Perdu 4 comptes hotmailRésolu/Fermé

Question

Bonjour,

J'ai perdu 4 comptes hotmail a la suite, je ne sais pas si cela vient d'une personne ou d'un virus, trojan, ...

Le premier compte, j'ai pus changer mon mot de passe 2 fois avant que tous sois changer, question secrète, adresse de secours ,évidemment le mot de passe.

Pour les 3 suivantes, tous a était changer directement, j'avais d'ailleurs crée un nouveau compte avec mot de passe difficile, question secrète avec réponse pas facile a trouver, mais rien n'y a fait, elle n'a pas survécue plus de 2 jours.
Les 2 autres adresses étaient de très vieille adresse (2000), j'ai bien les nerfs.

J'ai fais plusieurs scan anti virus et pareil en anti spyware ! Ils m'ont trouver quelques trucs mais pas le fichier qui serait en cause si quelqu'un a réussi a mettre un log dans mon pc ou si cela vient d'un virus...

Comment a t'il pus mettre un logiciel dans mon pc sachant que je n'aies rien accepté depuis des lustres !
Comment cette personne connaitrait ma nouvelle adresse a chaque fois et mes mot de passe ? (je doute que se soit quelqu'un, je pencherais plus a un virus ou alors dans le cas contraire a un logiciel espion arrivée dans mon pc je ne sais comment)

Avez vous des bons logiciels qui pourrait retiré cette infection ?

Je viens de recrée une nouvelle adresse mais je crains de nouveau qu'elle ne tienne pas 2 jours.

Merci beaucoup pour votre aide.

P.S: Je connais quelqu'un qui connait mon IP (connecté a mon modem pendant plusieurs mois), peut-il s'en servir justement pour rentré dans mon PC ?

vaychis · Answer

effectivement qund tu conné l'ip d'un pc sa facilite bien des chose

ecila68 · Answer

Merci,

En même temps ça ne veut pas dire non plus que ça vient de lui, surtout que j'en verrais pas l'intérêt, je penche plus vers un virus, mais quoi ?!

InfernO.vir · Answer

Bonjour,

Il ne suffit pas d'avoir l'IP, il faut s'y connaitre en programmation et tout pour en faire qlqchose !

Et puis si c'est ton IP reseau alors rien a craindre puisque celle-ci change a chaque connexion !

A titre de verifications:

-Telecharge Hijackthis--> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-Clique sur le .exe et ensuite clique sur "Do asystem scan and save a logfile"

-Poste moi le rapport a la fin du scan stp.

ecila68 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:08:53, on 26/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Users\frigout\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\Users\frigout\AppData\Local\Temp\MsgPlusUninstall.exe" /Cleanup
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\Windows\TEMP\E_S20C3.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ucaskww] "c:\users\frigout\appdata\local\ucaskww.exe" ucaskww
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBF5D63-689A-4814-89D1-A566B482E1DA}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EBF5D63-689A-4814-89D1-A566B482E1DA}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EBF5D63-689A-4814-89D1-A566B482E1DA}: NameServer = 192.168.1.1
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

InfernO.vir · Answer

Re,

-Alors go ici--> https://www.virustotal.com/gui/

-Clique sur parcourir et va chercher ce fichier--> C:\Windows\system32\wuauclt.exe 

-Clique ensuite sur envoyer le fichier

-Poste moi le rapport a la fin stp.


O4 - HKCU\..\Run: [ucaskww] "c:\users\frigout\appdata\local\ucaskww.exe" ucaskww <--- infection, d'abord le rapport de virustotal

ecila68 · Answer

Le fichier a déjà été analysé:
MD5: 	f3e9065eb617a7e3a832a7976bfa021b
First received: 	2007.11.15 01:13:55 (CET)
Date 	2008.08.26 07:35:53 (CET) [<1D]
Résultats 	0/35
Permalink: 	analisis/f9e15e4f24456321f7baac4ef377e7bc

InfernO.vir · Answer

Comment ca deja analyser?

et puis le rapport n'est aps le bon il me faut la liste de tout les anti-virus

ecila68 · Answer

c'est bien celui la le rapport ? 


Merci pour votre aide. ;)

ecila68 · Answer

Voila le rapport complet :



Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.8.21.0 	2008.08.26 	-
AntiVir 	7.8.1.23 	2008.08.25 	-
Authentium 	5.1.0.4 	2008.08.25 	-
Avast 	4.8.1195.0 	2008.08.25 	-
AVG 	8.0.0.161 	2008.08.26 	-
BitDefender 	7.2 	2008.08.26 	-
CAT-QuickHeal 	9.50 	2008.08.25 	-
ClamAV 	0.93.1 	2008.08.26 	-
DrWeb 	4.44.0.09170 	2008.08.25 	-
eSafe 	7.0.17.0 	2008.08.24 	-
eTrust-Vet 	31.6.6048 	2008.08.25 	-
Ewido 	4.0 	2008.08.25 	-
F-Prot 	4.4.4.56 	2008.08.26 	-
F-Secure 	7.60.13501.0 	2008.08.26 	-
Fortinet 	3.14.0.0 	2008.08.26 	-
GData 	2.0.7306.1023 	2008.08.20 	-
Ikarus 	T3.1.1.34.0 	2008.08.26 	-
K7AntiVirus 	7.10.428 	2008.08.25 	-
Kaspersky 	7.0.0.125 	2008.08.26 	-
McAfee 	5369 	2008.08.25 	-
Microsoft 	1.3807 	2008.08.25 	-
NOD32v2 	3387 	2008.08.26 	-
Norman 	5.80.02 	2008.08.25 	-
Panda 	9.0.0.4 	2008.08.25 	-
PCTools 	4.4.2.0 	2008.08.25 	-
Prevx1 	V2 	2008.08.26 	-
Rising 	20.59.10.00 	2008.08.26 	-
Sophos 	4.32.0 	2008.08.26 	-
Sunbelt 	3.1.1582.1 	2008.08.26 	-
Symantec 	10 	2008.08.26 	-
TheHacker 	6.3.0.6.060 	2008.08.23 	-
TrendMicro 	8.700.0.1004 	2008.08.26 	-
ViRobot 	2008.8.25.1348 	2008.08.25 	-
VirusBuster 	4.5.11.0 	2008.08.25 	-
Webwasher-Gateway 	6.6.2 	2008.08.25 	-
Information additionnelle
File size: 53080 bytes
MD5...: f3e9065eb617a7e3a832a7976bfa021b
SHA1..: 42262216cce49ee322d571d270abffcfdce55e6d
SHA256: 46dafc715bc2bcbfd56a3b2bc3df1dd2c036893eab2e4fd6e4393e081054d50d
SHA512: a43439e2737812501d8899e2c38f8735b0f5c1ccc5d99982cf3fb1d03765d5e1
5c5421ad54f55e446461eb3f0f7c7d3416e59fd82ab2527793f00c3ac5961fd1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404234
timedatestamp.....: 0x46ae8ef8 (Tue Jul 31 01:23:04 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a28 0x8c00 5.99 011b966653f3c4a818a5ae0b39a44d40
.data 0xa000 0xd54 0x400 5.81 aea75c550ab527cbfba56bc33d16ea93
.rsrc 0xb000 0x798 0x800 4.49 51276793839194b59b4a69713dd86423
.reloc 0xc000 0xc86 0xe00 3.09 721f27a40116bc804f4b6c186c81d87c

( 6 imports )
> KERNEL32.dll: CreateFileW, CreateDirectoryW, GetFileAttributesW, ExpandEnvironmentStringsW, lstrlenW, CreateProcessW, VerSetConditionMask, VerifyVersionInfoW, OutputDebugStringW, WriteFile, FlushFileBuffers, GetModuleFileNameW, InterlockedIncrement, InterlockedDecrement, GetSystemTime, GetLastError, SetLastError, GetFileSize, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, SetFilePointer, SetEndOfFile, ReleaseMutex, WaitForSingleObject, CreateMutexW, CloseHandle, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, GetStartupInfoW, GetTimeZoneInformation, SystemTimeToTzSpecificLocalTime, GetSystemDirectoryW, LoadLibraryExW, GetDriveTypeW, GetVolumePathNameW, GetFileType, GetSystemInfo, GetModuleHandleW, CompareStringW, GetProcessHeap, HeapFree, HeapAlloc, GetCommandLineW, OpenEventW, FreeLibrary, GetProcAddress, WideCharToMultiByte, InterlockedExchange, Sleep, InterlockedCompareExchange
> msvcrt.dll: __dllonexit, _unlock, _controlfp, _terminate@@YAXXZ, free, malloc, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _lock, _cexit, __wgetmainargs, _vsnwprintf, _onexit, _exit
> ole32.dll: CoGetObject, StringFromGUID2, CoTaskMemFree, CoUninitialize, CoCreateInstance, CoInitialize, CoInitializeEx
> ADVAPI32.dll: AllocateAndInitializeSid, FreeSid, GetTokenInformation, DuplicateTokenEx, CheckTokenMembership, IsValidSid, CopySid, RegCreateKeyExW, RegSetValueExW, RegQueryValueExW, GetUserNameW, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegOpenKeyExW, RegCloseKey
> OLEAUT32.dll: -, -
> SHLWAPI.dll: StrRChrW, -, PathStripToRootW, PathIsRelativeW, StrChrW, PathIsRootW, PathIsUNCW

( 0 exports )

InfernO.vir · Answer

Non c'est bon je l'ai analyser a ta place il fallait cliquer sur permalink dsl de ne pas avoir prevenu ^^ C:\Windows\system32\wuauclt.exe <--- tres suspect car ce fichier sert a la mise a jour de windows mais windows millenium seulement et tu es sous vista donc c'est un trojan. c:\users\frigout\appdata\local\ucaskww.exe<--- suspect ! -Telecharge MBAM--> http://www.malwarebytes.org/mbam/program/mbam-setup.exe -Suis ce tuto et poste moi le rapport--> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ /!\ desactive tes protections residentes et fait un scan complet en mode sans echec, supprime ce qu'il te trouve a la fin du scan. /!\

ecila68 · Answer

Désolé de te demander ça mais est-ce que je dois supprimé d'abord ce que tu m'as cité ou faire d'abord ce que tu m'as dis ? (ouh la noob je sais ,sur ce coup la mdr)

InfernO.vir · Answer

Euh... fait le scan MBAM ensuite a la fin du scan, si il a trouvé quelque chose cela va s'afficher en rouge il faudra alor les supprimer.

kraignos · Answer

attention, C:\Windows\system32\wuauclt.exe = légitime

est un processus windows update également utilisé sous XP (je ne sais pas sous vista) mais il n'est pas sensé fonctionner en permanence, juste à l'ouverture de session (une 30 aine de secondes) ou lors de l'installation d'une mise à jour windows

le fait de voir sur google mention à WindowsME est du au fait que windows update est apparu avec windows ME et qu'il y est toujours fait référence mais c'est toujours le même nom de programme qui est aujourd'hui utilisé sous W2000, W2003 et XP

si le processus est actif en permanence dans TaskManager, c'est signe d'un dysfonctionnement de windows update

InfernO.vir · Answer

Non c'est un trojan de tte facon MBAM fera la difference ! il est mentionné que si ce fichier est ailleur que sous ME alors c'est un fichier infectieux !

kraignos · Answer

lance process explorer juste apres ton ouverture de session sur ton propre pc et tu verras qu'il existe bien ^^

misux encore tu le trouveras présent dans windows\system32

InfernO.vir · Answer

J'attends son scan MBAM,

Si il n'est pas reconnus tels un fichier infectieux alors MBAM ne le detectera pas !

ecila68 · Answer

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 6.0.6000 

11:52:00 26/08/2008
mbam-log-08-26-2008 (11-51-51).txt

Type de recherche: Examen complet (C:\|D:\|K:\|)
Eléments examinés: 159972
Temps écoulé: 47 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\frigout\Local Settings\Application Data\ucaskww_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\frigout\Local Settings\Application Data\ucaskww_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\frigout\Local Settings\Application Data\ucaskww.dat (Adware.Navipromo.H) -> No action taken.
K:\logiciel1\Spyware Doctor v6.0.0.362 [Fr]+keygen et patch\Spyware.Doctor.5.5.0.212_KEYGEN+PATCH-FFF.exe (Trojan.Downloader) -> No action taken.
C:\Windows\System32
vs2.inf (Adware.EGDAccess) -> No action taken.

ecila68 · Answer

Voici le nouveau fichier hijackthis :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:50, on 26/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Users\frigout\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKCU\..\Run: [EPSON Stylus DX6000 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\Windows\TEMP\E_S20C3.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ucaskww] "c:\users\frigout\appdata\local\ucaskww.exe" ucaskww
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBF5D63-689A-4814-89D1-A566B482E1DA}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EBF5D63-689A-4814-89D1-A566B482E1DA}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EBF5D63-689A-4814-89D1-A566B482E1DA}: NameServer = 192.168.1.1
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

kraignos · Answer

infection caractérisée Navipromo, bon courage Inferno pour cette désinfection (un bon coup de navilog1 et il n'y parraitra plus)

(et ne t'inquiete pas pour wuauclt.exe, c'est juste une merde made in Bill Gates ;-) )

InfernO.vir · Answer

Oui merci kraignos ^^

-Telecharge navilog1--> http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

-Suis ce tuto et poste moi le rapport de l'option 1 avant de continuer--> 

http://www.malekal.com/Adware.Magic_Control.php

ecila68 · Answer

J'ai tentée de lancer Navilog1 (lien trouver sur le site : http://www.commentcamarche.net/forum/affich 3718507 navilog1 ), mais il me mets accès refusé et se ferme.

ecila68 · Answer

Ah mince, j'avais pas vu la deuxième page, donc pas ton message, mais ça en reviens au même.

ecila68 · Answer

c'est bon, j'ai vu le tuto, je suis dessus, je mets le rapport juste après !

InfernO.vir · Answer

Ok,

reesaye mais avant,

Desactive l'UAC (controle des comptes utilisateurs)--> comme ceci--> https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html

Desactive anti-virus aussi et reesaye pour voir.

ecila68 · Answer

Search Navipromo version 3.6.5 commencé le 26/08/2008 à 13:31:06,22

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "frigout" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16711 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\frigout\appdataoaming\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "C:\Users\frigout\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\frigout\AppData\Roaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\frigout\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\frigout\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\frigout\AppData\Local" *



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\frigout\AppData\Local\Microsoft" :


* Dans "C:\Users\frigout\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\frigout\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 26/08/2008 à 13:37:08,14 ***

InfernO.vir · Answer

ah! ce vista hein! ^^

-Repasse navilog1, mais cette fois-ci avec l'option 2
-Poste moi le rapport.

ecila68 · Answer

Clean Navipromo version 3.6.5 commencé le 26/08/2008 à 13:41:41,23

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "frigout" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000 
Internet Explorer : 7.0.6000.16711
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\frigout\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\frigout\AppData\Local\virtualstore\windows\system32" *


* Suppression dans "C:\Users\frigout\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans c:\users\frigout\appdataoaming\micros~1\windows\startm~1\programs ***


*** Suppression dossiers dans "C:\Users\frigout\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\frigout\AppData\Roaming" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\frigout\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *


* Dans "C:\Users\frigout\AppData\Local\Microsoft" *


* Dans "C:\Users\frigout\AppData\Local\virtualstore\windows\system32" *


* Dans "C:\Users\frigout\AppData\Local" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !


*** Nettoyage terminé le 26/08/2008 à 13:44:55,40 ***

ecila68 · Answer

C'est bon alors, c'est résolu ? dans ce cas, je te dis un grand merci pour toutes l'aides que tu m'as apporter, très grand travail, encore merci ;)

InfernO.vir · Answer

Re,

on a pas tout a fait fini!

Repasse MBAM comme tu l' a deja fait, une seule difference, tu vas supprimer tout ce qu'il te trouve a la fin du scan

Car ds le 1ere rapport MBAM il y a no action taken <-- ce qui veut dire que tu ne les as pa supprimés a la fin du scan, donc refait le scan stp. et poste moi le rapport.

ecila68 · Answer

J'ai fini le scan, il m'a dit qu'il n'avait rien trouver, donc ça a bien était supprimé ?!.




Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 6.0.6000 

18:02:50 26/08/2008
mbam-log-08-26-2008 (18-02-50).txt

Type de recherche: Examen complet (C:\|D:\|K:\|)
Eléments examinés: 160087
Temps écoulé: 48 minute(s), 24 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

InfernO.vir · Answer

Bonjour Ton pc est maintenant propre dit moi si tu as des problemes ?

ecila68 · Answer

Bonjour,

Pour l'instant tous va mieux, plus de page pub comme avant, le pc est plus rapide, reste juste a voir si mon compte Hotmail tiens toujours.


Merci pour le service que vous m'avez rendu, je ne suis pas très forte en catégorie "Virus et spyware", c'est vraiment galère a chaque fois, cela m'a évité un reformatage presque imminent comme je le fais quasi chaque fois que j'ai un mal de chien a les viré, c'est dommage.
J'ai connus ce forum et cela m'a bien aidé, merci beaucoup.

InfernO.vir · Answer

Ok,

A ton service =) previens moi si hotmail ne marche pas !


Bn surf  a+

Perdu 4 comptes hotmail

33 réponses

Discussions similaires

Newsletters