HELP >> Trojan popuper / adware agent BN
Résolu/Fermé
dragonfly3677
Messages postés
23
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
2 janvier 2011
-
5 juil. 2008 à 20:26
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 7 juil. 2008 à 21:12
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 7 juil. 2008 à 21:12
A voir également:
- HELP >> Trojan popuper / adware agent BN
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Adware cleaner - Télécharger - Antivirus & Antimalwares
- Adware pokki ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Adware agent ✓ - Forum Virus
5 réponses
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
5 juil. 2008 à 20:29
5 juil. 2008 à 20:29
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau.
Ensuite double clique sur Navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton Bureau et choisis "Exécuter en tant qu'administrateur".
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le bloc note
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau.
Ensuite double clique sur Navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton Bureau et choisis "Exécuter en tant qu'administrateur".
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le bloc note
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
5 juil. 2008 à 20:40
5 juil. 2008 à 20:40
non tu ne redémarres pas...tu fais la suite comme indiqué
dragonfly3677
Messages postés
23
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
2 janvier 2011
5 juil. 2008 à 20:52
5 juil. 2008 à 20:52
gggrrrrrrrrrrrrrrrrrrrrrrrrrr !
j'ai téléchargé Navilog1 il est présent sur mon bureau, il est installé MAIS rien ne se passe ...
Pardon de t'ennuyer ;)
Qu'est-ce que je ne fais pas bien ??
j'ai téléchargé, le programme ne se lance pas ?
j'ai téléchargé Navilog1 il est présent sur mon bureau, il est installé MAIS rien ne se passe ...
Pardon de t'ennuyer ;)
Qu'est-ce que je ne fais pas bien ??
j'ai téléchargé, le programme ne se lance pas ?
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
5 juil. 2008 à 20:55
5 juil. 2008 à 20:55
tu Clic-droit sur le raccourci Navilog1 présent sur ton Bureau et choisis "Exécuter en tant qu'administrateur".
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le bloc note
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le bloc note
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
dragonfly3677
Messages postés
23
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
2 janvier 2011
5 juil. 2008 à 21:06
5 juil. 2008 à 21:06
je ne suis pourtant pas si nulle ...
l'icône est bien sur le bureau ...
a- je clic droit > en tant qu' administrateur ...
b- le programme s'installe ... je clic sur les options (français ...)
c'est tout ... rien ne démarre ...
est-ce que ce n'est pas parce que je n'ai pas redémarré le pc pour le compte utilisateur ??
Je suis sincèrement désolée si je loupe une instruction ...
mais je t'assure que je fais en tout point ce que tu me demandes !
l'icône est bien sur le bureau ...
a- je clic droit > en tant qu' administrateur ...
b- le programme s'installe ... je clic sur les options (français ...)
c'est tout ... rien ne démarre ...
est-ce que ce n'est pas parce que je n'ai pas redémarré le pc pour le compte utilisateur ??
Je suis sincèrement désolée si je loupe une instruction ...
mais je t'assure que je fais en tout point ce que tu me demandes !
dragonfly3677
Messages postés
23
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
2 janvier 2011
5 juil. 2008 à 21:12
5 juil. 2008 à 21:12
héhé !!!! Sorry !!! je t'avais prévenu je suis une bille ...
mais l'erreur est que l'icône ne fonctionnait pas ... j'ai dû activer le programme à partir de ma liste "tous les programmes "
navilog est en train de faire son job ...
Merci pour ta patience !!!! ;)
mais l'erreur est que l'icône ne fonctionnait pas ... j'ai dû activer le programme à partir de ma liste "tous les programmes "
navilog est en train de faire son job ...
Merci pour ta patience !!!! ;)
dragonfly3677
Messages postés
23
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
2 janvier 2011
5 juil. 2008 à 21:25
5 juil. 2008 à 21:25
Et Voici ...
Search Navipromo version 3.6.0 commencé le sam. 05/07/2008 à 21:10:50,93
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Marie-Laure"
Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO
Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16681
Système de fichiers : NTFS
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\Windows" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\ProgramData" ***
*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "c:\users\marie-~1\appdata\roaming\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "C:\Users\Marie-Laure\AppData\Local\virtualstore\Program Files" ***
*** Recherche dossiers dans "C:\Users\Marie-Laure\AppData\Roaming" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\Windows\system32" *
* Recherche dans "C:\Users\Marie-Laure\AppData\Local\Microsoft" *
* Recherche dans "C:\Users\Marie-Laure\AppData\Local\virtualstore\windows\system32" *
* Recherche dans "C:\Users\Marie-Laure\AppData\Local" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\Windows\system32" :
* Dans "C:\Users\Marie-Laure\AppData\Local\Microsoft" :
* Dans "C:\Users\Marie-Laure\AppData\Local\virtualstore\windows\system32" :
* Dans "C:\Users\Marie-Laure\AppData\Local" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le sam. 05/07/2008 à 21:23:56,68 ***
Search Navipromo version 3.6.0 commencé le sam. 05/07/2008 à 21:10:50,93
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Marie-Laure"
Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO
Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16681
Système de fichiers : NTFS
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\Windows" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\ProgramData" ***
*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "c:\users\marie-~1\appdata\roaming\micros~1\windows\startm~1\programs" ***
*** Recherche dossiers dans "C:\Users\Marie-Laure\AppData\Local\virtualstore\Program Files" ***
*** Recherche dossiers dans "C:\Users\Marie-Laure\AppData\Roaming" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\Windows\system32" *
* Recherche dans "C:\Users\Marie-Laure\AppData\Local\Microsoft" *
* Recherche dans "C:\Users\Marie-Laure\AppData\Local\virtualstore\windows\system32" *
* Recherche dans "C:\Users\Marie-Laure\AppData\Local" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\Windows\system32" :
* Dans "C:\Users\Marie-Laure\AppData\Local\Microsoft" :
* Dans "C:\Users\Marie-Laure\AppData\Local\virtualstore\windows\system32" :
* Dans "C:\Users\Marie-Laure\AppData\Local" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le sam. 05/07/2008 à 21:23:56,68 ***
dragonfly3677
Messages postés
23
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
2 janvier 2011
5 juil. 2008 à 21:44
5 juil. 2008 à 21:44
Que dois-je faire maintenant ???
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
5 juil. 2008 à 22:43
5 juil. 2008 à 22:43
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
dragonfly3677
Messages postés
23
Date d'inscription
samedi 5 juillet 2008
Statut
Membre
Dernière intervention
2 janvier 2011
7 juil. 2008 à 18:31
7 juil. 2008 à 18:31
Salut Papyber !! Avant tout merci pour tes réponses !
Etant absente hier pour raison porfessionnelle, je t'envoie maintenant le rapport de Combo fix.
ComboFix 08-07-05.1 - Marie-Laure 2008-07-07 18:14:32.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.391 [GMT 2:00]
Endroit: C:\Users\Marie-Laure\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-07 to 2008-07-07 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-07 16:13 --------- d---a-w C:\ProgramData\TEMP
2008-07-07 15:46 13,307 ----a-w C:\Users\Marie-Laure\AppData\Roaming\nvModes.dat
2008-07-07 14:35 --------- d-----w C:\Users\Marie-Laure\AppData\Roaming\VersionTracker Pro
2008-07-07 13:14 --------- d-----w C:\Program Files\Spyware Doctor
2008-07-05 21:37 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-07-05 20:48 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-07-05 20:26 --------- d-----w C:\Program Files\Navilog1
2008-07-04 10:41 --------- d-----w C:\Program Files\Trend Micro
2008-06-19 09:35 42,376 ----a-w C:\Windows\system32\drivers\ikfilesec.sys
2008-06-11 11:18 --------- d-----w C:\Program Files\Windows Mail
2008-06-08 14:14 --------- d-----w C:\Program Files\Pando Networks
2008-05-29 13:09 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll
2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-04-29 03:50 181,760 ----a-w C:\Windows\System32\fsquirt.exe
2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-04-23 04:27 428,032 ----a-w C:\Windows\System32\EncDec.dll
2008-04-23 04:27 292,352 ----a-w C:\Windows\System32\psisdecd.dll
2008-04-23 04:27 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2007-11-29 22:28 4 --sh--r C:\Users\All Users\sysqcl1129139270.dat
2007-11-29 22:28 4 --sh--r C:\ProgramData\sysqcl1129139270.dat
2007-11-16 14:05 180 ----a-w C:\Users\Marie-Laure\AppData\Roaming\wklnhst.dat
2007-09-01 21:19 174 --sha-w C:\Program Files\desktop.ini
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac}]
2007-12-17 12:12 56360 --a------ C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4}"= "C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2007-10-01 16:42 266240]
[HKEY_CLASSES_ROOT\clsid\{e3ea4fd9-cade-4ae5-84f7-086eee888be4}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 01:58 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"Pando"="C:\Program Files\Pando Networks\Pando\Pando.exe" [2008-06-02 17:02 6210888]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 08:02 815104]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-12-02 17:32 167936]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-17 00:11 49152]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 13:39 46704]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-02-09 04:10 77824]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-02-28 19:26 90191]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-02-28 19:26 7770112]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-02-28 19:26 81920]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-04-15 18:12 262401]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-06-19 11:35 1107848]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"fssui"="C:\Program Files\Windows Live\Contrôle parental\fssui.exe" [2007-12-17 12:12 243240]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 17:55:50 703280]
VersionTrackerPro.lnk - C:\Windows\Installer\{C1EDC38F-2760-4A4E-9CED-95B53024134C}\New_Shortcut_S1699_A8EB5A2133B04A97AEEFDFB17E2E701D.exe [2008-01-10 23:02:07 53248]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{E76F7445-502E-4F27-B0C6-BE3D8345F38C}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{B559F01C-6663-4C4A-86E0-780DD6E143E4}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{A8C3DD2D-DD2A-4C5D-91F4-3583B2F71022}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{4B2C2120-384B-4722-88EB-D14F7A177495}C:\\program files\\pando networks\\pando\\pando.exe"= UDP:C:\program files\pando networks\pando\pando.exe:pando
"UDP Query User{C69B0FD0-855B-4AB9-8505-8059C37D876C}C:\\program files\\pando networks\\pando\\pando.exe"= TCP:C:\program files\pando networks\pando\pando.exe:pando
"{D00009FD-682A-49C8-9BBA-259BB8129AD8}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{6132B0B9-3EE3-480D-833C-A85B92A87C3D}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{39DDD339-4036-4EDD-AC41-8E0E63304E70}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{8F04AE06-96A5-4859-80D7-88E7A618EF29}C:\\kav\\kav7.0\\french\\setup.exe"= UDP:C:\kav\kav7.0\french\setup.exe:Programme d'installation de Kaspersky Anti-Virus 7.0
"UDP Query User{592E5725-68A8-4A12-B1A9-FDA279F0E7A2}C:\\kav\\kav7.0\\french\\setup.exe"= TCP:C:\kav\kav7.0\french\setup.exe:Programme d'installation de Kaspersky Anti-Virus 7.0
"{D14DEC7C-4BAE-4D0A-9DF6-5A56C2D613F1}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{0B997FD5-CD5B-46F7-8556-F5EBE69032EB}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-05-08 21:59]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard helper service;C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-04-15 18:12]
R2 fssfltr;FssFltr;C:\Windows\system32\DRIVERS\fssfltr.sys [2007-10-17 14:53]
R2 fsssvc;Windows Live OneCare Contrôle parental;C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-12-17 12:13]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
S3 btwaudio;Périphérique audio Bluetooth;C:\Windows\system32\drivers\btwaudio.sys [2006-11-21 14:54]
S3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2006-11-21 14:54]
S3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-21 14:54]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\Windows\system32\DRIVERS\w200bus.sys [2006-11-07 10:42]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-07 12:51:30 C:\Windows\Tasks\User_Feed_Synchronization-{6A1D11CE-DFE3-452D-9D92-198742B668FC}.job"
- C:\Windows\system32\msfeedssync.exe
"2008-07-07 14:46:01 C:\Windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-07 18:20:58
Windows 6.0.6000 NTFS
detected NTDLL code modification:
ZwClose
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-07 18:23:26
ComboFix-quarantined-files.txt 2008-07-07 16:23:15
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Post-Run: 81,712,885,760 octets libres
134 --- E O F --- 2008-07-07 12:59:49
Etant absente hier pour raison porfessionnelle, je t'envoie maintenant le rapport de Combo fix.
ComboFix 08-07-05.1 - Marie-Laure 2008-07-07 18:14:32.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.391 [GMT 2:00]
Endroit: C:\Users\Marie-Laure\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-07 to 2008-07-07 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-07 16:13 --------- d---a-w C:\ProgramData\TEMP
2008-07-07 15:46 13,307 ----a-w C:\Users\Marie-Laure\AppData\Roaming\nvModes.dat
2008-07-07 14:35 --------- d-----w C:\Users\Marie-Laure\AppData\Roaming\VersionTracker Pro
2008-07-07 13:14 --------- d-----w C:\Program Files\Spyware Doctor
2008-07-05 21:37 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-07-05 20:48 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-07-05 20:26 --------- d-----w C:\Program Files\Navilog1
2008-07-04 10:41 --------- d-----w C:\Program Files\Trend Micro
2008-06-19 09:35 42,376 ----a-w C:\Windows\system32\drivers\ikfilesec.sys
2008-06-11 11:18 --------- d-----w C:\Program Files\Windows Mail
2008-06-08 14:14 --------- d-----w C:\Program Files\Pando Networks
2008-05-29 13:09 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll
2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-04-29 03:50 181,760 ----a-w C:\Windows\System32\fsquirt.exe
2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-04-23 04:27 428,032 ----a-w C:\Windows\System32\EncDec.dll
2008-04-23 04:27 292,352 ----a-w C:\Windows\System32\psisdecd.dll
2008-04-23 04:27 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2007-11-29 22:28 4 --sh--r C:\Users\All Users\sysqcl1129139270.dat
2007-11-29 22:28 4 --sh--r C:\ProgramData\sysqcl1129139270.dat
2007-11-16 14:05 180 ----a-w C:\Users\Marie-Laure\AppData\Roaming\wklnhst.dat
2007-09-01 21:19 174 --sha-w C:\Program Files\desktop.ini
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4f3ed5cd-0726-42a9-87f5-d13f3d2976ac}]
2007-12-17 12:12 56360 --a------ C:\Program Files\Windows Live\Contrôle parental\fssbho.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4}"= "C:\Program Files\PandoBar\bar\1.bin\PANDOBAR.DLL" [2007-10-01 16:42 266240]
[HKEY_CLASSES_ROOT\clsid\{e3ea4fd9-cade-4ae5-84f7-086eee888be4}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-09 01:58 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"Pando"="C:\Program Files\Pando Networks\Pando\Pando.exe" [2008-06-02 17:02 6210888]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-15 08:02 815104]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-12-02 17:32 167936]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-17 00:11 49152]
"HP Health Check Scheduler"="C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 13:39 46704]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-02-09 04:10 77824]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-02-28 19:26 90191]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-02-28 19:26 7770112]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-02-28 19:26 81920]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-04-15 18:12 262401]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-06-19 11:35 1107848]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"fssui"="C:\Program Files\Windows Live\Contrôle parental\fssui.exe" [2007-12-17 12:12 243240]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 17:55:50 703280]
VersionTrackerPro.lnk - C:\Windows\Installer\{C1EDC38F-2760-4A4E-9CED-95B53024134C}\New_Shortcut_S1699_A8EB5A2133B04A97AEEFDFB17E2E701D.exe [2008-01-10 23:02:07 53248]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{E76F7445-502E-4F27-B0C6-BE3D8345F38C}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{B559F01C-6663-4C4A-86E0-780DD6E143E4}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{A8C3DD2D-DD2A-4C5D-91F4-3583B2F71022}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"TCP Query User{4B2C2120-384B-4722-88EB-D14F7A177495}C:\\program files\\pando networks\\pando\\pando.exe"= UDP:C:\program files\pando networks\pando\pando.exe:pando
"UDP Query User{C69B0FD0-855B-4AB9-8505-8059C37D876C}C:\\program files\\pando networks\\pando\\pando.exe"= TCP:C:\program files\pando networks\pando\pando.exe:pando
"{D00009FD-682A-49C8-9BBA-259BB8129AD8}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{6132B0B9-3EE3-480D-833C-A85B92A87C3D}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{39DDD339-4036-4EDD-AC41-8E0E63304E70}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{8F04AE06-96A5-4859-80D7-88E7A618EF29}C:\\kav\\kav7.0\\french\\setup.exe"= UDP:C:\kav\kav7.0\french\setup.exe:Programme d'installation de Kaspersky Anti-Virus 7.0
"UDP Query User{592E5725-68A8-4A12-B1A9-FDA279F0E7A2}C:\\kav\\kav7.0\\french\\setup.exe"= TCP:C:\kav\kav7.0\french\setup.exe:Programme d'installation de Kaspersky Anti-Virus 7.0
"{D14DEC7C-4BAE-4D0A-9DF6-5A56C2D613F1}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{0B997FD5-CD5B-46F7-8556-F5EBE69032EB}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R2 AntiVirMailService;AntiVir PersonalEdition Premium MailGuard;C:\Program Files\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-05-08 21:59]
R2 AVEService;AntiVir PersonalEdition Premium MailGuard helper service;C:\Program Files\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-04-15 18:12]
R2 fssfltr;FssFltr;C:\Windows\system32\DRIVERS\fssfltr.sys [2007-10-17 14:53]
R2 fsssvc;Windows Live OneCare Contrôle parental;C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-12-17 12:13]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
S3 btwaudio;Périphérique audio Bluetooth;C:\Windows\system32\drivers\btwaudio.sys [2006-11-21 14:54]
S3 btwavdt;Bluetooth AVDT;C:\Windows\system32\drivers\btwavdt.sys [2006-11-21 14:54]
S3 btwrchid;btwrchid;C:\Windows\system32\DRIVERS\btwrchid.sys [2006-11-21 14:54]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\Windows\system32\DRIVERS\w200bus.sys [2006-11-07 10:42]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-07 12:51:30 C:\Windows\Tasks\User_Feed_Synchronization-{6A1D11CE-DFE3-452D-9D92-198742B668FC}.job"
- C:\Windows\system32\msfeedssync.exe
"2008-07-07 14:46:01 C:\Windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-07 18:20:58
Windows 6.0.6000 NTFS
detected NTDLL code modification:
ZwClose
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-07-07 18:23:26
ComboFix-quarantined-files.txt 2008-07-07 16:23:15
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Post-Run: 81,712,885,760 octets libres
134 --- E O F --- 2008-07-07 12:59:49
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
7 juil. 2008 à 21:12
7 juil. 2008 à 21:12
C:\Users\Marie-Laure\AppData\Roaming\nvModes.dat
C:\Users\All Users\sysqcl1129139270.dat
C:\ProgramData\sysqcl1129139270.dat
va sur virus total et fais examiner ces fichiers en gras
Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
Cliquer sur Outils > Options des dossiers > Affichage.
Sélectionner :
Cocher : Afficher les fichiers et dossiers cachés.
Décocher : Masquer les extensions des fichiers dont le type est connu.
Décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok
Cliquer sur ce lien
https://www.virustotal.com/gui/
cliquer sur Parcourir et indiquer le chemin du ou des fichier(s) que j’ai désigné(s).
Cliquer sur Send File
Au message Sending File, ne pas fermer cette fenêtre.
Patienter, au bout de quelques minutes, vous aurez dans l'encadré: Current status: finished
Faire un copier/coller du résultat et postez-le dans votre prochain message.
Recacher les fichiers dossiers
Décocher : Afficher les fichiers et dossiers cachés.
Recocher : Masquer les extensions des fichiers dont le type est connu.
Cocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok
poste les rapports obtenus
comment ce comporte le PC?
C:\Users\All Users\sysqcl1129139270.dat
C:\ProgramData\sysqcl1129139270.dat
va sur virus total et fais examiner ces fichiers en gras
Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
Cliquer sur Outils > Options des dossiers > Affichage.
Sélectionner :
Cocher : Afficher les fichiers et dossiers cachés.
Décocher : Masquer les extensions des fichiers dont le type est connu.
Décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok
Cliquer sur ce lien
https://www.virustotal.com/gui/
cliquer sur Parcourir et indiquer le chemin du ou des fichier(s) que j’ai désigné(s).
Cliquer sur Send File
Au message Sending File, ne pas fermer cette fenêtre.
Patienter, au bout de quelques minutes, vous aurez dans l'encadré: Current status: finished
Faire un copier/coller du résultat et postez-le dans votre prochain message.
Recacher les fichiers dossiers
Décocher : Afficher les fichiers et dossiers cachés.
Recocher : Masquer les extensions des fichiers dont le type est connu.
Cocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok
poste les rapports obtenus
comment ce comporte le PC?
5 juil. 2008 à 20:39
je suis dans le panneau de configuration > dois -je redémarrer pour valider les modifications (j'ai décoché en fait "utiliser le contrôles des comptes ..." c'est ce que tu voulais ??)