Trojan bricoleur

271162 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Je suis sur vista. Depuis quelques temps, des fentres publicitaires apparaissent sur mon écran et une application inconnue modifie les parametres (??). Je ne peux plus envoyer ni recevoir de messages par messenger et bitdefender est désactivé a chaque démarage. Bitdefender, svppybot et malwarebytes antimalware ne détectent rien. J'ai un rapport hisjackthis, mais je n'y comprend rien. Pouvez-vous m'aider svp.
Configuration: Windows Vista
Internet Explorer 7.0

12 réponses

  1. Amicalement6440 Messages postés 619 Statut Membre 90
     
    Bonsoir

    Pourrais-tu poster ton rapport hisjackthis s'il te plait ?

    Dans l'attente
    Amicalement
    0
    1. 271162
       
      Bonsoir. Je viens de faire un scan avec Drweb qui a détecté 4 objets.exe. voici le rapprot hisjackthis que je viens de faire apres le scan. Le probleme c'est que je ne sais pas comment faire pour poster ce rapport ici.....
      0
    2. 271162
       
      Voila le rappro Hisjackthis apres scan de Dr Web qui dit avoir enlevé 4 élements nuisible. Je doute, car rien n'a cxhangé et cette machine n'en fait qu'a sa tete.

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 01:29:14, on 10/07/2008
      Platform: Windows Vista SP1 (WinNT 6.00.1905)
      MSIE: Internet Explorer v7.00 (7.00.6001.18000)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Program Files\Internet Explorer\ieuser.exe
      C:\Windows\system32\SearchFilterHost.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\sdclt.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O1 - Hosts: ::1 localhost
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
      O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
      O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O13 - Gopher Prefix:
      O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe (file missing)
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
      O23 - Service: stllssvr - Unknown owner - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
      O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
      O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
      0
      1. 271162 > 271162
         
        +amicalement, que penses-tu de ce rapport hisjackthis? Parce-que hisjacjthis et smitfraudix me semblent plus éfficace. J'ai relancé DrWeb, il a retrouvé les memes élements qu'il avait éffacé hier soir....
        autant dire que rien n'a changé.Je n'ai plus msn, email orange ne fonctionne plus, pour bitdefender, laz mise a jour a été désactivé.. Puis-je savoir ce que tu penses de tout ca? Merci
        0
  2. yoda
     
    t'as essayer un scan en mode sans echec ?
    0
    1. 271162
       
      oui, j'ai scanné en mode sans echec avec spybot c cleaner et malwarebyte anti malware, rien trouvé
      comment je fais pour copier le rapport hisjackthis ici svp IoI ?
      0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt tu fais tout simplement un copier/coller

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
    _____________

    Fais un clic droit sur ce lien : (IL-MAFIOSO)
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    Télécharge maintenant Navilog1 depuis-ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

    en tant qu'administrateur".

    Au menu principal, Fais le choix 1
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche le blocnote va s'ouvrir.
    Copie-colle l'intégralité du rapport dans une réponse.
    Referme le blocnote
    Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
    0
    1. 271162
       
      je l'ai téléchargé mais il ne veut pas s'installer. Un probleme empeche son installation rien a faire
      0
    2. 271162
       
      j'ai fais comme tu as dis, j'ai désactivé le compte utilisateur et cette fois il s'est installé il est en rain de scanner. Je poste le rapport des qu'il arrive merci
      0
    3. 271162
       
      . J'ai donc désactivé le compte utilisateur comme tu as dis . Merci

      Voici le rapport navilog.

      earch Navipromo version 3.6.0 commencé le 10/07/2008 à 13:05:03,77
      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "pimpinou"

      Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO

      Microsoft Windows Vista 6.0.6001
      Internet Explorer : 7.0.6001.18000
      Système de fichiers : NTFS

      Recherche executé en mode normal

      *** Recherche Programmes installés ***


      *** Recherche dossiers dans "C:\Windows" ***


      *** Recherche dossiers dans "C:\Program Files" ***


      *** Recherche dossiers dans "C:\ProgramData" ***


      *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


      *** Recherche dossiers dans "c:\users\pimpinou\appdata\roaming\micros~1\windows\startm~1\programs" ***


      *** Recherche dossiers dans "C:\Users\pimpinou\AppData\Local\virtualstore\Program Files" ***


      *** Recherche dossiers dans "C:\Users\pimpinou\AppData\Roaming" ***

      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Aucun Fichier trouvé


      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans "C:\Windows\system32" *

      * Recherche dans "C:\Users\pimpinou\AppData\Local\Microsoft" *

      * Recherche dans "C:\Users\pimpinou\AppData\Local" *



      *** Recherche fichiers ***



      *** Recherche clés spécifiques dans le Registre ***


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans "C:\Windows\system32" :


      * Dans "C:\Users\pimpinou\AppData\Local\Microsoft" :


      * Dans "C:\Users\pimpinou\AppData\Local" :


      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le 10/07/2008 à 13:15:15,40 ***
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    ___________

    Télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sous le nom de antibagle sur le Bureau (donne lui ce nom avant qu'il soit enregistré sur le disque dur sinon, ça ne fonctionnera pas).

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. 271162
       
      ComboFix 08-07-09.5 - pimpinou 2008-07-10 15:58:39.1 - NTFSx86
      Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.1.1036.18.396 [GMT 2:00]
      Endroit: C:\Users\pimpinou\Desktop\antibagle\ComboFix.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Windows\system32\x64

      .
      ((((((((((((((((((((((((((((( Fichiers créés 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
      .

      2008-07-10 15:48 . 2008-07-10 15:51 <REP> d-------- C:\327882R2FWJFW
      2008-07-10 13:02 . 2008-07-10 13:15 <REP> d-------- C:\Program Files\Navilog1
      2008-07-09 22:15 . 2008-07-09 22:41 <REP> d-------- C:\Users\pimpinou\DoctorWeb
      2008-07-09 21:34 . 2008-07-09 21:34 <REP> d-------- C:\Program Files\Trend Micro
      2008-07-09 18:34 . 2008-07-09 18:35 <REP> d-------- C:\Program Files\Windows Live Toolbar
      2008-07-09 14:37 . 2008-07-09 14:37 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
      2008-07-08 20:17 . 2008-07-08 20:50 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy
      2008-07-08 20:17 . 2008-07-08 20:50 <REP> d-------- C:\ProgramData\Spybot - Search & Destroy
      2008-07-08 20:17 . 2008-07-08 20:17 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
      2008-07-06 12:30 . 2008-07-06 12:30 <REP> d-------- C:\PerfLogs
      2008-07-03 14:50 . 2008-07-09 02:54 <REP> d-------- C:\Users\pimpinou\AppData\Roaming\LimeWire
      2008-07-03 14:48 . 2008-07-03 14:49 <REP> d-------- C:\Program Files\LimeWire
      2008-06-24 16:09 . 2008-07-10 16:11 81,984 --a------ C:\Windows\System32\bdod.bin
      2008-06-24 15:18 . 2008-06-24 15:18 <REP> d-------- C:\88360035e3b2b675d4
      2008-06-24 13:32 . 2008-06-24 13:32 86,792 --a------ C:\Windows\System32\drivers\bdfndisf.sys
      2008-06-24 11:23 . 2008-06-24 11:23 0 --a------ C:\qxijmpsv
      2008-06-11 10:04 . 2008-04-25 04:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
      2008-06-11 10:04 . 2008-04-26 10:08 1,314,816 --a------ C:\Windows\System32\quartz.dll
      2008-06-11 10:04 . 2008-04-25 06:35 826,880 --a------ C:\Windows\System32\wininet.dll
      2008-06-11 10:04 . 2008-05-10 03:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
      2008-06-10 12:12 . 2008-07-08 14:19 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-06-10 12:12 . 2008-07-07 17:35 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys
      2008-06-10 12:12 . 2008-07-07 17:35 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
      2008-06-10 11:00 . 2008-01-19 09:35 4,875,776 --a------ C:\Windows\System32\NlsData0009.dll
      2008-06-10 10:59 . 2008-01-19 09:35 9,847,296 --a------ C:\Windows\System32\NlsData000a.dll
      2008-06-10 10:58 . 2008-01-19 08:06 8,147,456 --a------ C:\Windows\System32\wmploc.DLL
      2008-06-10 10:57 . 2008-01-19 09:33 599,552 --a------ C:\Windows\System32\vsp1cln.exe
      2008-06-10 10:57 . 2008-01-05 13:31 145,455 --a------ C:\Windows\System32\perfmon.msc
      2008-06-10 10:57 . 2008-01-05 13:22 144,909 --a------ C:\Windows\System32\fsmgmt.msc
      2008-06-10 10:57 . 2008-01-05 13:39 150 --a------ C:\Windows\System32\RacUREx.xml
      2008-06-10 10:57 . 2008-01-05 13:31 3 --a------ C:\Windows\System32\drivers\MsftWdf_Kernel_01007_Inbox_Critical.Wdf
      2008-06-10 10:56 . 2008-01-19 09:36 704,512 --a------ C:\Windows\System32\SmiEngine.dll
      2008-06-10 10:56 . 2008-01-19 09:36 357,888 --a------ C:\Windows\System32\wbemcomn.dll
      2008-06-10 10:56 . 2008-01-19 09:36 139,264 --a------ C:\Windows\System32\SmiInstaller.dll
      2008-06-10 10:55 . 2008-01-19 09:34 305,152 --a------ C:\Windows\System32\msdelta.dll
      2008-06-10 10:55 . 2008-01-19 09:34 258,560 --a------ C:\Windows\System32\dpx.dll
      2008-06-10 10:55 . 2008-01-19 09:34 246,784 --a------ C:\Windows\System32\drvstore.dll
      2008-06-10 10:55 . 2008-01-19 09:36 218,624 --a------ C:\Windows\System32\wdscore.dll
      2008-06-10 10:55 . 2008-01-19 09:33 130,560 --a------ C:\Windows\System32\PkgMgr.exe
      2008-06-10 10:55 . 2008-01-19 09:35 35,328 --a------ C:\Windows\System32\mspatcha.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-07-10 13:25 --------- d-----w C:\ProgramData\Google Updater
      2008-07-10 12:05 --------- d-----w C:\Users\pimpinou\AppData\Roaming\OpenOffice.org2
      2008-07-10 09:12 --------- d-----w C:\Program Files\Windows Mail
      2008-07-10 00:10 --------- d-----w C:\ProgramData\WLInstaller
      2008-07-09 16:52 --------- d-----w C:\Program Files\Windows Live
      2008-07-06 10:46 174 --sha-w C:\Program Files\desktop.ini
      2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Sidebar
      2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Photo Gallery
      2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Collaboration
      2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Calendar
      2008-07-06 10:34 --------- d-----w C:\Program Files\Windows Defender
      2008-07-06 10:30 --------- d-----w C:\Program Files\Microsoft Games
      2008-07-06 10:06 82,432 ----a-w C:\Windows\System32\axaltocm.dll
      2008-07-06 10:06 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
      2008-06-03 13:20 20 ---h--w C:\Users\All Users\PKP_DLdu.DAT
      2008-06-03 13:20 20 ---h--w C:\ProgramData\PKP_DLdu.DAT
      2008-05-31 09:58 --------- d-----w C:\Program Files\JeffProd
      2008-05-18 15:43 --------- d-----w C:\Program Files\Yahoo!
      2008-05-16 10:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-05-13 21:22 --------- d-----w C:\ProgramData\BitDefender
      2008-05-13 21:21 --------- d-----w C:\Users\pimpinou\AppData\Roaming\Bitdefender
      2008-05-13 21:20 --------- d-----w C:\Program Files\Common Files\BitDefender
      2008-05-13 21:20 --------- d-----w C:\Program Files\BitDefender
      2008-05-12 23:22 --------- d-----w C:\Program Files\Rival Chess
      2008-05-12 15:42 --------- d-----w C:\Program Files\CCleaner
      2008-05-12 08:55 --------- d-----w C:\Users\pimpinou\AppData\Roaming\Malwarebytes
      2008-05-12 08:55 --------- d-----w C:\ProgramData\Malwarebytes
      2008-05-11 18:17 --------- d-----w C:\Program Files\Google
      2008-05-11 17:52 691 ----a-w C:\Users\pimpinou\AppData\Roaming\GetValue.vbs
      2008-05-11 17:52 35 ----a-w C:\Users\pimpinou\AppData\Roaming\SetValue.bat
      2008-05-10 03:35 564,736 ----a-w C:\Windows\System32\emdmgmt.dll
      2008-05-08 21:59 90,112 ----a-w C:\Windows\System32\wshext.dll
      2008-05-08 21:59 430,080 ----a-w C:\Windows\System32\vbscript.dll
      2008-05-08 21:59 180,224 ----a-w C:\Windows\System32\scrobj.dll
      2008-05-08 21:59 172,032 ----a-w C:\Windows\System32\scrrun.dll
      2008-05-08 21:59 155,648 ----a-w C:\Windows\System32\wscript.exe
      2008-05-08 21:58 135,168 ----a-w C:\Windows\System32\cscript.exe
      2008-04-27 20:36 319,456 ----a-w C:\Windows\DIFxAPI.dll
      2008-04-26 08:25 3,600,952 ----a-w C:\Windows\System32\ntkrnlpa.exe
      2008-04-26 08:25 3,549,240 ----a-w C:\Windows\System32\ntoskrnl.exe
      2008-04-24 06:10 86,528 ----a-w C:\Windows\System32\VACFix.exe
      2008-04-22 14:21 34 ----a-w C:\ios32.sys
      2008-04-12 03:32 784,896 ----a-w C:\Windows\System32\rpcrt4.dll
      2007-11-07 11:11 0 ----a-w C:\Users\pimpinou\AppData\Roaming\wklnhst.dat
      2007-08-30 20:49 319,488 ----a-w C:\Users\pimpinou\SETUP.EXE
      2002-03-11 09:06 1,822,520 ----a-w C:\Users\pimpinou\instmsiw.exe
      2002-03-11 08:45 1,708,856 ----a-w C:\Users\pimpinou\instmsia.exe
      .

      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]
      "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]
      "BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-06-24 13:32 368640]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "EnableLUA"= 0 (0x0)
      "EnableUIADesktopToggle"= 0 (0x0)

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
      "NoResolveTrack"= 1 (0x1)

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "NoResolveTrack"= 1 (0x1)

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "UacDisableNotify"=dword:00000001
      "InternetSettingsDisableNotify"=dword:00000001
      "AutoUpdateDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
      "{61B517E4-EDC1-440E-95E0-052E907E92FA}"= Profile=Public|C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
      "TCP Query User{A6CD5E37-D7E6-44FB-9C55-D12A0B69A80B}C:\\program files\\inventel\\gateway\\rgwrepair.exe"= UDP:C:\program files\inventel\gateway\rgwrepair.exe:RGWRepair
      "UDP Query User{DDB1DB7D-59F2-47A8-96FE-6B8A19D71584}C:\\program files\\inventel\\gateway\\rgwrepair.exe"= TCP:C:\program files\inventel\gateway\rgwrepair.exe:RGWRepair
      "{09ED023C-6FDD-4C79-9A87-77FDE843134F}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
      "TCP Query User{13F38015-EF79-4F9E-AFB2-1DE36A76C935}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
      "UDP Query User{FBA66376-B687-48B4-8733-17D25084FC9F}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
      "{5641909E-5F6B-45D5-A761-91411EA0A13D}"= UDP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire
      "{48947E77-0D4E-4F72-ACAB-BCAA83E68C08}"= TCP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire
      "{2321148B-7454-4856-A26C-D8BD1E50272E}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
      "{F84F346C-6296-40C8-8C40-8508382BBB28}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

      R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
      R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\Windows\system32\DRIVERS\bdfndisf.sys [2008-06-24 13:32]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
      bdx REG_MULTI_SZ scan

      *Newly Created Service* - CATCHME
      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2008-07-10 13:41:04 C:\Windows\Tasks\Check Updates for Windows Live Toolbar.job"
      - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
      "2008-05-12 08:07:44 C:\Windows\Tasks\Uniblue SpyEraser.job"
      - C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
      "2008-07-10 12:45:05 C:\Windows\Tasks\User_Feed_Synchronization-{DF488DE0-FDC6-4D3F-84E0-D2925F4C11B4}.job"
      - C:\Windows\system32\msfeedssync.exe
      .
      - - - - ORPHANS REMOVED - - - -

      WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
      HKU-Default-Run-Gestionnaire Antidote.exe - C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe


      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-07-10 16:10:13
      Windows 6.0.6001 Service Pack 1 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      Scan terminé avec succès
      Les fichiers cachés: 0

      **************************************************************************
      .
      Temps d'accomplissement: 2008-07-10 16:15:55
      ComboFix-quarantined-files.txt 2008-07-10 14:14:53

      Pre-Run: 230,664,982,528 octets libres
      Post-Run: 230,639,067,136 octets libres

      175 --- E O F --- 2008-07-10 09:07:07
      0
      1. 271162 > 271162
         
        je comprends pas, dois-je effectué le scan de msnfix en mode normal. il écrit accés refusé??faut-il encore désactivé le systeme de sécurité et se déconnecter pour scanner?
        0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge MSNFix de Laurent
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le et double clic sur le fichier MSNFix.bat.
    - Exécute l'option R.
    --Si l'infection est détectée, exécute l'option N
    - Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    ________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    Panda en ligne :
    http://pandasoftware.fr

    kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    0
    1. 271162
       
      je scan en mode normal c'est ca?
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok désactive ton compte utilisateur comme ceci:

    http://www.vic38.fr/...

    et désactive bitdefender

    et le tea timer de spybot ( MODE puis MODE AVANCE puis OUTILS puis RESIDENT)

    et refais msnfix
    0
    1. 271162
       
      MSNFix 1.732

      C:\Users\pimpinou\Documents\Downloads\MSNFix
      Fix exécuté le 10/07/2008 - 18:04:10,08 By pimpinou
      mode normal

      ************************ Recherche les fichiers présents

      ... C:\Users\pimpinou\??????.exe
      ... C:\Users\pimpinou\????????.exe
      ... C:\Windows\system32\tmp.txt

      ************************ Recherche les dossiers présents

      Aucun dossier trouvé




      ************************ Suppression des fichiers

      .. OK ... C:\Users\pimpinou\??????.exe
      /!\ ... C:\Users\pimpinou\????????.exe
      .. OK ... C:\Windows\system32\tmp.txt



      ************************ Nettoyage du registre



      Les fichiers encore présents seront supprimés au prochain redémarrage


      ************************ Suppression des fichiers

      .. OK ... C:\Users\pimpinou\????????.exe



      ************************ Fichiers suspects

      Aucun Fichier trouvé


      Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 10072008_18295657.zip

      ************************ HKLM\...\Winlogon\Userinit

      Userinit = C:\Windows\system32\userinit.exe,

      ------------------------------------------------------------------------
      Auteur : !aur3n7 Contact: https://www.ionos.fr/
      ------------------------------------------------------------------------

      --------------------------------------------- END ---------------------------------------------
      0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    colle le rapport d'un scan en ligne
    avec un des suivants:

    Panda en ligne :
    http://pandasoftware.fr

    kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    ______________

    dis si encore des problèmes
    0
    1. 271162
       
      les mises a jour de bitdefender ont été désactivées, pas moyent de les réactiver. msn messenger a disparu, impossible de l'installer??? msnfix aéffacé des elements nuisibles. j'ai effectué 2 scan avec msbfix? Le deuxieme il ne trouvait plus rien.
      0
    2. 271162
       
      Pour faire un scan avec Panda, on demande une adresse email. Comme msn a été éffacé, j'ai donné celle de orange, mais la encore pas de message, donc impossible scanner avec panda.
      Je sais que DrWeb a supprimé un élement nommé " backdoor' ne serait-ce pas lui qui a modifier des parametres...donc msn et adresse orange hors service? Je viens ici a chaque fois pour lire les réponses. ne sais plus que faire...j'arrive pas alerter Bitdefender, j'ai pas leur adresse. que faire...
      0
    3. 271162
       
      Pour faire un scan avec Panda, on demande une adresse email. Comme msn a été éffacé, j'ai donné celle de orange, mais la encore pas de message, donc impossible scanner avec panda.
      Je sais que DrWeb a supprimé un élement nommé " backdoor' ne serait-ce pas lui qui a modifier des parametres...donc msn et adresse orange hors service? Je viens ici a chaque fois pour lire les réponses. ne sais plus que faire...j'arrive pas alerter Bitdefender, j'ai pas leur adresse. que faire...
      0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    fais un scan avec kaspersky en ligne alors
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Télécharge MsnCleaner.zip de ElPiedra et décompresse le sur ton bureau. (Clic droit sur le fichier .zip puis Extraire tout).
    Copier l’adresse suivante dans ton lien :
    https://forospyware.com
    • Redémarre le PC en Mode sans échec et connecte toi sous ton nom d'utilisateur habituel.Pour démarrer en mode sans échec.
    • Double-clique sur MsnCleaner.exe pour le lancer.
    • Sous Language, clique sur la petite flèche et choisis French.
    • Clique sur le bouton Analyse.
    • A la fin du scan un rapport va être créé.
    • Si l'outil trouve une infection, clique sur le bouton Supprimer.
    • Redémarre en mode normal.
    • Poste le rapport C:\MsnCleaner.txt dans ta prochaine réponse..

    _____________

    scan avec clean msn:

    https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/50571.html
    _____________

    Télécharge RavAntivirus d'Evosla :
    http://ww25.evosla.com/compteur.php?soft=rav_antivirus

    # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
    # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
    # Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
    # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
    # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
    # Retire tes disques amovibles et redémarrez votre ordinateur.
    # Poste le rapport, si infection!
    (si cela reste sain plus de 5 minutes arrete et passe a la suite)
    ______________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    Panda en ligne :
    http://pandasoftware.fr

    kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    secuser en ligne :
    http://www.secuser.com/outils/antivirus.htm

    scan en ligne firefox

    https://www.trendmicro.com/fr_fr/business.html

    _______________

    Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique maintenant sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Poste le rapport généré. (C:\TB.txt)
    0
    1. 271162
       
      regarde, c'est la liste d'objets trouves par DrWeb. 3 Riskwares et 5 HacktooProcess.exe;C:\Documents and
      ComboFix.exe\327882R2FWJFW\psexec.cfexe;C:\Documents and Settings\pimpinou\Desktop\antibagle\ComboFix.exe;Program.PsExec.171;;
      ComboFix.exe;C:\Documents and Settings\pimpinou\Desktop\antibagle;L'archive contient des éléments infectés;Quarantaine.;
      stream022\livesrv.exe;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine\bdis.msi\stream022;Probablement DLOADER.Trojan;;
      stream022;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine\bdis.msi;L'archive contient des éléments infectés;;
      bdis.msi;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine;L'archive contient des éléments infectés;Quarantaine.;
      ComboFix.exe\327882R2FWJFW\psexec.cfexe;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine\ComboFix.exe;Program.PsExec.171;;
      ComboFix.exe;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine;L'archive contient des éléments infectés;Quarantaine.;
      Process.exe;C:\Documents and Settings\pimpinou\Documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
      Process.exe;C:\Documents and Settings\pimpinou\Mes documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
      Process.exe;C:\Program Files\Navilog1;Tool.Prockill;Irréparable.Supprimé.;
      Process.exe;C:\Users\pimpinou\Documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
      Process.exe;C:\Users\pimpinou\Mes documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
      PSEXESVC.EXE;C:\Windows;Program.PsExec.170;Irréparable.Supprimé.;
      0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    rien : des elements en quarantaine dans spyware doctor: tu peux les virer

    ensuite des logiciels que l'on a mis et qui sont des faux positif (navilog, combofix, msnfix)
    0