Sujet Précédent Sujet Suivant

Trojan bricoleur

Fermé
271162 - 9 juil. 2008 à 22:00
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 11 juil. 2008 à 09:48
Bonjour,
Je suis sur vista. Depuis quelques temps, des fentres publicitaires apparaissent sur mon écran et une application inconnue modifie les parametres (??). Je ne peux plus envoyer ni recevoir de messages par messenger et bitdefender est désactivé a chaque démarage. Bitdefender, svppybot et malwarebytes antimalware ne détectent rien. J'ai un rapport hisjackthis, mais je n'y comprend rien. Pouvez-vous m'aider svp.

12 réponses

Réponse 1 / 12
Amicalement6440 Messages postés 590 Date d'inscription mercredi 26 décembre 2007 Statut Membre Dernière intervention 28 décembre 2011 90
9 juil. 2008 à 22:03
Bonsoir

Pourrais-tu poster ton rapport hisjackthis s'il te plait ?

Dans l'attente
Amicalement
0
271162
10 juil. 2008 à 01:39
Bonsoir. Je viens de faire un scan avec Drweb qui a détecté 4 objets.exe. voici le rapprot hisjackthis que je viens de faire apres le scan. Le probleme c'est que je ne sais pas comment faire pour poster ce rapport ici.....
0
271162
10 juil. 2008 à 11:25
Voila le rappro Hisjackthis apres scan de Dr Web qui dit avoir enlevé 4 élements nuisible. Je doute, car rien n'a cxhangé et cette machine n'en fait qu'a sa tete.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:29:14, on 10/07/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\sdclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: stllssvr - Unknown owner - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
0
271162 > 271162
10 juil. 2008 à 23:04
+amicalement, que penses-tu de ce rapport hisjackthis? Parce-que hisjacjthis et smitfraudix me semblent plus éfficace. J'ai relancé DrWeb, il a retrouvé les memes élements qu'il avait éffacé hier soir....
autant dire que rien n'a changé.Je n'ai plus msn, email orange ne fonctionne plus, pour bitdefender, laz mise a jour a été désactivé.. Puis-je savoir ce que tu penses de tout ca? Merci
0
Réponse 2 / 12
yoda
9 juil. 2008 à 22:04
t'as essayer un scan en mode sans echec ?
0
271162
10 juil. 2008 à 01:45
oui, j'ai scanné en mode sans echec avec spybot c cleaner et malwarebyte anti malware, rien trouvé
comment je fais pour copier le rapport hisjackthis ici svp IoI ?
0
Réponse 3 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 07:15
slt tu fais tout simplement un copier/coller

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
_____________


Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
Réponse 4 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 11:39
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
0
271162
10 juil. 2008 à 12:47
je l'ai téléchargé mais il ne veut pas s'installer. Un probleme empeche son installation rien a faire
0
271162
10 juil. 2008 à 13:13
j'ai fais comme tu as dis, j'ai désactivé le compte utilisateur et cette fois il s'est installé il est en rain de scanner. Je poste le rapport des qu'il arrive merci
0
271162
10 juil. 2008 à 13:17
. J'ai donc désactivé le compte utilisateur comme tu as dis . Merci

Voici le rapport navilog.

earch Navipromo version 3.6.0 commencé le 10/07/2008 à 13:05:03,77
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "pimpinou"

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\users\pimpinou\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\pimpinou\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\pimpinou\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\pimpinou\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\pimpinou\AppData\Local" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\pimpinou\AppData\Local\Microsoft" :


* Dans "C:\Users\pimpinou\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 10/07/2008 à 13:15:15,40 ***
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 14:40
Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

___________

Télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sous le nom de antibagle sur le Bureau (donne lui ce nom avant qu'il soit enregistré sur le disque dur sinon, ça ne fonctionnera pas).

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
271162
10 juil. 2008 à 16:41
ComboFix 08-07-09.5 - pimpinou 2008-07-10 15:58:39.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.1.1036.18.396 [GMT 2:00]
Endroit: C:\Users\pimpinou\Desktop\antibagle\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\x64

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
.

2008-07-10 15:48 . 2008-07-10 15:51 <REP> d-------- C:\327882R2FWJFW
2008-07-10 13:02 . 2008-07-10 13:15 <REP> d-------- C:\Program Files\Navilog1
2008-07-09 22:15 . 2008-07-09 22:41 <REP> d-------- C:\Users\pimpinou\DoctorWeb
2008-07-09 21:34 . 2008-07-09 21:34 <REP> d-------- C:\Program Files\Trend Micro
2008-07-09 18:34 . 2008-07-09 18:35 <REP> d-------- C:\Program Files\Windows Live Toolbar
2008-07-09 14:37 . 2008-07-09 14:37 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-07-08 20:17 . 2008-07-08 20:50 <REP> d-------- C:\Users\All Users\Spybot - Search & Destroy
2008-07-08 20:17 . 2008-07-08 20:50 <REP> d-------- C:\ProgramData\Spybot - Search & Destroy
2008-07-08 20:17 . 2008-07-08 20:17 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-07-06 12:30 . 2008-07-06 12:30 <REP> d-------- C:\PerfLogs
2008-07-03 14:50 . 2008-07-09 02:54 <REP> d-------- C:\Users\pimpinou\AppData\Roaming\LimeWire
2008-07-03 14:48 . 2008-07-03 14:49 <REP> d-------- C:\Program Files\LimeWire
2008-06-24 16:09 . 2008-07-10 16:11 81,984 --a------ C:\Windows\System32\bdod.bin
2008-06-24 15:18 . 2008-06-24 15:18 <REP> d-------- C:\88360035e3b2b675d4
2008-06-24 13:32 . 2008-06-24 13:32 86,792 --a------ C:\Windows\System32\drivers\bdfndisf.sys
2008-06-24 11:23 . 2008-06-24 11:23 0 --a------ C:\qxijmpsv
2008-06-11 10:04 . 2008-04-25 04:12 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-06-11 10:04 . 2008-04-26 10:08 1,314,816 --a------ C:\Windows\System32\quartz.dll
2008-06-11 10:04 . 2008-04-25 06:35 826,880 --a------ C:\Windows\System32\wininet.dll
2008-06-11 10:04 . 2008-05-10 03:33 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-06-10 12:12 . 2008-07-08 14:19 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-10 12:12 . 2008-07-07 17:35 34,296 --a------ C:\Windows\System32\drivers\mbamcatchme.sys
2008-06-10 12:12 . 2008-07-07 17:35 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-06-10 11:00 . 2008-01-19 09:35 4,875,776 --a------ C:\Windows\System32\NlsData0009.dll
2008-06-10 10:59 . 2008-01-19 09:35 9,847,296 --a------ C:\Windows\System32\NlsData000a.dll
2008-06-10 10:58 . 2008-01-19 08:06 8,147,456 --a------ C:\Windows\System32\wmploc.DLL
2008-06-10 10:57 . 2008-01-19 09:33 599,552 --a------ C:\Windows\System32\vsp1cln.exe
2008-06-10 10:57 . 2008-01-05 13:31 145,455 --a------ C:\Windows\System32\perfmon.msc
2008-06-10 10:57 . 2008-01-05 13:22 144,909 --a------ C:\Windows\System32\fsmgmt.msc
2008-06-10 10:57 . 2008-01-05 13:39 150 --a------ C:\Windows\System32\RacUREx.xml
2008-06-10 10:57 . 2008-01-05 13:31 3 --a------ C:\Windows\System32\drivers\MsftWdf_Kernel_01007_Inbox_Critical.Wdf
2008-06-10 10:56 . 2008-01-19 09:36 704,512 --a------ C:\Windows\System32\SmiEngine.dll
2008-06-10 10:56 . 2008-01-19 09:36 357,888 --a------ C:\Windows\System32\wbemcomn.dll
2008-06-10 10:56 . 2008-01-19 09:36 139,264 --a------ C:\Windows\System32\SmiInstaller.dll
2008-06-10 10:55 . 2008-01-19 09:34 305,152 --a------ C:\Windows\System32\msdelta.dll
2008-06-10 10:55 . 2008-01-19 09:34 258,560 --a------ C:\Windows\System32\dpx.dll
2008-06-10 10:55 . 2008-01-19 09:34 246,784 --a------ C:\Windows\System32\drvstore.dll
2008-06-10 10:55 . 2008-01-19 09:36 218,624 --a------ C:\Windows\System32\wdscore.dll
2008-06-10 10:55 . 2008-01-19 09:33 130,560 --a------ C:\Windows\System32\PkgMgr.exe
2008-06-10 10:55 . 2008-01-19 09:35 35,328 --a------ C:\Windows\System32\mspatcha.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 13:25 --------- d-----w C:\ProgramData\Google Updater
2008-07-10 12:05 --------- d-----w C:\Users\pimpinou\AppData\Roaming\OpenOffice.org2
2008-07-10 09:12 --------- d-----w C:\Program Files\Windows Mail
2008-07-10 00:10 --------- d-----w C:\ProgramData\WLInstaller
2008-07-09 16:52 --------- d-----w C:\Program Files\Windows Live
2008-07-06 10:46 174 --sha-w C:\Program Files\desktop.ini
2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Sidebar
2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Collaboration
2008-07-06 10:35 --------- d-----w C:\Program Files\Windows Calendar
2008-07-06 10:34 --------- d-----w C:\Program Files\Windows Defender
2008-07-06 10:30 --------- d-----w C:\Program Files\Microsoft Games
2008-07-06 10:06 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-07-06 10:06 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-06-03 13:20 20 ---h--w C:\Users\All Users\PKP_DLdu.DAT
2008-06-03 13:20 20 ---h--w C:\ProgramData\PKP_DLdu.DAT
2008-05-31 09:58 --------- d-----w C:\Program Files\JeffProd
2008-05-18 15:43 --------- d-----w C:\Program Files\Yahoo!
2008-05-16 10:20 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-13 21:22 --------- d-----w C:\ProgramData\BitDefender
2008-05-13 21:21 --------- d-----w C:\Users\pimpinou\AppData\Roaming\Bitdefender
2008-05-13 21:20 --------- d-----w C:\Program Files\Common Files\BitDefender
2008-05-13 21:20 --------- d-----w C:\Program Files\BitDefender
2008-05-12 23:22 --------- d-----w C:\Program Files\Rival Chess
2008-05-12 15:42 --------- d-----w C:\Program Files\CCleaner
2008-05-12 08:55 --------- d-----w C:\Users\pimpinou\AppData\Roaming\Malwarebytes
2008-05-12 08:55 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-11 18:17 --------- d-----w C:\Program Files\Google
2008-05-11 17:52 691 ----a-w C:\Users\pimpinou\AppData\Roaming\GetValue.vbs
2008-05-11 17:52 35 ----a-w C:\Users\pimpinou\AppData\Roaming\SetValue.bat
2008-05-10 03:35 564,736 ----a-w C:\Windows\System32\emdmgmt.dll
2008-05-08 21:59 90,112 ----a-w C:\Windows\System32\wshext.dll
2008-05-08 21:59 430,080 ----a-w C:\Windows\System32\vbscript.dll
2008-05-08 21:59 180,224 ----a-w C:\Windows\System32\scrobj.dll
2008-05-08 21:59 172,032 ----a-w C:\Windows\System32\scrrun.dll
2008-05-08 21:59 155,648 ----a-w C:\Windows\System32\wscript.exe
2008-05-08 21:58 135,168 ----a-w C:\Windows\System32\cscript.exe
2008-04-27 20:36 319,456 ----a-w C:\Windows\DIFxAPI.dll
2008-04-26 08:25 3,600,952 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-04-26 08:25 3,549,240 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-04-24 06:10 86,528 ----a-w C:\Windows\System32\VACFix.exe
2008-04-22 14:21 34 ----a-w C:\ios32.sys
2008-04-12 03:32 784,896 ----a-w C:\Windows\System32\rpcrt4.dll
2007-11-07 11:11 0 ----a-w C:\Users\pimpinou\AppData\Roaming\wklnhst.dat
2007-08-30 20:49 319,488 ----a-w C:\Users\pimpinou\SETUP.EXE
2002-03-11 09:06 1,822,520 ----a-w C:\Users\pimpinou\instmsiw.exe
2002-03-11 08:45 1,708,856 ----a-w C:\Users\pimpinou\instmsia.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 09:33 1233920]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitDefender Antiphishing Helper"="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]
"BDAgent"="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe" [2008-06-24 13:32 368640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{61B517E4-EDC1-440E-95E0-052E907E92FA}"= Profile=Public|C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{A6CD5E37-D7E6-44FB-9C55-D12A0B69A80B}C:\\program files\\inventel\\gateway\\rgwrepair.exe"= UDP:C:\program files\inventel\gateway\rgwrepair.exe:RGWRepair
"UDP Query User{DDB1DB7D-59F2-47A8-96FE-6B8A19D71584}C:\\program files\\inventel\\gateway\\rgwrepair.exe"= TCP:C:\program files\inventel\gateway\rgwrepair.exe:RGWRepair
"{09ED023C-6FDD-4C79-9A87-77FDE843134F}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{13F38015-EF79-4F9E-AFB2-1DE36A76C935}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{FBA66376-B687-48B4-8733-17D25084FC9F}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{5641909E-5F6B-45D5-A761-91411EA0A13D}"= UDP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire
"{48947E77-0D4E-4F72-ACAB-BCAA83E68C08}"= TCP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire
"{2321148B-7454-4856-A26C-D8BD1E50272E}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F84F346C-6296-40C8-8C40-8508382BBB28}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\Windows\system32\DRIVERS\bdfndisf.sys [2008-06-24 13:32]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bdx REG_MULTI_SZ scan

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-10 13:41:04 C:\Windows\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
"2008-05-12 08:07:44 C:\Windows\Tasks\Uniblue SpyEraser.job"
- C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
"2008-07-10 12:45:05 C:\Windows\Tasks\User_Feed_Synchronization-{DF488DE0-FDC6-4D3F-84E0-D2925F4C11B4}.job"
- C:\Windows\system32\msfeedssync.exe
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)
HKU-Default-Run-Gestionnaire Antidote.exe - C:\Program Files\Druide\Antidote\Gestionnaire Antidote.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 16:10:13
Windows 6.0.6001 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-10 16:15:55
ComboFix-quarantined-files.txt 2008-07-10 14:14:53

Pre-Run: 230,664,982,528 octets libres
Post-Run: 230,639,067,136 octets libres

175 --- E O F --- 2008-07-10 09:07:07
0
271162 > 271162
10 juil. 2008 à 17:28
je comprends pas, dois-je effectué le scan de msnfix en mode normal. il écrit accés refusé??faut-il encore désactivé le systeme de sécurité et se déconnecter pour scanner?
0
Réponse 6 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 17:14
Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

________________

colle le rapport d'un scan en ligne
avec un des suivants:

Panda en ligne :
http://pandasoftware.fr

kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
0
271162
10 juil. 2008 à 17:23
je scan en mode normal c'est ca?
0
Réponse 7 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 17:24
oui
0
Réponse 8 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 17:30
ok désactive ton compte utilisateur comme ceci:

http://www.vic38.fr/...


et désactive bitdefender

et le tea timer de spybot ( MODE puis MODE AVANCE puis OUTILS puis RESIDENT)


et refais msnfix
0
271162
10 juil. 2008 à 18:34
MSNFix 1.732

C:\Users\pimpinou\Documents\Downloads\MSNFix
Fix exécuté le 10/07/2008 - 18:04:10,08 By pimpinou
mode normal

************************ Recherche les fichiers présents

... C:\Users\pimpinou\??????.exe
... C:\Users\pimpinou\????????.exe
... C:\Windows\system32\tmp.txt

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

.. OK ... C:\Users\pimpinou\??????.exe
/!\ ... C:\Users\pimpinou\????????.exe
.. OK ... C:\Windows\system32\tmp.txt



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


************************ Suppression des fichiers

.. OK ... C:\Users\pimpinou\????????.exe



************************ Fichiers suspects

Aucun Fichier trouvé


Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 10072008_18295657.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\Windows\system32\userinit.exe,

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0
Réponse 9 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 18:46
colle le rapport d'un scan en ligne
avec un des suivants:

Panda en ligne :
http://pandasoftware.fr

kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

______________

dis si encore des problèmes
0
271162
10 juil. 2008 à 20:44
les mises a jour de bitdefender ont été désactivées, pas moyent de les réactiver. msn messenger a disparu, impossible de l'installer??? msnfix aéffacé des elements nuisibles. j'ai effectué 2 scan avec msbfix? Le deuxieme il ne trouvait plus rien.
0
271162
10 juil. 2008 à 21:00
Pour faire un scan avec Panda, on demande une adresse email. Comme msn a été éffacé, j'ai donné celle de orange, mais la encore pas de message, donc impossible scanner avec panda.
Je sais que DrWeb a supprimé un élement nommé " backdoor' ne serait-ce pas lui qui a modifier des parametres...donc msn et adresse orange hors service? Je viens ici a chaque fois pour lire les réponses. ne sais plus que faire...j'arrive pas alerter Bitdefender, j'ai pas leur adresse. que faire...
0
271162
10 juil. 2008 à 21:00
Pour faire un scan avec Panda, on demande une adresse email. Comme msn a été éffacé, j'ai donné celle de orange, mais la encore pas de message, donc impossible scanner avec panda.
Je sais que DrWeb a supprimé un élement nommé " backdoor' ne serait-ce pas lui qui a modifier des parametres...donc msn et adresse orange hors service? Je viens ici a chaque fois pour lire les réponses. ne sais plus que faire...j'arrive pas alerter Bitdefender, j'ai pas leur adresse. que faire...
0
Réponse 10 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 22:37
fais un scan avec kaspersky en ligne alors
0
Réponse 11 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
10 juil. 2008 à 23:06
Télécharge MsnCleaner.zip de ElPiedra et décompresse le sur ton bureau. (Clic droit sur le fichier .zip puis Extraire tout).
Copier l’adresse suivante dans ton lien :
https://forospyware.com
• Redémarre le PC en Mode sans échec et connecte toi sous ton nom d'utilisateur habituel.Pour démarrer en mode sans échec.
• Double-clique sur MsnCleaner.exe pour le lancer.
• Sous Language, clique sur la petite flèche et choisis French.
• Clique sur le bouton Analyse.
• A la fin du scan un rapport va être créé.
• Si l'outil trouve une infection, clique sur le bouton Supprimer.
• Redémarre en mode normal.
• Poste le rapport C:\MsnCleaner.txt dans ta prochaine réponse..

_____________

scan avec clean msn:

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/50571.html
_____________

Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
(si cela reste sain plus de 5 minutes arrete et passe a la suite)
______________

colle le rapport d'un scan en ligne
avec un des suivants:

Panda en ligne :
http://pandasoftware.fr

kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

secuser en ligne :
http://www.secuser.com/outils/antivirus.htm

scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html

_______________

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)
0
271162
11 juil. 2008 à 01:08
regarde, c'est la liste d'objets trouves par DrWeb. 3 Riskwares et 5 HacktooProcess.exe;C:\Documents and
ComboFix.exe\327882R2FWJFW\psexec.cfexe;C:\Documents and Settings\pimpinou\Desktop\antibagle\ComboFix.exe;Program.PsExec.171;;
ComboFix.exe;C:\Documents and Settings\pimpinou\Desktop\antibagle;L'archive contient des éléments infectés;Quarantaine.;
stream022\livesrv.exe;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine\bdis.msi\stream022;Probablement DLOADER.Trojan;;
stream022;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine\bdis.msi;L'archive contient des éléments infectés;;
bdis.msi;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine;L'archive contient des éléments infectés;Quarantaine.;
ComboFix.exe\327882R2FWJFW\psexec.cfexe;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine\ComboFix.exe;Program.PsExec.171;;
ComboFix.exe;C:\Documents and Settings\pimpinou\DoctorWeb\Quarantine;L'archive contient des éléments infectés;Quarantaine.;
Process.exe;C:\Documents and Settings\pimpinou\Documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
Process.exe;C:\Documents and Settings\pimpinou\Mes documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
Process.exe;C:\Program Files\Navilog1;Tool.Prockill;Irréparable.Supprimé.;
Process.exe;C:\Users\pimpinou\Documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
Process.exe;C:\Users\pimpinou\Mes documents\Downloads\MSNFix\incl;Tool.Prockill;Chemin invalide pour le fichier ;
PSEXESVC.EXE;C:\Windows;Program.PsExec.170;Irréparable.Supprimé.;
0
Réponse 12 / 12
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
11 juil. 2008 à 09:48
rien : des elements en quarantaine dans spyware doctor: tu peux les virer

ensuite des logiciels que l'on a mis et qui sont des faux positif (navilog, combofix, msnfix)
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses