Sujet Précédent Sujet Suivant

Win32:Spyware-gen

Fermé
Elara - 15 août 2008 à 15:42
 Utilisateur anonyme - 16 août 2008 à 00:12
Bonjour à tous,
Depuis quelques jours je suis embêtée par un trojan et j'avoue avoir besoin d'un petit coup de main : )
Avast m'a signaler à plusieurs reprise que j'étais infectée par le Trojan Win32:Spyware-gen. Je le met donc en quarantaine et le jour suivant quand je lance le pc j'ai de nouveau le message d'alerte..
Parait il que les mettre en quarantaine ne les dérange pas donc je viens chercher de l'aide ^^
J'ai fais des recherches virus avec Avast, utiliser Ad-Aware, Spybot, Malwarebyte, Regsupreme (Je pense pas pouvoir trouver énormément d'autre chose à faire ^^)
Après recherche ça semble être un truc relativement courant comme problème et le conseil numéro un est de copier / coller le rapport fait avec HijackThis c'est donc ce que je vais faire :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:20:25, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
E:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
E:\Program Files\Diskeeper\DkService.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - E:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - E:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\windows\servicepackfiles\i386\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\windows\servicepackfiles\i386\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Diskeeper - Diskeeper Corporation - E:\Program Files\Diskeeper\DkService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
A voir également:

38 réponses

  • 1
  • 2
Réponse 1 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 16:24
Salut, peux tu poster ton rapport malware stp ?
0
Réponse 2 / 38
Elara
15 août 2008 à 16:42
Malware ne trouve strictement rien mais voila tout de même le rapport :

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1038
Windows 5.1.2600 Service Pack 2

16:40:45 15/08/2008
mbam-log-8-15-2008 (16-40-45).txt

Type de recherche: Examen rapide
Eléments examinés: 41402
Temps écoulé: 1 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 3 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 16:55
Ton analyse malware, tu l'as fait en MSE ?? ( mode sans échec )
0
Réponse 4 / 38
Elara
15 août 2008 à 17:07
Oui ça a été fait en Mode Sans Echec
Je me dit qu'il doit y avoir quelque chose d'étrange dans le fait de ne rien trouver mais bon ^^'
Une des choses que je ne comprend pas c'est qu'après mes alertes je met en quarantaine et ensuite plus rien jusqu'au lendemain lors du lancement du pc :s J'aurais penser que, vu que le problème est encore la, on m'en informerait a chaque reboot au minimum et non une fois par jour..
Bref, on verra bien : )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 17:12
as tu appliqué la quarantaine de ton antivirus ?
Est il à jour ?
0
Réponse 6 / 38
Elara
15 août 2008 à 17:20
Tout est à jour.
Si ça pose problème pour trouver une solution je pourrais toujours essayer de prendre plus d'info la prochaine fois (demain?) que j'aurais cette fameuse alerte : )
0
Réponse 7 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 17:28
oui, essaye de poster l'intégrale du contenu de l'alerte, iccompris le chemin d'accès vers ce fichier
0
Réponse 8 / 38
Elara
15 août 2008 à 17:30
En attendant je tiens à te remercier pour l'aide que tu m'apportes ! : )
0
Réponse 9 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 17:31
De rien. Si tu veux que ca aille plus vite, redémarre vite ton pc maintenant et poste l'alerte
0
Réponse 10 / 38
Elara
15 août 2008 à 17:52
Jusque la ça faisait 3 jour que l'alerte n'apparaissait qu'une fois par jour, lors du premier démarage.
Je viens de reboot (je ne suis pas en mode sans echec), j'ai commencer à faire des recherche virus et tout à coup :

http://img168.imageshack.us/img168/6898/chevaldetroiemh5.jpg
0
Réponse 11 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 18:19
ok je vois, écoute, on va essayer qqch, j'espere que ca va marcher. Tu vas redémarrer ton pc et le mettre en MSE ( mode sans échec )
Pour ce faire, press F5 au démarrage et sélectionne MSE
Choisis ta session habituelle
Ensuite,
-menu démarrer
-poste de travail
-disque local ( C:/ )
- Windows
- System32
- el32.dll
Fais un clic droit dessus et clic sur supprimer
Ensuite vide ta corbeille
Redémarre en mode normal
télécharge ccleaner , voici le lien
CCleaner
Tu l'enregistre également sur le bureau
Tu l'installe et tu l'exécute en mode normal
Tu vérifie que toutes les cases écrites en noires soient cochées, pas celles ecrites en gris
Puis tu clic sur analyse
Une fois l'analyse terminée, tu clic sur lancer le nettoyage. Les lignes ne s'effacerons pas à l'ecran de droite mais tout au desuus sera indiqué les MB supprimés.
Dis moi quand c'est ok

PS: la connexion internet n'est pas disponible en MSE donc sauvegarde ce que je t'ai écris.
A tout à l'heure, j'attend de tes nouvelles
0
Réponse 12 / 38
Elara
15 août 2008 à 19:25
Bon et bien de retour après un petit moment, mais c'est que j'ai tenter différentes choses vu que lors de la suppression j'ai droit à un joli message :

Impossible de supprimer el32 : Accès refusé
vérifiez que le disque n'est pas plein ou protégé en écriture, et que le fichier n'est pas utilisé actuellement.

Comme en plus je ne suis pas très douée j'ai pas réussi a trouver une solution seule :(
0
Réponse 13 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 19:34
Envois le fichier sur ce site
http://siri.urz.free.fr/upload/
Lien vers le message du forum où le fichier a été demandé:
http://www.commentcamarche.net/forum/affich 7911979 win32 spyware gen#ecrire
Fichier : C:/Windows/system32/el32.dll
Ensuite seulement,


Affiche les Fichiers cachés de Windows XP : Afficher les fichiers cachés de XP


/!\ Déconnecte toi d'Internet, désactive toutes tes protections résidentes et ne touche à rien pendant le scan /!\

Télécharge ComboFix (de sUBs) sur ton bureau
Exécute-le.
Le bureau peut disparaître pendant le scan : c'est normal.
À la fin, il va créer un rapport situé à la racine de ton disque dur. (C:\ComboFix.txt)
Ouvre-le et colle-le ici.

NOTE : Si l'écran ne réapparaît pas :
Appuie simultanément sur CTRL + ALT + SUPPR.
Le Gestionnaire des tâches s'ouvre. Clique sur Fichier puis sur Exécuter. Tape explorer et valide. Le bureau s'affichera à nouveau.

/!\ Réactive toutes tes protections résidentes /!\

Essaye voir si fonctionne
0
Réponse 14 / 38
Elara
15 août 2008 à 19:52
Me revoila,

Bon et bien tout a été fait, reste à copier le log mais au vu du nombre de ligne qu'il fait cela risque de faire un peu beaucoup, est-ce qu'il y a une partie plus précise qui serait utile plutôt que la totalité ? par exemple la partie ou on parle du fameux fichier el32.dll ?
0
Réponse 15 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 20:02
Si tu sais, copie tout stp
0
Réponse 16 / 38
Elara
15 août 2008 à 20:20
Dans ce cas, c'est parti :


ComboFix 08-08-14.05 - Nevaeh_ 2008-08-15 19:40:51.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1467 [GMT 2:00]
Endroit: C:\Documents and Settings\Nevaeh_\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Nevaeh_\Application Data\macromedia\Flash Player\#SharedObjects\7S46WLMD\interclick.com
C:\Documents and Settings\Nevaeh_\Application Data\macromedia\Flash Player\#SharedObjects\7S46WLMD\interclick.com\ud.sol
C:\Documents and Settings\Nevaeh_\Application Data\macromedia\Flash Player\#SharedObjects\7S46WLMD\www.broadcaster.com
C:\Documents and Settings\Nevaeh_\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Documents and Settings\Nevaeh_\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Documents and Settings\Nevaeh_\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Documents and Settings\Nevaeh_\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Documents and Settings\Nevaeh_\Cookies\MM2048.DAT
C:\Documents and Settings\Nevaeh_\Cookies\MM256.DAT
C:\Documents and Settings\Nevaeh_\Cookies\nevaeh_@chucknorrisfacts[2].txt
C:\Documents and Settings\Nevaeh_\Cookies\nevaeh_@clickintext[2].txt
C:\Documents and Settings\Nevaeh_\Cookies\nevaeh_@edt02[4].txt
C:\Documents and Settings\Nevaeh_\Cookies\nevaeh_@serving-sys[4].txt
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\userini.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-15 to 2008-08-15 ))))))))))))))))))))))))))))))))))))
.

2008-08-15 19:19 . 2007-04-10 17:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-08-15 19:19 . 2007-04-10 17:22 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-08-15 19:19 . 2007-04-10 16:26 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-08-15 19:19 . 2007-04-10 17:22 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-08-15 19:19 . 2007-04-10 17:22 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-08-15 19:19 . 2007-04-10 17:22 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-08-15 19:19 . 2007-04-10 17:22 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-08-15 19:19 . 2008-08-15 19:19 <REP> d-------- C:\Documents and Settings\Administrateur
2008-08-15 19:07 . 2008-08-15 19:21 14,336 --a------ C:\WINDOWS\system32\el32.dll
2008-08-11 03:18 . 2008-08-11 03:21 <REP> d-------- C:\fixwareout
2008-08-11 02:58 . 2008-08-11 02:58 <REP> d-------- C:\Documents and Settings\Nevaeh_\Application Data\Malwarebytes
2008-08-11 02:58 . 2008-08-11 02:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-11 02:58 . 2008-07-30 20:15 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-11 02:58 . 2008-07-30 20:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-10 23:25 . 2008-08-10 23:25 172 --a------ C:\WINDOWS\el.ini
2008-07-28 16:48 . 2008-07-28 16:48 <REP> d-------- C:\Program Files\Bonjour
2008-07-20 01:06 . 2008-07-20 01:06 <REP> d-------- C:\Documents and Settings\Nevaeh_\Application Data\BSplayer Pro
2008-07-20 01:06 . 2008-07-20 01:13 <REP> d-------- C:\Documents and Settings\Nevaeh_\Application Data\BSplayer
2008-07-19 01:17 . 2008-07-19 01:17 <REP> d-------- C:\Program Files\Lavasoft
2008-07-19 01:16 . 2008-07-19 01:16 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-13 01:42 --------- d-----w C:\Documents and Settings\Nevaeh_\Application Data\Skype
2008-08-11 00:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-10 21:24 26,624 ----a-w C:\WINDOWS\system32\userinit.exe
2008-07-20 15:25 --------- d-----w C:\Documents and Settings\Nevaeh_\Application Data\DivX
2008-07-20 00:35 --------- d-----w C:\Documents and Settings\Nevaeh_\Application Data\teamspeak2
2008-07-18 23:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-06-11 00:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-06-11 00:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-13 01:50 22,328 ----a-w C:\Documents and Settings\Nevaeh_\Application Data\PnkBstrK.sys
2004-08-19 23:09 1,667,584 --sh--w C:\WINDOWS\ServicePackFiles\i386\msmsgs.exe
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2001-08-28 14:00 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-04 08:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2004-08-04 08:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\system32\dllcache\tcpip.sys
2006-04-20 13:51 359808 b4e29943b4b04bd5e7381546848e6669 C:\WINDOWS\system32\drivers\tcpip.sys

2001-08-28 14:00 22016 eac799104835a5c62ab6528382720d3f C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
2004-08-20 01:10 25088 84717891f0734c611721f56c60b5fbc3 C:\WINDOWS\ServicePackFiles\i386\userinit.exe
2008-08-10 23:24 26624 e687f9dddad5342d13bbf30fdc5a1c7d C:\WINDOWS\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"nTrayFw"="C:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" [2006-02-17 10:40 270336]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-03 02:23 116040]
"QuickTime Task"="E:\Program Files\QuickTime\qttask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="E:\Program Files\iTunes\iTunesHelper.exe" [2008-07-09 13:30 289064]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-20 01:10 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= E:\PROGRA~1\COMBIN~1\Filters\FFDShow\ff_vfw.dll
"vidc.wmv3"= E:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Rappels du Calendrier Microsoft Works.lnk]
backup=C:\WINDOWS\pss\Rappels du Calendrier Microsoft Works.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-20 01:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-08-16 13:24 167368 E:\Program Files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]
-ra------ 2007-04-10 20:34 49152 c:\WINDOWS\Installer\{5511D34C-323F-42E0-8C82-0AEB3E920417}\DkIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-09 13:30 289064 E:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]
-r------- 2006-08-14 12:51 352256 C:\WINDOWS\system32\JMRaidTool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Internet Explorer]
--a------ 2004-08-20 01:09 93184 c:\Program Files\Internet Explorer\iexplore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2004-08-20 01:09 1667584 c:\WINDOWS\ServicePackFiles\i386\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 E:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-07-30 14:45 1829712 E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-01-21 12:17 61440 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 03:43 83608 C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-04-16 21:09 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 19:43 69632 C:\WINDOWS\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-ra------ 2006-10-11 12:36 16267776 C:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-ra------ 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Program Files\\ABC\\abc.exe"=
"E:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"E:\\Norton\\mIRC\\mirc.exe"=
"E:\\Program Files\\FlashGet\\flashget.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"E:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:eMule_TCP
"4672:UDP"= 4672:UDP:eMule_UDP
"20620:TCP"= 20620:TCP:BitComet 20620 TCP
"20620:UDP"= 20620:UDP:BitComet 20620 UDP

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2006-09-29 10:06]
R4 atidgllk;atidgllk;C:\WINDOWS\atidgllk.sys [2005-10-20 10:29]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-07-30 20:15]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-07-28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-08-12 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job
- C:\Program Files\Uniblue\SpeedUpMyPC\SpeedUpMyPC.exe []

2007-05-10 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job
- C:\Program Files\Uniblue\SpeedUpMyPC\SpeedUpMyPC.exe []
.
- - - - ORPHANS REMOVED - - - -

Notify-WgaLogon - (no file)
MSConfigStartUp-ATICCC - C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Nevaeh_\Application Data\Mozilla\Firefox\Profiles\mw5hyedd.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/firefox
FF -: plugin - C:\Documents and Settings\Nevaeh_\Application Data\Mozilla\Firefox\Profiles\mw5hyedd.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\NPStreamPlug.dll
FF -: plugin - E:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - E:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll
FF -: plugin - E:\Program Files\DivX\DivX Web Player\npdivx32.dll
FF -: plugin - E:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - E:\Program Files\QuickTime\Plugins\npqtplugin.dll
FF -: plugin - E:\Program Files\QuickTime\Plugins\npqtplugin2.dll
FF -: plugin - E:\Program Files\QuickTime\Plugins\npqtplugin3.dll
FF -: plugin - E:\Program Files\QuickTime\Plugins\npqtplugin4.dll
FF -: plugin - E:\Program Files\QuickTime\Plugins\npqtplugin5.dll
FF -: plugin - E:\Program Files\QuickTime\Plugins\npqtplugin6.dll
FF -: plugin - E:\Program Files\QuickTime\Plugins\npqtplugin7.dll
FF -: plugin - E:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - E:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - E:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-15 19:41:50
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-15 19:43:12
ComboFix-quarantined-files.txt 2008-08-15 17:42:38

Pre-Run: 9,276,350,464 octets libres
Post-Run: 9,432,756,224 octets libres

224
0
Réponse 17 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 20:23
ok, maintenant fais une analyse avec avast et dis moi quoi stp
0
Réponse 18 / 38
Elara
15 août 2008 à 20:48
Bon et bien c'est un peu la foire ^^'

un petit screen histoire de comprendre :

http://img385.imageshack.us/img385/308/avastlp8.jpg
0
Réponse 19 / 38
Lawrent_999 Messages postés 493 Date d'inscription mercredi 13 août 2008 Statut Membre Dernière intervention 7 mars 2015 11
15 août 2008 à 21:06
Bon, redémarre en mode sans echec
Puis tu ouvres ton anti virus avast
Tu vas dans la zone de quarantaine et tu supprimes tous les fichiers
Ensuite, tu ferme avast, tu vides la corbeille puis tu redémarre normalement
Ensuite refais une analyse avec avast et dis moi quoi stp
0
Réponse 20 / 38
Utilisateur anonyme
15 août 2008 à 21:13
Salut

pour aider :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée
copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\el32.dll
C:\fixwareout
C:\WINDOWS\el.ini

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes

ensuite :

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


Tuto: http://www.malekal.com/Adware.Magic_Control.php

.
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses