qui peut m'analyser le rapport de navilog1 Fermé

Question

Bonjour,
j'ais efectué une recherche avec navilog et voici mon compte rendu. j'aimerais savoir si je suis infecté ou pas (merci je suis novice le dessus)

 J'ais effecué cette recherche car des fenêtre apparraisse tout le temps lorque je navigue sur IE.

Search Navipromo version 3.6.0 commencé le 30/06/2008 à 14:10:18,85

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "larabe" 

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16681 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\users\larabe\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\larabe\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\larabe\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Users\larabe\AppData\Local\acwom.dat
C:\Users\larabe\AppData\Local\acwom.exe
C:\Users\larabe\AppData\Local\acwom_nav.dat
C:\Users\larabe\AppData\Local\acwom_navps.dat


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\larabe\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\larabe\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\larabe\AppData\Local" *

Fichiers suspects :

acwom.exe trouvé ! 



*** Recherche fichiers *** 


C:\Windows\system32
vs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\larabe\AppData\Local\Microsoft" :


* Dans "C:\Users\larabe\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\larabe\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 30/06/2008 à 14:15:28,88 ***

Utilisateur anonyme · Answer

Bonjour,

> Lance navilog1 :
- Choisis l'option 2
Navilog travail... patient jusqu'à ce qui soit marqué < Nettoyage Termine le ..... >
Un rapport va être générer. Poste le dans ta prochaine réponse.
Note: le bureau disparaît.

Ensuite,
>Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par collier/coller, ton log Hijackthis sur le forum,

A+

la galere · Answer

salut, merci pour ta réponse mais l'analyse est terminé, et j'aimerais savoir si je peut continuer ou pas? car j'ais peur qu'il supprime des fichier systéme..

la galere · Answer

je n'arrive pas. dés que je fais la 2eme etape ca ne me fais rien ca eteind l'ordi c tout ce ne fais pas de nettoyage ni de rapport. le seul rapport c'est ce que j'ais posté plus haut . alors comment faire maintenant???

la galere · Answer

le nettoyage ne fonctionne pas il me redemarre mon ordi c'est tout. que faire??

la galere · Answer

lorque l'ordi redemarre il me demande mon mot de passe habituelle c'est tout, pas d'analyse rien..

Utilisateur anonyme · Answer

Ok,
Alors fais ceci :

> Démarre en mode sans échec : (image). Si problème : tuto ici


Ensuite,
- Lance HiJackT, puis sélectionne < do a system scan and save a logfile > 
- Enregistre le rapport sur ton bureau.
Et envoie, par collier/coller, ton log Hijackthis sur le forum,


A+

la galere · Answer

voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:44, on 30/06/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\helppane.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PCMService] "C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\NewSetApanel.cmd
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [NVRaidService] C:\Windows\system32
vraidservice.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [acwom] c:\users\larabe\appdata\local\acwom.exe acwom
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\lxddserv.exe
O23 - Service: lxdd_device -   - C:\Windows\system32\lxddcoms.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: StarOpen - Avira GmbH - (no file)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

la galere · Answer

tu la analysés?? ca dit quoi?? merci de me repondre..

Utilisateur anonyme · Answer

Salut,
Tu n'es pas tout seul ! J'ai aussi d'autres interventions.....

:-)


Ok : désinstalle Search Settings depuis le panneau de configuration.



Ensuite,
en mode sans échec essaye à nouveau de renvoyer Navilog option 2 (puis poste le rapport stp).



Après, 
> Les logiciels suivants (MalwareByte's Anti-Malware et Ccleaner) te seront utiles par la suite - ils sont à conserver...

> Télécharge MalwareByte's Anti-Malware : 
- Installe le programme puis lance le stp.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici 
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour") puis ferme le programme.
NB : Si tu as besoin : Tuto

> Télécharge et installe Ccleaner : 
- Fais les mises à jour puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux : ici, ici et là.



> Commence par faire un copier/coller de ce poste (cette manip.): (conseillé)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.

> Démarre en mode sans échec : (image). Si problème : tuto ici


> Lance MalwareByte's Anti-Malware,
- Clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum.

> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).



> Relance ton PC en mode normal

> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie moi, par collier/coller, ton log Hijackthis,

Bon courage,

:)



A+

la galere · Answer

je n'arrive pas à faire navilog option 2 en mode sans echec, je continue les autre etapes??

la galere · Answer

voici le log hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:48, on 30/06/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\System32
vraidservice.exe
C:\Program Files\Lexmark 2500 Series\lxddmon.exe
C:\Program Files\Lexmark 2500 Series\lxddamon.exe
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [PCMService] "C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [NVRaidService] C:\Windows\system32
vraidservice.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Acer\Empowering Technology\eMode\PCM\Kernel\TV\CLSched.exe
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\lxddserv.exe
O23 - Service: lxdd_device -   - C:\Windows\system32\lxddcoms.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: StarOpen - Avira GmbH - (no file)

Utilisateur anonyme · Answer

Ok,

Alors,
> Télécharge Clean (de Malekal Morte) (différent de Ccleaner)

> Télécharge SDFix (de AndyManchesta) sur ton bureau :
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (à la racine du disque dur par défaut) nommé SDFix. Ferme ensuite le programme.

> Commence par faire un copier/coller de ce poste (cette manip.): (conseillé)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.

> Démarre en mode sans échec : (image). Si problème : tuto ici

> Pour Clean (encore en mode sans échec) :
- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean (Le rapport clean se trouve ici : C:\rapport_clean.txt)
NB : Si besoin : Tuto

> Pour SDFix (toujours en mode sans échec) :
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commence....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
-Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

> Relance ton PC en mode normal

> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie moi, par collier/coller, ton log Hijackthis,

Peux tu réessayer Navilog option 2 ?

Bon courage,

:)

A+

la galere · Answer

lorque je suis sur SDfix je double clique sur RunThis.bat mais ca ne s'ouvre pas. que faire , en attendant voici le rapport de Clean

Script executed in Safe Mode 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script executed in Safe Mode 30/06/2008 a 18:10:21,18 

Microsoft Windows [version 6.0.6000]
 
*** Suppression  C: 
 
*** Suppression  C:\Windows\ 
 
*** Suppression  C:\Windows\system32 
tentative de suppression de C:\Windows\system32\wininit.exe 
Impossible de supprimer C:\Windows\system32\wininit.exe  
tentative de suppression de C:\Windows\system32\wininit.exe 
Impossible de supprimer C:\Windows\system32\wininit.exe  
 
*** Suppression  C:\Program Files 
 
*** Deletion of the registry keys successful.. 
*** End of the report !

Utilisateur anonyme · Answer

Arff
Pardon,
tu es sous Vista.

Alors,
oublie pour SDFix.

Fais ceci stp :
> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Vas dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
- Un redémarrage est nécessaire.


Ensuite réessaye le Navilog option 2.


Désolé. je suis passé à coté de ta configuration.

:-/

la galere · Answer

la suppression que Clean veut faire celle de winnit est une application de démarrage de windows.

la galere · Answer

j'ais déjà fais mais ca ne fonctionne pas...

Suis je malgrés tout encore infecté??

la galere · Answer

toutes les manip que j'aurrais pu faire aurrait une incidence pour mon pc vu que c'est un vista??

la galere · Answer

oui il est desactivé,je l'ais déja en premier, ma premiere manip

Utilisateur anonyme · Answer

Flute !

Tu as bien des pubs quand tu surfes sur le web ?

Sinon on fait autrement...

la galere · Answer

pour l'instant non.... depuis les manip

Utilisateur anonyme · Answer

Refais un Navilog option 1 stp.

Puis poste le rapport.

Merci.

la galere · Answer

pour l'instant non mais je surf pas vraiment, tu veux que je fasse un essai??

la galere · Answer

pour l'instant non parce que je surf pas vraiment mais..... j'essais si tu veux??

la galere · Answer

voici le rapport



Search Navipromo version 3.6.0 commencé le 30/06/2008 à 18:55:26,15

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "larabe" 

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16681 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\users\larabe\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\larabe\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\larabe\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\larabe\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\larabe\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\larabe\AppData\Local" *



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\larabe\AppData\Local\Microsoft" :


* Dans "C:\Users\larabe\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\larabe\AppData\Local" :

gkaqg.dat trouvé !
gkaqg_nav.dat trouvé !
gkaqg_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 30/06/2008 à 19:00:29,04 ***

Utilisateur anonyme · Answer

Bon,
alors :

> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.


A+

la galere · Answer

l'option 2 ne fonctionne tjs pas

la galere · Answer

k

la galere · Answer

voici le rapport ComboFix 08-06-20.4 - larabe 2008-06-30 19:22:37.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.1092 [GMT 2:00] Endroit: C:\Users\larabe\Desktop\ComboFix.exe * Création d'un nouveau point de restauration . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Users\larabe\AppData\Local\gkaqg.dat C:\Users\larabe\AppData\Local\gkaqg_nav.dat C:\Users\larabe\AppData\Local\gkaqg_navps.dat . ((((((((((((((((((((((((((((( Fichiers créés 2008-05-28 to 2008-06-30 )))))))))))))))))))))))))))))))))))) . 2008-06-30 17:00 . 2008-06-30 17:00 d-------- C:\Program Files\CCleaner 2008-06-30 16:58 . 2008-06-30 16:58 d-------- C:\Users\larabe\AppData\Roaming\Malwarebytes 2008-06-30 16:58 . 2008-06-30 16:58 d-------- C:\Users\All Users\Malwarebytes 2008-06-30 16:58 . 2008-06-30 16:58 d-------- C:\ProgramData\Malwarebytes 2008-06-30 16:58 . 2008-06-30 16:58 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-06-30 16:58 . 2008-06-28 14:16 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys 2008-06-30 16:58 . 2008-06-28 14:16 17,144 --a------ C:\Windows\System32\drivers\mbam.sys 2008-06-30 15:59 . 2008-06-30 15:59 d-------- C:\Program Files\Trend Micro 2008-06-30 14:08 . 2008-06-30 19:05 d-------- C:\Program Files\Navilog1 2008-06-29 12:49 . 2008-06-29 12:49 d-------- C:\Users\larabe\AppData\Roaming\DivX 2008-06-29 11:59 . 2008-06-29 12:23 d-------- C:\divx 2008-06-29 11:57 . 2008-06-29 11:57 d-------- C:\Program Files\DivX 2008-06-29 11:57 . 2008-06-29 11:57 d-------- C:\Program Files\Common Files\PX Storage Engine 2008-06-29 11:55 . 2008-06-29 11:55 d-------- C:\Program Files\Ripp-It Codec Pack 2008-06-28 20:57 . 2008-06-28 20:57 d-------- C:\Program Files\Microsoft Silverlight 2008-06-22 19:24 . 2008-06-22 19:25 d-------- C:\Program Files\Free Audio Pack 2008-06-22 19:24 . 2004-03-09 01:00 662,288 --a------ C:\Windows\System32\MSCOMCT2.OCX 2008-06-22 19:24 . 2003-08-07 17:01 237,568 --a------ C:\Windows\System32\lame_enc.dll 2008-06-22 19:24 . 2004-03-09 01:00 224,016 --a------ C:\Windows\System32\TABCTL32.OCX 2008-06-22 19:24 . 2004-03-09 01:00 152,848 --a------ C:\Windows\System32\COMDLG32.OCX 2008-06-22 19:24 . 1998-07-13 01:00 141,312 --a------ C:\Windows\System32\MSCMCFR.DLL 2008-06-22 19:24 . 1998-07-13 01:00 59,904 --a------ C:\Windows\System32\Mscc2fr.dll 2008-06-22 19:24 . 1998-07-12 21:00 32,768 --a------ C:\Windows\System32\CMDLGFR.DLL 2008-06-22 19:24 . 1998-07-13 01:00 21,504 --a------ C:\Windows\System32\TABCTFR.DLL 2008-06-22 14:46 . 2008-06-22 15:41 50 --a------ C:\Windows\cdplayer.ini 2008-06-22 14:43 . 2008-06-22 15:46 d-------- C:\Users\larabe\AppData\Roaming\DeepBurner Pro 2008-06-22 14:43 . 2008-06-22 14:43 d-------- C:\Program Files\Astonsoft 2008-06-21 19:22 . 2008-06-21 19:22 d-------- C:\Users\larabe\AppData\Roaming\Forge of Games 2008-06-21 19:08 . 2008-06-21 19:08 d-------- C:\Users\All Users\MumboJumbo 2008-06-21 19:08 . 2008-06-21 19:08 d-------- C:\ProgramData\MumboJumbo 2008-06-21 11:41 . 2008-06-21 11:41 172 --ah----- C:\sqmnoopt08.sqm 2008-06-21 11:41 . 2008-06-21 11:41 172 --ah----- C:\sqmdata08.sqm 2008-06-20 23:59 . 2008-06-20 23:59 268 --ah----- C:\sqmdata07.sqm 2008-06-20 23:59 . 2008-06-20 23:59 244 --ah----- C:\sqmnoopt07.sqm 2008-06-20 20:31 . 2008-06-20 20:31 268 --ah----- C:\sqmdata06.sqm 2008-06-20 20:31 . 2008-06-20 20:31 244 --ah----- C:\sqmnoopt06.sqm 2008-06-20 19:55 . 2008-06-20 19:55 382 --a------ C:\Windows\ODBC.INI 2008-06-20 19:36 . 2008-06-20 23:49 8,224 --a------ C:\Windows\System32\GDIPFONTCACHEV1.DAT 2008-06-20 19:31 . 2008-06-20 19:31 268 --ah----- C:\sqmdata05.sqm 2008-06-20 19:31 . 2008-06-20 19:31 244 --ah----- C:\sqmnoopt05.sqm 2008-06-20 19:04 . 2008-06-20 19:18 d-------- C:\Program Files\Antipub 2008-06-20 15:57 . 2008-06-20 15:57 268 --ah----- C:\sqmdata04.sqm 2008-06-20 15:57 . 2008-06-20 15:57 244 --ah----- C:\sqmnoopt04.sqm 2008-06-20 15:48 . 2008-06-20 20:07 d-------- C:\Program Files\Microsoft Encarta 2008-06-20 15:44 . 2008-06-20 20:05 d-------- C:\Program Files\Microsoft Picture It! 9 2008-06-20 15:43 . 2008-06-20 15:43 d-------- C:\Program Files\Microsoft AutoRoute 2008-06-20 15:42 . 2008-06-20 15:42 d-------- C:\Program Files\Microsoft Money 2008-06-20 15:34 . 2008-06-20 15:34 d-------- C:\Program Files\Microsoft Works Suite 2004 2008-06-20 13:15 . 2008-06-20 13:15 268 --ah----- C:\sqmdata03.sqm 2008-06-20 13:15 . 2008-06-20 13:15 244 --ah----- C:\sqmnoopt03.sqm 2008-06-20 00:50 . 2008-06-20 00:50 268 --ah----- C:\sqmdata02.sqm 2008-06-20 00:50 . 2008-06-20 00:50 244 --ah----- C:\sqmnoopt02.sqm 2008-06-19 23:18 . 2008-06-19 23:18 268 --ah----- C:\sqmdata01.sqm 2008-06-19 23:18 . 2008-06-19 23:18 244 --ah----- C:\sqmnoopt01.sqm 2008-06-15 22:47 . 2008-06-15 22:47 268 --ah----- C:\sqmdata00.sqm 2008-06-15 22:47 . 2008-06-15 22:47 244 --ah----- C:\sqmnoopt00.sqm 2008-06-14 00:04 . 2008-06-14 00:50 d-------- C:\Users\All Users\Spybot - Search & Destroy 2008-06-14 00:04 . 2008-06-14 00:50 d-------- C:\ProgramData\Spybot - Search & Destroy 2008-06-14 00:04 . 2008-06-14 00:04 d-------- C:\Program Files\Spybot - Search & Destroy 2008-06-01 19:28 . 2008-06-01 19:28 d-------- C:\Program Files\ffdshow 2008-06-01 19:28 . 2007-01-01 00:00 60,273 --a------ C:\Windows\System32\pthreadGC2.dll 2008-06-01 19:28 . 2007-12-15 16:11 7,680 --a------ C:\Windows\System32\ff_vfw.dll 2008-06-01 19:28 . 2007-12-15 16:11 6,144 --a------ C:\Windows\System32\ff_acm.acm 2008-06-01 19:28 . 2007-01-01 00:00 547 --a------ C:\Windows\System32\ff_vfw.dll.manifest 2008-06-01 19:17 . 2008-06-01 19:17 d-------- C:\Users\larabe\AppData\Roaming\vlc 2008-06-01 19:14 . 2008-06-01 19:14 d-------- C:\Program Files\VideoLAN 2008-06-01 18:32 . 2005-01-18 01:26 179,200 -r-hs---- C:\Windows\System32\DiracSplitter.ax 2008-06-01 14:46 . 2005-07-09 19:31 81,920 -ra------ C:\Windows\System32\aac_parser.ax 2008-06-01 09:29 . 2008-06-01 09:29 d-------- C:\Program Files\Common Files\xing shared 2008-06-01 09:28 . 2008-06-01 09:28 d-------- C:\Program Files\Real 2008-06-01 09:28 . 2008-06-01 09:29 d-------- C:\Program Files\Common Files\Real 2008-05-31 23:17 . 2008-05-31 23:20 d-------- C:\Program Files\AbiSuite2 2008-05-31 12:48 . 2008-03-08 02:37 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll 2008-05-31 12:48 . 2008-03-08 06:30 1,686,528 --a------ C:\Windows\System32\gameux.dll 2008-05-31 01:23 . 2008-05-31 01:23 8,835 --a------ C:\Windows\System32\dpufr.qm 2008-05-26 13:32 . 2008-05-26 13:32 d-------- C:\Users\All Users\Avira 2008-05-26 13:32 . 2008-05-26 13:32 d-------- C:\ProgramData\Avira 2008-05-26 13:32 . 2008-05-26 13:32 d-------- C:\Program Files\Avira 2008-05-25 20:07 . 2008-05-25 20:07 d-------- C:\Program Files\Common Files\Adobe 2008-05-24 14:04 . 2008-05-24 14:04 1,060,920 --a------ C:\Windows\System32\drivers tfs.sys 2008-05-24 14:04 . 2008-05-24 14:04 41,984 --a------ C:\Windows\System32\drivers\monitor.sys 2008-05-24 14:03 . 2008-05-24 14:03 3,504,696 --a------ C:\Windows\System32 tkrnlpa.exe 2008-05-24 14:03 . 2008-05-24 14:03 3,470,392 --a------ C:\Windows\System32 toskrnl.exe 2008-05-24 14:03 . 2008-05-24 14:03 211,000 --a------ C:\Windows\System32\drivers\volsnap.sys 2008-05-24 14:03 . 2008-05-24 14:03 154,624 --a------ C:\Windows\System32\drivers wifi.sys 2008-05-24 14:03 . 2008-05-24 14:03 109,624 --a------ C:\Windows\System32\drivers\ataport.sys 2008-05-24 14:03 . 2008-05-24 14:03 45,112 --a------ C:\Windows\System32\drivers\pciidex.sys 2008-05-24 14:03 . 2008-05-24 14:03 21,560 --a------ C:\Windows\System32\drivers\atapi.sys 2008-05-24 14:03 . 2008-05-24 14:03 15,928 --a------ C:\Windows\System32\drivers\pciide.sys 2008-05-24 14:02 . 2008-05-24 14:02 803,328 --a------ C:\Windows\System32\drivers cpip.sys 2008-05-24 14:02 . 2008-05-24 14:02 216,632 --a------ C:\Windows\System32\drivers etio.sys 2008-05-24 14:02 . 2008-05-24 14:02 167,424 --a------ C:\Windows\System32 cpipcfg.dll 2008-05-24 14:02 . 2008-05-24 14:02 24,064 --a------ C:\Windows\System32 etcfg.exe 2008-05-24 14:02 . 2008-05-24 14:02 22,016 --a------ C:\Windows\System32 etiougc.exe 2008-05-24 14:00 . 2008-05-24 14:00 2,027,008 --a------ C:\Windows\System32\win32k.sys 2008-05-24 14:00 . 2008-05-24 14:00 223,232 --a------ C:\Windows\System32\WMASF.DLL 2008-05-24 14:00 . 2008-05-24 14:00 9,728 --a------ C:\Windows\System32\LAPRXY.DLL 2008-05-24 14:00 . 2008-05-24 14:00 2,048 --a------ C:\Windows\System32\asferror.dll 2008-05-24 13:59 . 2008-05-24 13:59 296,448 --a------ C:\Windows\System32\gdi32.dll 2008-05-24 13:59 . 2008-05-24 13:59 11,776 --a------ C:\Windows\System32\sbunattend.exe 2008-05-24 13:58 . 2008-05-24 13:58 130,048 --a------ C:\Windows\System32\drivers\srv2.sys 2008-05-24 13:58 . 2008-05-24 13:58 101,888 --a------ C:\Windows\System32\drivers\mrxsmb.sys 2008-05-24 13:58 . 2008-05-24 13:58 84,992 --a------ C:\Windows\System32\drivers\srvnet.sys 2008-05-24 13:58 . 2008-05-24 13:58 83,968 --a------ C:\Windows\System32\dnsrslvr.dll 2008-05-24 13:58 . 2008-05-24 13:58 58,368 --a------ C:\Windows\System32\drivers\mrxsmb20.sys 2008-05-24 13:58 . 2008-05-24 13:58 24,576 --a------ C:\Windows\System32\dnscacheugc.exe 2008-05-24 13:56 . 2008-05-24 13:56 2,048 --a------ C:\Windows\System32 zres.dll 2008-05-24 12:13 . 2008-05-24 12:13 d-------- C:\Users\larabe\AppData\Roaming\InstallShield 2008-05-24 12:08 . 2008-05-24 12:08 d--h----- C:\Windows\PIF 2008-05-23 00:22 . 2008-05-23 00:22 3,596,288 --a------ C:\Windows\System32\qt-dx331.dll 2008-05-23 00:22 . 2008-05-23 00:22 524,288 --a------ C:\Windows\System32\DivXsm.exe 2008-05-23 00:22 . 2008-05-23 00:22 9,878 --a------ C:\Windows\System32\dsm_fr.qm 2008-05-23 00:22 . 2008-05-23 00:22 4,816 --a------ C:\Windows\System32\divxsm.tlb 2008-05-23 00:20 . 2008-05-23 00:20 1,044,480 --a------ C:\Windows\System32\libdivx.dll 2008-05-23 00:20 . 2008-05-23 00:20 200,704 --a------ C:\Windows\System32\ssldivx.dll 2008-05-23 00:19 . 2008-05-23 00:19 196,608 --a------ C:\Windows\System32\dtu100.dll 2008-05-23 00:19 . 2008-05-23 00:19 161,096 --a------ C:\Windows\System32\DivXCodecVersionChecker.exe 2008-05-23 00:19 . 2008-05-23 00:19 81,920 --a------ C:\Windows\System32\dpl100.dll 2008-05-23 00:19 . 2008-05-23 00:19 3,067 --a------ C:\Windows\System32\dtu_fr.qm 2008-05-23 00:19 . 2008-05-23 00:19 416 --a------ C:\Windows\System32\dtu100.dll.manifest 2008-05-23 00:19 . 2008-05-23 00:19 416 --a------ C:\Windows\System32\dpl100.dll.manifest 2008-05-23 00:18 . 2008-05-23 00:18 12,288 --a------ C:\Windows\System32\DivXWMPExtType.dll 2008-05-17 18:23 . 2006-11-29 13:06 3,426,072 --a------ C:\Windows\System32\d3dx9_32.dll 2008-05-17 18:22 . 2008-05-17 18:22 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2008-05-17 18:16 . 2008-05-24 14:00 d-------- C:\Program Files\Windows Live . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-30 14:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2008-06-29 08:53 --------- d-----w C:\ProgramData\Microsoft Help 2008-06-29 08:33 --------- d-----w C:\ProgramData\NVIDIA 2008-06-21 17:31 --------- d-----w C:\Program Files\Acer GameZone 2008-06-20 21:48 --------- d-----w C:\Program Files\Windows Mail 2008-06-20 17:57 --------- d-----w C:\Program Files\Microsoft Works 2008-06-20 17:33 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-06-20 17:33 --------- d-----w C:\Program Files\eSobi 2008-06-14 13:02 --------- d-----w C:\ProgramData\CyberLink 2008-05-30 23:22 823,296 ----a-w C:\Windows\System32\divx_xx0c.dll 2008-05-30 23:22 823,296 ----a-w C:\Windows\System32\divx_xx07.dll 2008-05-30 23:22 815,104 ----a-w C:\Windows\System32\divx_xx0a.dll 2008-05-30 23:22 802,816 ----a-w C:\Windows\System32\divx_xx11.dll 2008-05-30 23:22 683,520 ----a-w C:\Windows\System32\DivX.dll 2008-05-30 23:22 593,920 ----a-w C:\Windows\System32\dpuGUI11.dll 2008-05-30 23:22 57,344 ----a-w C:\Windows\System32\dpv11.dll 2008-05-30 23:22 53,248 ----a-w C:\Windows\System32\dpuGUI10.dll 2008-05-30 23:22 344,064 ----a-w C:\Windows\System32\dpus11.dll 2008-05-30 23:22 294,912 ----a-w C:\Windows\System32\dpu11.dll 2008-05-30 23:22 294,912 ----a-w C:\Windows\System32\dpu10.dll 2008-05-24 17:42 --------- d-----w C:\Program Files\Windows Sidebar 2008-05-24 12:05 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr 2008-05-24 12:05 67,584 ----a-w C:\Windows\System32\wlanhlp.dll 2008-05-24 12:05 542,720 ----a-w C:\Windows\System32\sysmain.dll 2008-05-24 12:05 502,784 ----a-w C:\Windows\System32\wlansvc.dll 2008-05-24 12:05 47,104 ----a-w C:\Windows\System32\wlanapi.dll 2008-05-24 12:05 297,984 ----a-w C:\Windows\System32\wlansec.dll 2008-05-24 12:05 290,816 ----a-w C:\Windows\System32\wlanmsm.dll 2008-05-24 12:05 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys 2008-05-24 12:05 24,064 ----a-w C:\Windows\System32\wtsapi32.dll 2008-05-24 12:05 2,923,520 ----a-w C:\Windows\explorer.exe 2008-05-24 12:05 194,560 ----a-w C:\Windows\System32\WebClnt.dll 2008-05-24 12:05 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys 2008-05-17 11:23 805 ----a-w C:\Windows\system32\drivers\SYMEVENT.INF 2008-05-17 11:23 10,740 ----a-w C:\Windows\system32\drivers\SYMEVENT.CAT 2008-05-10 12:59 --------- d-----w C:\ProgramData\eSobi 2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll 2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers mcast.sys 2008-05-07 19:24 --------- d-sh--w C:\ProgramData\Modèles 2008-05-07 19:24 --------- d-sh--w C:\ProgramData\Menu Démarrer 2008-05-07 19:24 --------- d-sh--w C:\ProgramData\Favoris 2008-05-07 19:24 --------- d-sh--w C:\ProgramData\Bureau 2008-05-07 19:24 --------- d-sh--w C:\Program Files\Fichiers communs 2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll 2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll 2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll 2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2008-03-08 04:30 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll 2008-03-08 04:30 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll 2008-03-08 04:30 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll 2008-03-08 04:30 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll 2008-03-08 00:22 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll 2007-12-03 22:59 174 --sha-w C:\Program Files\desktop.ini . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-05-24 13:59 1232896] "Acer Tour Reminder"="" [] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RtHDVCpl"="RtHDVCpl.exe" [2007-10-11 20:53 4702208 C:\Windows\RtHDVCpl.exe] "Acer Empowering Technology Monitor"="C:\Acer\Empowering Technology\SysMonitor.exe" [2007-09-07 18:23 326176] "eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-04-25 17:33 457216] "PCMService"="C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe" [2007-06-29 05:44 151552] "Acer Tour"="" [] "NvSvc"="C:\Windows\system32 vsvc.dll" [2007-12-21 19:51 86016] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-12-21 19:50 8497696] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-12-21 19:51 81920] "WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 22:48 57344] "NVRaidService"="C:\Windows\system32 vraidservice.exe" [2007-12-07 16:28 196128] "eRecoveryService"="" [] "Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [2007-08-01 18:30 151552] "lxddmon.exe"="C:\Program Files\Lexmark 2500 Series\lxddmon.exe" [2007-06-11 21:27 291760] "lxddamon"="C:\Program Files\Lexmark 2500 Series\lxddamon.exe" [2007-04-30 10:19 20480] "FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2007-06-11 21:28 312240] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB ealsched.exe" [2008-06-01 09:28 185896] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-12-04 01:25:13 535336] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.i420"= i420vfw.dll "msacm.mkdmp3enc"= C:\Acer\EMPOWE~1\eMode\PCM\Kernel\Burner\MKDMP3Enc.ACM "vidc.yv12"= yv12vfw.dll "msacm.avis"= ff_acm.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UacDisableNotify"=dword:00000001 "InternetSettingsDisableNotify"=dword:00000001 "AutoUpdateDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{87D83BE9-0E83-40C1-9A90-9E04544D63D6}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{020E6028-ADB9-49F3-BC3D-0B8BD58E1CCD}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{7BEC2AE9-F9F1-48EA-B6DF-30D7484029BC}"= C:\Acer\Empowering Technology\eMode\PCM\Acer Emode Management.exe:Acer Emode Management "{DD42CDE3-24B0-473B-86CF-07DF3EAA566C}"= C:\Acer\Empowering Technology\eMode\PCM\PCMService.exe:CyberLink PowerCinema Resident Program "{8C88E2A1-58DB-481F-A9A2-C6934DA01AFE}"= UDP:C:\Windows\System32\lxddcoms.exe:Lexmark Communications System "{CA959A51-C5CE-4C55-896E-204F62D4DC70}"= TCP:C:\Windows\System32\lxddcoms.exe:Lexmark Communications System "{8207998F-F6FC-4669-9C56-E534BB2164DF}"= UDP:C:\Program Files\Lexmark 2500 Series\lxddamon.exe:Lexmark Device Monitor "{05A11CAA-A87A-4F90-8B7B-B46FE1AE8EC7}"= TCP:C:\Program Files\Lexmark 2500 Series\lxddamon.exe:Lexmark Device Monitor "{022AD32F-3352-4C5E-941E-AA643707AEA6}"= UDP:C:\Program Files\Lexmark 2500 Series\App4R.exe:Lexmark Imaging Studio "{6F0AC7A9-172A-496E-A3F5-302B850F6CD9}"= TCP:C:\Program Files\Lexmark 2500 Series\App4R.exe:Lexmark Imaging Studio "TCP Query User{99ADBBE1-C0F9-4E6D-88C8-71D72506037A}C:\program files\shareaza\shareaza.exe"= UDP:C:\program files\shareaza\shareaza.exe:Shareaza Ultimate File Sharing "UDP Query User{A2785927-F538-47F2-B7F7-E2A885BFCC88}C:\program files\shareaza\shareaza.exe"= TCP:C:\program files\shareaza\shareaza.exe:Shareaza Ultimate File Sharing "{87926347-3624-4001-A24D-23AAD5EC9E49}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{70D08D9B-ED07-4666-A3E3-A4C0DEAE5015}C:\program files\real\realplayer\realplay.exe"= UDP:C:\program files eal ealplayer ealplay.exe:RealPlayer "UDP Query User{A92FAF44-3ACF-48E5-8965-D6332CC7DAAF}C:\program files\real\realplayer\realplay.exe"= TCP:C:\program files eal ealplayer ealplay.exe:RealPlayer "TCP Query User{DAC7C236-AA42-44E4-943D-C347B39B9A84}C:\program files\internet explorer\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{E21B9071-8C37-46EF-9591-08486D8CBDC1}C:\program files\internet explorer\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "TCP Query User{9C160E71-0ED0-4A74-977A-7EFF0256900C}C:\users\larabe\desktop\webmediaplayer\webmediaplayer.exe"= UDP:C:\users\larabe\desktop\webmediaplayer\webmediaplayer.exe:webmediaplayer.exe "UDP Query User{1874ABE1-E6A9-49DD-B5F1-EAB05EEC3035}C:\users\larabe\desktop\webmediaplayer\webmediaplayer.exe"= TCP:C:\users\larabe\desktop\webmediaplayer\webmediaplayer.exe:webmediaplayer.exe "{E80D6D54-AAAB-4AE1-BD3E-5AA386FF3E52}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxddwbgw.exe: "{B9D141BE-E69C-4D53-A5B4-701D29EE3A1D}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxddwbgw.exe: "{651BC836-18D5-4A09-96E5-7216CCB72A55}"= UDP:C:\Program Files\eRightSoft\SUPER\SUPER.exe:SUPER © "{D3724E28-E21D-465C-AB11-06E4A6DB1113}"= TCP:C:\Program Files\eRightSoft\SUPER\SUPER.exe:SUPER © "TCP Query User{1D35ECBC-6EE1-4B8D-A779-AAA53FC5CD51}C:\program files\common files\newtech infosystems\liveupdate\liveupdate.exe"= UDP:C:\program files\common files ewtech infosystems\liveupdate\liveupdate.exe:LiveUpdate "UDP Query User{35B9825A-A665-4185-B5D5-9599321F8CDC}C:\program files\common files\newtech infosystems\liveupdate\liveupdate.exe"= TCP:C:\program files\common files ewtech infosystems\liveupdate\liveupdate.exe:LiveUpdate "TCP Query User{CF6C2E3F-A2FC-4399-BADD-2114CCDBA6D0}C:\users\larabe\appdata\local\temp\wzse0.tmp\symnrt.exe"= UDP:C:\users\larabe\appdata\local emp\wzse0.tmp\symnrt.exe:symnrt.exe "UDP Query User{0D3E2F82-55FF-4C1A-B0CC-BF0E6C723599}C:\users\larabe\appdata\local\temp\wzse0.tmp\symnrt.exe"= TCP:C:\users\larabe\appdata\local emp\wzse0.tmp\symnrt.exe:symnrt.exe "{5749118B-AD6A-4C49-89C5-E4BF62E464C7}"= UDP:C:\Program Files\Lexmark 2500 Series\lxddmon.exe: "{6639C452-EE8D-40C1-A9DA-C67562C04242}"= TCP:C:\Program Files\Lexmark 2500 Series\lxddmon.exe: "{0EA50A16-269C-4887-AEB9-CA8E5DBB0879}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxddpswx.exe: "{63771B72-9A78-405F-9A47-B5F0050C84DB}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxddpswx.exe: "{FB78D724-150C-422A-8F19-3052E8CDE702}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxddjswx.exe: "{5B0068FC-F01D-4E66-9462-17EC8A96D1D3}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxddjswx.exe: "{709E33BA-831A-4104-934D-61AB7878E0FE}"= UDP:C:\Windows\System32\spool\drivers\w32x86\3\lxddtime.exe: "{9966F077-E0F1-41FF-9B09-22415DD320F9}"= TCP:C:\Windows\System32\spool\drivers\w32x86\3\lxddtime.exe: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R0 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers vrd32.sys [2007-12-08 09:28] R2 lxdd_device;lxdd_device;C:\Windows\system32\lxddcoms.exe [2007-05-25 11:41] R2 lxddCATSCustConnectService;lxddCATSCustConnectService;C:\Windows\system32\spool\DRIVERS\W32X86\3\lxddserv.exe [2007-05-25 11:41] R3 vmcam325av;Vimicro USB2.0 PC Camera(VC0323);C:\Windows\system32\Drivers\vmcam323av.sys [2007-02-16 10:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-06-20 18:00:04 C:\Windows\Tasks\Norton Internet Security - Analyse système complète - larabe.job" - c:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeB/TASK: "2008-06-29 19:44:30 C:\Windows\Tasks\User_Feed_Synchronization-{4FBB2FD3-66ED-4F23-BDCC-C7FC2C6CE5AF}.job" - C:\Windows\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-30 19:24:15 Windows 6.0.6000 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-06-30 19:24:56 ComboFix-quarantined-files.txt 2008-06-30 17:24:46 Pre-Run: 26,337,546,240 octets libres Post-Run: 26,219,773,952 octets libres 312 --- E O F --- 2008-06-28 18:57:50

la galere · Answer

le forum bug, j'ais pas la suite

la galere · Answer

gt

la galere · Answer

t toujours là??

la galere · Answer

m

la galere · Answer

p

Qui peut m'analyser le rapport de navilog1

33 réponses

Discussions similaires