Publicité intempéstible

Résolu
will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,
J'ai des pub qui s'ouvre tout le temps

voila le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:40:13, on 03/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\GameSpy\Comrade\Comrade.exe
C:\documents and settings\chrystopher.chrys\local settings\application data\owugw.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe
O4 - HKCU\..\Run: [owugw] c:\documents and settings\chrystopher.chrys\local settings\application data\owugw.exe owugw
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/default.aspx
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Configuration: Windows XP
Opera 9.50

37 réponses

  • 1
  • 2
Résumé de la discussion

Des publicités intrusives apparaissent régulièrement et un rapport HijackThis signale une contamination potentielle avec des éléments suspectés dans le navigateur et des processus système liés à des modules malveillants. Plusieurs conseils convergent vers la désinfection via Malwarebytes, la mise à jour de Java et d'Adobe Reader, puis l'utilisation d'outils de suppression comme SDFix et SmitFraudFix en mode sans échec. L'analyse révèle la présence de Navipromo et de fichiers owugw et paramètres associés, avec des résultats de nettoyage qui impliquent la suppression de certificats et la vérification des programmes installés. En pratique, l'accès au mode sans échec peut être compliqué par un multiboot, ce qui peut nécessiter des ajustements spécifiques et une approche progressive du nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Salut !!

    commence par faire ceci stp :

    télécharger sur le bureau Navilog1 : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Si votre antivirus s'affole , le désactiver
    =sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur
    =sous XP : double-clic dessus pour l'installer et le lancer

    Quand installé
    = taper F
    = Appuyer sur une touche jusqu' arriver aux options
    = Choisir Recherche ( = taper 1 )
    ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

    un rapport : fixnavi.txt
    dans ==> C :
    le copier et le coller dans la réponse
    0
  2. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    voila le rapport :

    earch Navipromo version 3.6.1 commencé le 07/08/2008 à 20:11:17,04

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "chrystopher"

    Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.13
    Système de fichiers : NTFS

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    Favorit

    *** Recherche dossiers dans "C:\WINDOWS" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\chrystopher.CHRYS\applic~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\chrystopher.CHRYS\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\chrystopher.CHRYS\menudm~1\progra~1" ***

    *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier Navipromo trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\chrystopher.CHRYS\locals~1\applic~1" *

    Fichiers trouvés :

    owugw.exe trouvé !
    owugw.dat trouvé !
    owugw_nav.dat trouvé !
    owugw_navps.dat trouvé !

    * Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    * Dans "C:\Documents and Settings\chrystopher.CHRYS\locals~1\applic~1" :

    owugw.dat trouvé !
    owugw_nav.dat trouvé !
    owugw_navps.dat trouvé !

    * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 07/08/2008 à 20:12:49,06 ***
    0
  3. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    ok maintenant :

    - Double-Clic navilog1
    - Choisir cette fois option 2 taper 2
    note : le bureau disparaît
    -redémarrage du pc
    - mettre le rapport dans la réponse

    ensuite :

    télécharge combofix (par sUBs) ici :

    https://forospyware.com

    et enregistre le sur le Bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    ensuite :

    Télécharger sur le bureau malware bytes : http://ww.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware?thread

    = double-clic sur mbam-setup pour lancer l'installation
    = Installer simplement sans rien modifier
    = Quand le programme lancé ==> faire une mise à jour ensuite cocher Exécuter un examen complet
    = Clic Rechercher
    = Eventuellement décocher les disque à ne pas analyser
    = Clic Lancer l'examen
    = En fin de scan , si infection trouvée
    ==> Clic Afficher résultat
    = Fermer vos applications en cours
    = Vérifier si tout est coché et clic Supprimer la sélection

    un rapport s'ouvre le copier et le coller dans la réponse

    Puis redémarrer le pc !!

    Et refais un nouveau rapport hijackthis stp
    0
  4. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    voila le 2eme

    Clean Navipromo version 3.6.1 commencé le 07/08/2008 à 20:26:41,35

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "chrystopher"

    Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.13
    Système de fichiers : NTFS

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Nettoyage exécuté au redémarrage de l'ordinateur

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\WINDOWS\System32" *

    C:\WINDOWS\prefetch\owugw*.pf trouvé !
    Copie C:\WINDOWS\prefetch\owugw*.pf réalisée avec succès !
    C:\WINDOWS\prefetch\owugw*.pf supprimé !

    * Suppression dans "C:\Documents and Settings\chrystopher.CHRYS\locals~1\applic~1" *

    owugw.exe trouvé !
    Copie owugw.exe réalisée avec succès !
    owugw.exe supprimé !

    owugw.dat trouvé !
    Copie owugw.dat réalisée avec succès !
    owugw.dat supprimé !

    owugw_nav.dat trouvé !
    Copie owugw_nav.dat réalisée avec succès !
    owugw_nav.dat supprimé !

    owugw_navps.dat trouvé !
    Copie owugw_navps.dat réalisée avec succès !
    owugw_navps.dat supprimé !

    * Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

    *** Suppression dossiers dans "C:\WINDOWS" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

    *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\chrystopher.CHRYS\applic~1" ***

    *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\chrystopher.CHRYS\locals~1\applic~1" ***

    *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

    *** Suppression dossiers dans "C:\Documents and Settings\chrystopher.CHRYS\menudm~1\progra~1" ***

    *** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

    *** Suppression fichiers ***

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\chrystopher.CHRYS\locals~1\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\WINDOWS\system32" *

    * Dans "C:\Documents and Settings\chrystopher.CHRYS\locals~1\applic~1" *

    * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !
    Certificat Electronic-Group supprimé !
    Certificat OOO-Favorit supprimé !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Nettoyage terminé le 07/08/2008 à 20:29:03,78 ***
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    voila le rapport de combofix :

    ComboFix 08-08-07.01 - chrystopher 2008-08-07 20:35:11.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1581 [GMT 2:00]
    Endroit: C:\Documents and Settings\chrystopher.CHRYS\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\OPTIONS\CABS\_desktop.ini
    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\system32\tmp61.tmp
    C:\WINDOWS\system32\tmp62.tmp
    C:\WINDOWS\system32\tmp68.tmp
    C:\WINDOWS\system32\tmp69.tmp

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-07-07 to 2008-08-07 ))))))))))))))))))))))))))))))))))))
    .

    2008-08-07 20:10 . 2008-08-07 20:29 <REP> d-------- C:\Program Files\Navilog1
    2008-08-03 17:40 . 2008-08-03 17:40 <REP> d-------- C:\Program Files\Trend Micro
    2008-08-03 17:15 . 2008-08-03 22:08 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-08-03 17:15 . 2008-08-03 20:07 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-08-03 16:57 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
    2008-08-03 16:57 . 2008-06-14 19:59 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-08-03 01:47 . 2008-08-03 01:47 <REP> d-------- C:\Program Files\Avira
    2008-08-03 01:47 . 2008-08-03 01:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-08-02 23:55 . 2008-08-02 23:55 <REP> dr-h----- C:\Documents and Settings\chrystopher.CHRYS\Application Data\SecuROM
    2008-08-02 23:54 . 2008-08-02 23:54 <REP> d-------- C:\Program Files\GameSpy
    2008-08-02 23:53 . 2008-08-02 23:53 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-03 20:14 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
    2008-08-03 14:58 --------- d-----w C:\Program Files\Alwil Software
    2008-08-02 21:53 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
    2008-08-02 21:53 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-08-02 21:53 22,328 ----a-w C:\Documents and Settings\chrystopher.CHRYS\Application Data\PnkBstrK.sys
    2008-08-02 21:53 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    2008-07-27 22:14 444,952 ----a-w C:\WINDOWS\system32\wrap_oal.dll
    2008-07-27 22:14 109,080 ----a-w C:\WINDOWS\system32\OpenAL32.dll
    2008-07-27 21:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-07-14 21:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Codemasters
    2008-06-24 20:02 --------- d-----w C:\Program Files\OpenAL
    2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
    "Comrade.exe"="C:\Program Files\GameSpy\Comrade\Comrade.exe" [2007-06-29 15:03 36864]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-13 23:26 8523776]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-13 23:26 81920]
    "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
    "36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2007-02-06 14:08 1953792]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
    "nwiz"="nwiz.exe" [2007-11-13 23:27 1626112 C:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2008-03-26 16:14 16859136 C:\WINDOWS\RTHDCPL.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "F:\\jeux\\pes 08\\install pes 08\\PES2008.exe"=
    "F:\\jeux\\aoe3\\aoe3 install\\age3x.exe"=
    "F:\\jeux\\aoe3\\aoe3 install\\age3y.exe"=
    "F:\\jeux\\EMPIRE EARTH3\\INSTALL EE3\\EE3.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "F:\\jeux\\sins of a solar\\install sins of a solar empire\\Stardock Games\\Sins of a Solar Empire\\Sins of a Solar Empire.exe"=
    "F:\\jeux\\fifa 08\\install fifa\\FIFA08.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "F:\\jeux\\Callofduty4\\instal\\iw3mp.exe"=
    "F:\\jeux\\assassin's creed\\install\\AssassinsCreed_Dx9.exe"=
    "F:\\jeux\\assassin's creed\\install\\AssassinsCreed_Dx10.exe"=
    "F:\\jeux\\assassin's creed\\install\\AssassinsCreed_Launcher.exe"=
    "F:\\jeux\\Condition Zero\\hl.exe"=
    "F:\\jeux\\grid\\install grid\\GRID.exe"=
    "F:\\jeux\\crysis\\install\\Bin32\\Crysis.exe"=
    "F:\\jeux\\crysis\\install\\Bin32\\CrysisDedicatedServer.exe"=
    "C:\\Program Files\\GameSpy\\Comrade\\Comrade.exe"=
    "F:\\jeux\\aoe3\\aoe3 install\\age3.exe"=

    S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys []

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{28986e20-2296-11dd-936e-001a4d4950ce}]
    \Shell\AutoRun\command - L:\setupSNK.exe

    *Newly Created Service* - PROCEXP90
    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-DSLAGENTEXE - dslagent.exe

    .
    ------- Supplementary Scan -------
    .
    O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-07 20:36:12
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-08-07 20:36:35
    ComboFix-quarantined-files.txt 2008-08-07 18:36:34

    Pre-Run: 31,755,329,536 octets libres
    Post-Run: 32,221,573,120 octets libres

    117 --- E O F --- 2008-08-03 16:16:24
    0
  7. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    Comme antivirus gratuit vous me conseillé quoi?

    AVG
    AVAST
    ou ANTIVIR?
    0
  8. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    antivir sans hésitation...je te donnerai les liens apres, fais la suite stp
    0
  9. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    oui jsui sur malwarebyte, ca va prendre du temps, jai 3 disques dur
    0
  10. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    ok laisse le bien finir...il a déjà trouvé des fichiers infectés ??
    0
  11. absoluteherb
     
    je suis ravis des anti-virus dont vous me proposez, ces histoire m'ont foutu les machines en l'air. j'essaie et je te donne le feetback
    0
  12. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    il a rien trouver
    voila le rapport :

    Malwarebytes' Anti-Malware 1.24
    Version de la base de données: 1031
    Windows 5.1.2600 Service Pack 2

    21:23:15 07/08/2008
    mbam-log-8-7-2008 (21-23-15).txt

    Type de recherche: Examen complet (C:\|F:\|H:\|)
    Eléments examinés: 165689
    Temps écoulé: 35 minute(s), 6 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  13. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    ok..refais un nouveau rapport hijackthis stp
    0
  14. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    voila :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:30:46, on 07/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\GameSpy\Comrade\Comrade.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Comrade.exe] C:\Program Files\GameSpy\Comrade\Comrade.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    0
  15. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    les versions antérieures ne sont pas desinstallé lors des mises à jour?
    0
  16. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    je crois qu adobe la remplace mais pas java
    0
  17. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    Tout à l'air bon, pas de pub depui
    0
  18. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    C était quoi comme genre de pubs ??
    0
  19. will974du91 Messages postés 44 Date d'inscription   Statut Membre Dernière intervention   67
     
    pluto des pub antivirus, mo pc est infecté de se genre
    0
  20. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    fais quand meme ce qui suit pour etre sure stp :

    Télécharger SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur le Bureau.
    > Démarre en mode sans échec : après le bip et avant le logo windows tapoter sur la touche F8 (ou F5): menu M.S.E..

    Choisir son compte, pas celui de l'Administrateur ou autre.

    Dérouler la liste des instructions ci-dessous :
    • Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuyer sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuyer sur une touche pour redémarrer le PC.
    • Le système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse sur le forum

    ensuite :

    Option 1 - Recherche :

    télécharge smitfraudfix et enregistre le sur le bureau : http://telechargement.zebulon.fr/smitfraudfix.html

    Ensuite double clique sur smitfraudfix puis exécuter

    Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

    copier/coller le rapport dans la réponse.
    0
  • 1
  • 2