008  03:16
Used time: 22:51 min

The scan has been done completely.

   4249 Scanning directories
 150636 Files were scanned
     13 viruses and/or unwanted programs were found
     30 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 150623 Files not concerned
    942 Archives were scanned
     42 Warnings
      0 Notes
  38346 Objects were scanned with rootkit scan
      0 Hidden objects were found

jkl54 · Answer

voila sur ce je reviendrai sans doute pas avant dimanche soir...donc en attendant je vous remercie quand meme j'espere que vous trouverai solution a mon probleme d'ici la...lol

donc un petit point: - toujours ce virus a la con (entre autres)
                            -  pas moyen de demarrer en mode sans echec
                            - et ca c'est nouveau, windows ne detecte plus mon lecteur CD/DVD

aller bon week end
a+

geoffrey5 · Answer

Salu!

Tu n avais qu à pas faire ce que les autres te disaient de faire..

Tu pouvais essayer de faire le nettoyage de navilog en mode normal.

Et on n installe pas un nouvel antivirus avant de désinfecter totalement le pc des malwares !

Essais avec ceci :

télécharge rogueremover à cette adresse : http://www.malwarebytes.org/rogueremover/free/rr-free-setup.exe

C est un programme en anglais, Si aucune mise à jour n'est disponible le message There are no program updates available apparaît.

Si d'éventuelles mises à jour pour la base de données est disponible, le message There is a newer version of the databases available, please select Download apparaît. 
Cliquez sur le bouton OK.

Cliquez sur le bouton Download de la nouvelle fenêtre.
 
La mise à jour se télécharge et s'installe, une fois terminée, la popup Database update complete apparaît. 
Cliquez sur le bouton OK. 
Le menu Scan lance un scanne de l'ordinateur
 
Programs Targeted ouvre la liste des programmes visés par RogueRemover 
Exclude List permet d'exclure des programmes à supprimer par RogueRemover 
Check for updates à droite permet de mettre à jour le logiciel. 

Le scan donne sous forme de liste les éléments néfastes détectés.

Ces derniers sont automatiquement coché.

Il suffit de cliquer sur le bouton Remove Selected pour procéder à la suppression.

Une popup vous demande si vous désirez envoyer le résultat d'analyse à RogueNET. Aucune information personnelle n'est envoyée.
Cliquez sur Yes pour accepter, No pour refuser.

Une fois la suppression effectuée, une fenêtre vous indique qu'un rapport a été généré.
Ce dernier est placé dans le dossier RogueRemover, par défaut C:\Program Files\RogueRemover
Une fois le nettoyage terminé, un rapport va s'ouvrir sur le Bloc-Note.

Copier/coller le rapport dans la réponse et refaire un rapport hijackthis.

geoffrey5 · Answer

jkl54 : Va faire des analyses antivirus en ligne à cette adresse : 

http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php

Les deux premiers savent désinfecter !!

Utilisateur anonyme · Answer

hi hi hi navilog :

pourquoi le repasser puisqu il n a rien trouvé !!!!

MDR !!

Utilisateur anonyme · Answer

le signe le plus evident d un cancer social .... c est la disparition du sens de l humour .....

Utilisateur anonyme · Answer

xD on ce moque pas des gens ^^Marie^^ et Chiquitine29  :)

Sinon jkl54, sincèrement je te conseillerai de suivre les instructions de g!rly, ^^Marie^^ et Chiquitine29 ( et surement Lyonnais92 je suis sur qu'il va passer ici xD)  avec eux tu es entre de très très très bonne main. Ils sont dans le métier depuis un très bon moment déjà alors pas besoin de remettre en doute ce qu'ils disent ;) 

Pour geoffrey5 je pense que tu devrais apprendre à lire les logs de chaque logiciel que tu utilises ;) (dans ce cas la navilog n'avait rien détecter donc aucune utilité de lancé l'option2 sauf perdre du temps ^^ )

Voila voila :)

g!rly · Answer

Merci tenshi002`

Tu serais devin ? > intervention de Lyonnais92 ? LOL

Bon week end ;)

Utilisateur anonyme · Answer

perso non mais il intervient toujours dans ce genre de situation xD (jvais lui demander exprès de venir mdr )

g!rly · Answer

;-)

jkl54 · Answer

vous m'embrouiller!!!
kesk jdoi fair moi je C +!!!

Utilisateur anonyme · Answer

salut

ahh les filles sont moqueuses lool


lance ceci stttp :


1) Imprime ces instructions ou copie les sur bloc note car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAN en cliquant sur Quitter.


colle le rapport stp

bises

jkl54 · Answer

je crois que geoffrey5 m'avait deja fait fair un truc  comme sa avec ce log mais bon voila...


Malwarebytes' Anti-Malware 1.15
Version de la base de données: 841

01:08:05 09/06/2008
mbam-log-6-9-2008 (01-08-05).txt

Type de recherche: Examen rapide
Eléments examinés: 38920
Temps écoulé: 11 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

re lance ceci pour voir stp:

     Télécharge « clean.zip »
    http://www.malekal.com/download/clean.zip
    •- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".
     
    •- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
    •- Ouvre le dossier « clean » qui se trouve sur ton bureau.
    •- Double-clic sur « clean.cmd ».
    Une fenêtre noire va apparaître, choisis l’option 2.

    Clean va travailler.
    •- Redémarre normalement
    •- Poste qui se trouve ici C:\rapport_clean.txt.



(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

bises

jkl54 · Answer

j'ai deja fait un truc comme sa du moins essayer puisque le mode sans echec ne demarre toujours pas plus!

geoffrey5 · Answer

Funnygirl : pourquoi lui refaire télécharger et analyser avec malwarebytes puisqu il n avait déjà rien trouvé  mdr

jkl54 : si j étais toi, je n hésiterais pas à reformater, tu serais tranquille avec cette saleté de virus

jkl54 · Answer

ouais mais j'ai deja reformater y'a peu de temps a cause de ca, et finalement je le rechoppe alors c'est pour sa que je voudrais une facon de virer cette merde...

geoffrey5 · Answer

C est que c est un virus que tu as chopper en téléchargeant un logiciel et que tu as réinstallé apres l avoir reformaté :s

Tu devrais scanner chaques programmes avant de le réinstaller apres le reformatage

jkl54 · Answer

ok je prends  note de sa...mais en attendant si une solution est possible...parce que j'ai pas envie de formater!

Utilisateur anonyme · Answer

si possible on ne propose pas de solution de facilité avant d'avoir tout essayé, surtout que ce sont les anciens qui interviendront soit directement soit indirectement. jlk54 ne t'inquiète pas, à chaque problème il y a une solution. Sur ce je continu à suivre le post.

Utilisateur anonyme · Answer

Re sinon en regardant le log hijack j'ai un petit doute,

peux tu renommer ton fichier hijackthis : 

C:\Documents and Settings\Julien\Bureau\HiJackThis.exe

en 

C:\Documents and Settings\Julien\Bureau\monhijack.exe ( clique droit sur HiJackThis.exe puis renommer et la tu tapes monhijack, l'extension sera mis tout seul )

ensuite poste nous un nouveau rapport hijack

jkl54 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:24:44, on 10/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Julien\Bureau\monhijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD62154C-B950-460D-B611-A4897807BF69}: NameServer = 192.168.1.1,80.10.246.2
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

peux tu redémarrer en mode sans echec ?

sinon essaye ceci :
http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html

geoffrey5 · Answer

Salut !!

Je ne vois plus d infection dans ton rapport

télécharges ces programmes antispywares :

ad-aware : https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html

spybot : https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

fais les mises à jour et analyses au moins une fois par semaine.

Est ce que tu as encore le message d alerte virus sality??

jkl54 · Answer

grace a tenshi002 le sans echec refonctionne...sinon c'est avast qui m'avait trouvé sality et j'ai supprimer avast mais sinon antivir et adaware ne le detecte pas

jkl54 · Answer

ok 
merci

Utilisateur anonyme · Answer

salut

où en es tu?

bizzz

jkl54 · Answer

salut merci de prendre des nouvelles...bin je fait avec...je crois que je vais me motiver a formater regulierement maintenant pi a ne rien garder com log je re download tout a la prochaine install

g!rly · Answer

salut la compagnie...

jkl54,

passe ces deux scans a la suite et post leurs rapports :

https://free.drweb.fr/?lng=fr
Dr.Web CureIt!
Tu le télécharges et tu le lances.
Il n'est pas utile de le mettre à jour, puisque tu auras la dernière base de données.
Tu cliques donc sur Commencer le scan.
Accepte l'analyse rapide par OK.
Cette dernière est assez rapide.
Ensuite tu coches devant Analyse complète. et tu cliques sur la flèche verte en dessous du logo Dr.Web.
A la fin tu cliques sur Tout sélectionner et tu choisis le bouton Quarantaine par mesure de sécurité.
Si tout va bien après une paire de jours d'utilisation du pc tu pourras vider cette quarantaine.
Cette version gratuite ne remplace pas un antivirus avec protection résidente, mais ne sert qu'à titre curatif.

puis antivir en mode sans echec 

@+

jkl54 · Answer

A0053882.exe;C:\System Volume Information\_restore{2B77CE41-3805-473F-B3EA-C47B1C2FABC5}\RP49;Tool.Prockill;Quarantaine.;
A0053900.exe;C:\System Volume Information\_restore{2B77CE41-3805-473F-B3EA-C47B1C2FABC5}\RP49;Tool.ProcessKill.7;Quarantaine.;
100c6.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
10c6e.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
1169840.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
12a28.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
12b9b28.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
12fd5.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
15687.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
15a84f.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
15f602.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
1605a2.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
1640c7.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
2a9cff.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
2b34ca.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
2b51f7.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
2b755d.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
3f9817.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
40917a.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
40af63.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
549580.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
5595ca.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
55ea33.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
69ee87.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
6abf64.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
6b3281.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
7f35eb.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
805dff.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
807204.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
94c081.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
95bf82.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
a9ec.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
aa4b75.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
ab5f95.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
b48a.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
bb8b98.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
bfd679.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Supprimé.;
cef3ac.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Quarantaine.;
e89a.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Quarantaine.;
f7fc.exe;C:\WINDOWS\system32;Trojan.HtmlChange.1;Quarantaine.;
134f5.exe;C:\_OTMoveIt\MovedFiles\06072008_022729\WINDOWS\system32;Trojan.HtmlChange.1;Quarantaine.;


c drweb...jfra lotre demin

g!rly · Answer

salut jkl54,
bon, il aurait fallu faire les deux a la suite...
@+

jkl54 · Answer

ah ok
bin je ferai sa quand j'aurai fini mes exams...

g!rly · Answer

ok
bon courage
@+

Win32:Sality-AM

58 réponses

Discussions similaires