virus windows anti et autres Résolu

Question

Bonjour,
voila j'ai choper un virus et je n'arrive pas a m'en debarrasser pourtant j'ai fait (lopxp spybot et avast)
sa me fait deux bug 
1:windows antivirus 2008 qui c'est installer tout seul ne veux plus se fermer ni ce desinstaller
2:a chaque fois que je fait une recherche avec google avant de pouvoir aller sur un site j'ai deux page internet qui s'ouvre et qui ne se finissent jammais de se charger

voici un raport de lopxp
# Rapport Lopxp fait le 06/09/2008 à 13:51:12
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.06 - Maj du 05/02/2008

  Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\iexplore.exe"  (2664)


========== Listing des dossiers Application Data

+- C:\Documents and Settings\Administrateur\Application Data

 2006-05-19 à 16:07:57 - Microsoft 

+- C:\Documents and Settings\Administrateur\Local Settings\Application Data

 2001-01-12 à 00:10:07 - Microsoft 

+- C:\Documents and Settings\All Users\Application Data

 2007-09-09 à 11:01:23 - Adobe 
 2008-05-23 à 13:20:10 - Apple 
 2008-02-05 à 16:56:02 - Apple Computer
 2008-02-05 à 17:53:01 - Microsoft 
 2007-08-29 à 05:55:21 - MSN6 
 2008-08-26 à 07:52:14 - Sony Ericsson
 2008-09-06 à 11:05:55 - Spybot - Search & Destroy
 2008-08-26 à 07:52:01 - Teleca 
 2008-05-25 à 10:28:43 - TEMP 
 2000-01-23 à 09:59:12 - Windows Genuine Advantage
 2006-12-07 à 17:27:30 - Windows Live Toolbar
 2008-07-15 à 19:13:40 - WLInstaller 

+- C:\Documents and Settings\Invite\Application Data

 2008-03-08 à 19:44:39 - Adobe 
 2007-01-20 à 11:23:06 - AdobeUM 
 2007-09-09 à 11:09:06 - Apple Computer
 2008-03-08 à 18:35:12 - FileZilla 
 2007-09-28 à 16:03:02 - Help 
 2006-05-19 à 16:19:35 - Identities 
 2008-08-02 à 16:23:15 - InstallShield 
 2007-09-15 à 11:21:41 - Leadertech 
 2008-02-25 à 18:20:06 - Macromedia 
 2008-02-06 à 11:51:58 - Microsoft 
 2008-02-09 à 10:15:03 - mIRC 
 2008-07-02 à 08:56:37 - Mozilla 
 2007-08-29 à 08:58:16 - MSN6 
 2000-01-17 à 17:15:13 - OpenOffice.org2 
 2008-08-25 à 18:03:03 - Real 
 2007-02-08 à 13:56:02 - Shareaza 
 2008-01-13 à 16:51:28 - Sony Ericsson
 2006-07-03 à 19:08:12 - Sun 
 2008-07-24 à 16:19:07 - teamspeak2 
 2007-09-09 à 10:43:08 - Teleca 
 2008-02-06 à 13:43:19 - Webcammax 

+- C:\Documents and Settings\Invite\Local Settings\Application Data

 2007-01-20 à 11:22:47 - Adobe 
 2008-05-23 à 13:20:45 - Apple 
 2007-09-09 à 11:07:54 - Apple Computer
 2008-07-16 à 15:27:02 - ApplicationHistory 
 2008-02-23 à 08:33:37 - Axialis 
 2007-08-19 à 11:13:51 - Downloaded Installations
 2007-08-19 à 08:09:47 - GameSpy 
 2000-03-07 à 08:15:46 - Google 
 2006-12-05 à 17:34:59 - Help 
 2006-12-06 à 15:49:03 - Identities 
 2008-09-06 à 08:35:12 - MediaMonkey 
 2008-08-25 à 18:49:02 - Microsoft 
 2008-02-18 à 18:11:57 - Mozilla 
 2009-06-24 à 13:45:17 - Panda Software
 2000-01-09 à 01:41:56 - Shareaza 
 2008-01-13 à 16:54:29 - Sony Ericsson
 2006-05-19 à 16:36:59 - {3248F0A6-6813-11D6-A77B-00B0D0150060} 

========== Listing du dossier Program Files

+- C:\Program Files

 2007-09-09 à 11:01:23 - Adobe 
 2007-12-31 à 07:26:29 - Alwil Software
 2008-05-23 à 13:20:15 - Apple Software Update
 2008-09-06 à 11:08:06 - Applications 
 2007-08-18 à 14:17:18 - ATI Technologies
 2008-02-05 à 16:58:35 - Bonjour 
 2008-01-13 à 17:14:10 - Disc2Phone 
 2008-04-19 à 10:39:08 - Dofus 
 2008-05-16 à 16:34:32 - Electronic Arts
 2008-08-29 à 08:55:57 - eMule 
 2008-08-26 à 07:52:23 - Fichiers communs
 2007-08-18 à 17:44:02 - GameSpy 
 2006-08-06 à 11:41:15 - GameSpy Arcade
 2000-03-07 à 08:01:45 - Google 
 2008-08-02 à 16:24:02 - InstallShield Installation Information
 2008-06-15 à 06:19:24 - Internet Explorer
 2008-02-05 à 17:15:05 - IZArc 
 2008-09-06 à 11:51:13 - Lopxp 
 2008-02-05 à 17:09:54 - MediaMonkey 
 2008-02-05 à 16:54:54 - MediaMonkey(2) 
 2006-12-06 à 15:34:13 - Messenger 
 2006-05-19 à 16:08:52 - microsoft frontpage
 2001-01-08 à 09:44:33 - Microsoft Games(2)
 2006-10-28 à 11:39:21 - Movie Maker
 2006-05-19 à 16:04:06 - MSN Gaming Zone
 2006-11-15 à 14:11:16 - MSXML 4.0
 2009-06-26 à 07:22:35 - Navilog1 
 2006-10-28 à 11:35:27 - NetMeeting 
 2007-08-19 à 11:31:24 - OpenOffice.org 2.0
 2006-11-24 à 17:11:24 - orange 
 2008-01-13 à 19:23:30 - Outlook Express
 2007-12-29 à 19:08:54 - Panda Software
 2008-02-07 à 17:21:04 - Panicware 
 2008-06-01 à 07:04:26 - Real 
 2000-03-06 à 19:22:07 - Seagrand 
 2006-05-19 à 16:06:45 - Services en ligne
 2008-01-13 à 16:44:58 - Sony Ericsson
 2008-09-06 à 10:19:48 - Spybot - Search & Destroy
 2008-07-24 à 16:19:06 - Teamspeak2_RC2 
 2006-05-19 à 16:19:28 - Uninstall Information
 2008-02-03 à 15:08:03 - UxTheme Multipatcher Fr
 2008-03-18 à 16:08:17 - Wanadoo 
 2006-07-10 à 15:19:49 - Wanadoo Messager
 2008-08-23 à 17:30:49 - WarRock 
 2008-09-06 à 11:04:22 - WAV 
 2008-07-15 à 19:11:05 - Windows Live
 2008-06-01 à 08:44:18 - Windows Live Toolbar
 2008-02-05 à 16:56:57 - Windows Media Connect 2
 2008-02-05 à 16:56:57 - Windows Media Player
 2006-10-28 à 11:35:18 - Windows NT
 2006-07-16 à 10:35:05 - WindowsUpdate 
 2006-05-19 à 16:08:52 - xerox 

========== Tâches planifiées

AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task

========== Clés registre


========== Bloqueur popups Internet Explorer

 www.allosponsor.com

==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

+- Dossiers\Fichiers : Aucune suggestion.

+- Registre : Aucune suggestion.


- Fin du rapport -

math212 · Answer

desoler j'ai oublier de poster le raport hitajicks*


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:51, on 06/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\WAV\wav.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\%%%%%.exe
O2 - BHO: (no name) - {0BD44AB1-76A7-4E05-92F4-4B065FE72BD6} - C:\Program Files\Applications\iebt.dll (file missing)
O2 - BHO: 968070 helper - {157BEF24-1400-4E89-946A-F29F97D703D3} - C:\WINDOWS\system32\968070\968070.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Internet Service - {94A5C93F-BD18-4C46-B777-C94C145C3CAB} - C:\Program Files\Applications\iebr.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [macqqeoeou] c:\documents and settings\invite\local settings\application data\macqqeoeou.exe macqqeoeou
O4 - HKCU\..\Run: [wblogon] C:\WINDOWS\system32\ubpr01.exe
O4 - HKCU\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Program Files\Applications\wcs.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\Applications\iebtm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieextend.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieextend.com/redirect.php (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{D611B6D8-28FD-4BDA-98C6-01153BCA9873}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O22 - SharedTaskScheduler: babblement - {d3b82107-f8fa-4ef3-8066-136e22872d4e} - C:\WINDOWS\system32\sjrggq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

anthony5151 · Answer

Bonjour,


Il y a plusieurs infections sur ton ordinateurs, je vais te demander d'utiliser plusieurs programmes pour désinfecter et d'être patient ;)


Tout d'abord, ton ordinateur est infecté par MagicControl/navipromo, qui s'installe via des programmes dits "gratuits", dont ceux-ci :

 * go-astro
 * GoRecord
 * HotTVPlayer / HotTVPlayer & Paris Hilton
 * Live-Player
 * MailSkinner
 * Messenger Skinner
 * Instant Access
 * InternetGameBox
 * Officiale Emule (Version d'Emule modifiée)
 * Sudoplanet
 * Webmediaplayer


Pour désinfecter, merci de suivre exactement cette procédure :

# Désactive le TeaTimer de Spybot (tu le réactiveras après ta désinfection) :
Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer


# Télécharge maintenant Navilog1 depuis-ce lien : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le bureau

Au menu principal, Fais le choix 1 
Laisse toi guider et patiente. 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche le bloc note va s'ouvrir. 
Copie-colle l'intégralité du rapport ici.

math212 · Answer

escuse mais c'est ou tea timer stp

math212 · Answer

Search Navipromo version 3.6.5 commencé le 06/09/2008 à 19:18:59,20

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Invite" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Invite\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Invite\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Invite\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Invite\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

ipyuqg.dat trouvé !

* Dans "C:\Documents and Settings\Invite\locals~1\applic~1" : 

macqqeoeou.dat trouvé !
macqqeoeou_nav.dat trouvé !
macqqeoeou_navps.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 06/09/2008 à 19:32:46,56 ***

math212 · Answer

merci pour ton aide mes j'ai fait quelque rechere 
et j'ai trouver il me suffisait de demarrer en mode sans echecs pour suprimer ce virus
pui j'ai fai une analyse malwar
est j'ai supprimer les saloperie de trojan qui rester 
merci de ton aide

anthony5151 · Answer

"et j'ai trouver il me suffisait de demarrer en mode sans echecs pour suprimer ce virus"

==> CE virus ?  Tu en avais plusieurs je te rappelle, comment peux-tu être sûr d'avoir tout supprimé ?
Tu as fait une analyse avec quel logiciel ?  MalwareBytes ?

Poste un nouveau rapport hijackthis stp, je vais te dire si ton ordinateur est vraiment sain maintenant...

math212 · Answer

je pence que c'est bon normalement
voila le raport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:09:36, on 07/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://internetsearchservice.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://internetsearchservice.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\%%%%%.exe,
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [macqqeoeou] c:\documents and settings\invite\local settings\application data\macqqeoeou.exe macqqeoeou
O4 - HKCU\..\Run: [wblogon] C:\WINDOWS\system32\ubpr01.exe
O4 - HKCU\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Program Files\Applications\wcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{D611B6D8-28FD-4BDA-98C6-01153BCA9873}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O22 - SharedTaskScheduler: babblement - {d3b82107-f8fa-4ef3-8066-136e22872d4e} - (no file)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

anthony5151 · Answer

Désolé de te contredire, mais toutes les lignes suivantes indique plusieurs infections (notamment l'infection MagicControl qui affiche des publicités, une infection MSN, le faux logiciel de protection WindowsAntiVirus...) :

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\%%%%%.exe,
O4 - HKLM\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKCU\..\Run: [macqqeoeou] c:\documents and settings\invite\local settings\application data\macqqeoeou.exe macqqeoeou
O4 - HKCU\..\Run: [wblogon] C:\WINDOWS\system32\ubpr01.exe
O4 - HKCU\..\Run: [Antivirus] C:\Program Files\WAV\wav.exe
O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Program Files\Applications\wcs.exe



Si tu souhaites poursuivre la désinfection (je te le conseille vivement), tu peux faire ce qui suit :


Relance Navilog à l'aide du raccourci navilog1 présent sur le bureau et laisse-toi guider. 
Au menu principal, choisis 2 et valide. 

Le fix va t'informer qu'il va alors redémarrer ton PC 
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuie sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais le toi même) 
Au redémarrage de ton PC, choisis ta session habituelle. 

Patiente jusqu'au message : 
*** Nettoyage Termine le ..... *** 

Le bloc note va s'ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre.

math212 · Answer

a mince moi qui croyait en avoir finis ^^
voila le raport

Clean Navipromo version 3.6.5 commencé le 07/09/2008 à 14:12:11,28

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Invite" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Invite\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Invite\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Invite\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Invite\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Invite\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


ipyuqg.dat trouvé ! 
Copie ipyuqg.dat réalisée avec succès !
ipyuqg.dat supprimé !


* Dans "C:\Documents and Settings\Invite\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Clés RUN orphelines Navipromo ***
!! Résultats temporairement non pris en charge !!
!! Les clés trouvées ne sont pas forcément infectées !!

Clés trouvés :

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"macqqeoeou"="c:\documents and settings\invite\local settings\application data\macqqeoeou.exe macqqeoeou"


*** Nettoyage terminé le 07/09/2008 à 14:17:01,59 ***

anthony5151 · Answer

Ok, maintenant télécharge MSNFix.zip (de !aur3n7) sur ton bureau : http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier MSNFix.bat. 
- Exécute l'option R. 
- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

Note : 
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal 

--> Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt 


Tutorial en image : 
https://www.malekal.com/supprimer-virus-desinfecter-pc/

math212 · Answer

voilivoulou ^^

MSNFix 1.745  
 
C:\Documents and Settings\Invite\Bureau\MSNFix\MSNFix 
Fix exécuté le 07/07/2008 - 19:12:37,28 By Invite 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\system32\real.txt 
... C:\??????.exe 
... C:\WINDOWS\system32eal.txt 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\Invite\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\Invite\LOCALS~1\Temp\services.exe 
.. OK ... C:\WINDOWS\system32\cftmon.exe 
.. OK ... C:\WINDOWS\system32\real.txt  
.. OK ... C:\??????.exe  
.. OK ... C:\WINDOWS\system32eal.txt  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20080707191357
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file .... 



-- final size 0.77 Kb / 20 lines
-- entry Found : 0  /  Entry check : 310

End .............................. 30.77 Secondes 

 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
 
 
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20080707191640
-- original size 0.77 Kb / 20 lines
-- Start cleaning Hosts file .... 



-- final size 0.77 Kb / 20 lines
-- entry Found : 0  /  Entry check : 310

End .............................. 33.14 Secondes 

 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\spoolsv(2).exe] 6B4BF97957A0B8795811975D4BF1ACFE 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\Invite\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 07072008_19171396.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\WINDOWS\system32\userinit.exe, 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

anthony5151 · Answer

Très bien, on avance :)

Ensuite, télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

math212 · Answer

le raport est la

[b]SDFix: Version 1.222 [/b]
Run by Invite on 08/09/2008 at 20:31

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Invite\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File
Restoring Default IE Search Pages 

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\Documents and Settings\Inviteeal.txt  - Deleted



Folder C:\Documents and Settings\Invite\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed


Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 20:45:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{3e227e76-690d-11d2-8161-0000f8775bf1}\##?#Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}\#{cd171de3-69e5-11d2-b56d-0000f8754380}&{9B365890-165F-11D0-A195-0020AFD156E4}]
"SymbolicLink"="\?\Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}\{cd171de3-69e5-11d2-b56d-0000f8754380}&{9B365890-165F-11D0-A195-0020AFD156E4}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\DeviceClasses\{3e227e76-690d-11d2-8161-0000f8775bf1}\##?#Root#SYSTEM#0000#{3e227e76-690d-11d2-8161-0000f8775bf1}\#{cd171de3-69e5-11d2-b56d-0000f8754380}&{9B365890-165F-11D0-A195-0020AFD156E4}\Device Parameters]
"CLSID"="{17CCA71B-ECD7-11D0-B908-00A0C9223196}"
"FriendlyName"="Pilote WINMM de compatibilité audio WDM Microsoft"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Microsoft Games\Age of Empires II\EMPIRES2.ICD"="C:\Program Files\Microsoft Games\Age of Empires II\EMPIRES2.ICD:*:Enabled:Age of Empires II"
"C:\Program Files\Internet Explorer\iexplore.exe"="C:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\Invite\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon  7 Jul 2008     1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008     4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon  7 Jul 2008     2,156,368 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Mon 10 Jan 2000         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 29 Mar 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Mon 10 Jan 2000         4,348 ...H. --- "C:\Documents and Settings\Invite\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Thu 25 Jan 2007            20 A..H. --- "C:\Documents and Settings\Invite\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Tue 14 Nov 2006         9,655 A.SH. --- "C:\Documents and Settings\Invite\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

[b]Finished![/b]

math212 · Answer

le hita

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:51, on 09/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MediaMonkey\MediaMonkey.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [macqqeoeou] c:\documents and settings\invite\local settings\application data\macqqeoeou.exe macqqeoeou
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{D611B6D8-28FD-4BDA-98C6-01153BCA9873}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O22 - SharedTaskScheduler: babblement - {d3b82107-f8fa-4ef3-8066-136e22872d4e} - (no file)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

anthony5151 · Answer

On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... 

Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu : dans ton cas, simplement Antivir) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

math212 · Answer

ComboFix 08-09-05.14 - Invite 2008-09-10 14:02:42.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.288 [GMT 2:00] Endroit: C:\Documents and Settings\Invite\Bureau\C-Fix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Invite\Cookies\invite@news.fr.msn[1].txt C:\Documents and Settings\Invite\Cookies\invite@serving-sys[2].txt C:\Redemption.ECF C:\WINDOWS\system32\wav.cpl . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-08-10 to 2008-09-10 )))))))))))))))))))))))))))))))))))) . 2009-06-26 09:19 . 2008-09-06 13:51 d-------- C:\Program Files\Lopxp 2009-06-26 09:04 . 2008-09-07 14:17 d-------- C:\Program Files\Navilog1 2008-09-08 20:34 . 2008-09-08 20:34 552 --a------ C:\WINDOWS\system32\d3d8caps.dat 2008-09-08 20:22 . 2008-09-08 20:22 d-------- C:\WINDOWS\ERUNT 2008-09-08 20:08 . 2008-09-07 04:40 d-------- C:\SDFix 2008-09-06 22:17 . 2008-09-06 22:17 d-------- C:\Program Files\Avira 2008-09-06 22:17 . 2008-09-06 22:17 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-09-06 19:52 . 2008-09-06 19:52 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-09-06 19:52 . 2008-09-06 19:52 d-------- C:\Documents and Settings\Invite\Application Data\Malwarebytes 2008-09-06 19:52 . 2008-09-06 19:52 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-09-06 19:52 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-06 19:52 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-06 13:59 . 2008-09-06 13:59 d-------- C:\Program Files\Trend Micro 2008-09-06 13:04 . 2008-09-06 13:04 941 --a------ C:\WINDOWS\wininit.ini 2008-09-06 11:58 . 2008-09-06 21:55 d-------- C:\WINDOWS\system32\968070 2008-09-06 11:58 . 2008-09-06 21:55 d-------- C:\Program Files\Applications 2008-08-26 09:52 . 2008-08-26 09:52 d-------- C:\Program Files\Fichiers communs\Sony Ericsson Shared 2008-08-26 09:52 . 2008-08-26 09:52 d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-24 13:48 --------- d-----w C:\Program Files\Fichiers communs\Panda Software 2008-09-07 09:20 160,216 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-09-07 09:16 --------- d-----w C:\Program Files\WarRock 2008-09-06 11:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-09-06 10:19 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-08-29 08:55 --------- d-----w C:\Program Files\eMule 2008-08-26 07:52 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared 2008-08-26 07:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Teleca 2008-08-25 18:03 --------- d-----w C:\Program Files\Fichiers communs\Real 2008-08-24 16:05 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-08-02 16:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-02 16:23 --------- d-----w C:\Documents and Settings\Invite\Application Data\InstallShield 2008-07-24 16:19 --------- d-----w C:\Program Files\Teamspeak2_RC2 2008-07-24 16:19 --------- d-----w C:\Documents and Settings\Invite\Application Data eamspeak2 2008-07-15 19:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-07-15 19:11 --------- d-----w C:\Program Files\Windows Live 2000-02-03 19:00 22,328 ----a-w C:\Documents and Settings\Invite\Application Data\PnkBstrK.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] NvQTwk [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a--c--- 2005-08-30 21:05 344064 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 00:54 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] -ra------ 2006-11-24 02:06 487424 C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-07-07 09:42 2156368 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT] --a------ 2004-08-23 15:50 122880 C:\PROGRA~1\Wanadoo\Shell.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON] --------- 2004-10-14 17:55 32768 C:\PROGRA~1\Wanadoo\GestMAJ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] --------- 2004-08-23 15:49 20480 C:\PROGRA~1\Wanadoo\Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "WLSetupSvc"=3 (0x3) "usnjsvc"=3 (0x3) "TPSrv"=2 (0x2) "PSIMSVC"=2 (0x2) "PSHost"=2 (0x2) "PnkBstrA"=2 (0x2) "PAVSRV"=2 (0x2) "PavPrSrv"=2 (0x2) "PAVFNSVR"=2 (0x2) "Panda Software Controller"=2 (0x2) "NVSvc"=2 (0x2) "IDriverT"=3 (0x3) "FTRTSVC"=2 (0x2) "ATI Smart"=2 (0x2) "Ati HotKey Poller"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\eMule\emule.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= R3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;C:\WINDOWS\system32\DRIVERS\AN983.sys [2004-08-03 36224] S3 ham50;Creatix V.90 HAM Data Fax Modem;C:\WINDOWS\system32\DRIVERS\CTXH51.sys [2001-08-04 454815] S3 se46bus;Sony Ericsson Device 070 driver (WDM);C:\WINDOWS\system32\DRIVERS\se46bus.sys [2006-11-30 61536] S3 se46mdfl;Sony Ericsson Device 070 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se46mdfl.sys [2006-11-30 9360] S3 se46mdm;Sony Ericsson Device 070 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se46mdm.sys [2006-11-30 97088] S3 se46mgmt;Sony Ericsson Device 070 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se46mgmt.sys [2006-11-30 88624] S3 se46nd5;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\system32\DRIVERS\se46nd5.sys [2006-11-30 18704] S3 se46obex;Sony Ericsson Device 070 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se46obex.sys [2006-11-30 86432] S3 se46unic;Sony Ericsson Device 070 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\system32\DRIVERS\se46unic.sys [2006-11-30 90800] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' . - - - - ORPHANS REMOVED - - - - HKLM-Run-Adobe Photo Downloader - C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe SharedTaskScheduler-{d3b82107-f8fa-4ef3-8066-136e22872d4e} - (no file) Notify-avldr - (no file) MSConfigStartUp-Adobe Photo Downloader - C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe MSConfigStartUp-mp3 glue close defy - C:\Documents and Settings\All Users\Application Data\scr style mp3 glue\32 byte.exe MSConfigStartUp-Mpeg List - C:\DOCUME~1\Invite\APPLIC~1\BLEHPR~1\Title Wma.exe MSConfigStartUp-Spam Blocker for Outlook Express - C:\PROGRA~1\SPAMBL~1\Bin\484~1.0\SBInst.exe MSConfigStartUp-SpamBlocker - C:\Program Files\SpamBlockerUtility\Bin\4.8.4.0\SbOEAddOn.exe MSConfigStartUp-WeatherOnTray - C:\Program Files\SpamBlockerUtility\Bin\4.8.4.0\SbWeatherOnTray.exe . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Invite\Application Data\Mozilla\Firefox\Profiles\20k8jmva.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.fr . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-10 14:12:08 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\PnkBstrA.exe . ************************************************************************** . Temps d'accomplissement: 2008-09-10 14:23:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-09-10 12:23:36 Pre-Run: 2,916,925,440 octets libres Post-Run: 3,708,833,792 octets libres 164 --- E O F --- 2008-07-07 18:24:15

anthony5151 · Answer

Ok, Combofix a fait son travail
Par contre, le dernier rapport hijackthis montre encore une infection MagicControl, et je pense que c'est parce que tu n'as pas correctement fait ce que je t'avais indiqué pour navilog, à savoir désactiver le TeaTimer...

On va donc faire comme ça : relance Malwarebytes' Anti-Malware, et mets le à jour.

Puis, redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance Malwarebyte's Anti-Malware 
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection 
- S'il t'es demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici

math212 · Answer

salut desoler pour le temps de reponce mais je n'ai pas eu le temps de faire sa avant
alor par contre ce n'est pas le rapport qui est apparu a la fin de l'analyse c'est un qui est enregistrer dans malwar car l'autre quand j'ai redemarrer mon pc j'ai oublier de l'enregistrer (quel c.. ^^)



Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1120
Windows 5.1.2600 Service Pack 2

13/09/2008 21:32:39
mbam-log-2008-09-13 (21-32-39).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 122744
Temps écoulé: 1 hour(s), 46 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl\w\ (Trojan.Zlob) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl\w\ (Hijack.Search) -> Bad: (http://internetsearchservice.com/search?q=%s) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\968070 (Trojan.BHO) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

anthony5151 · Answer

# Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe 
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).

Si un rapport s'affiche, poste le ici.

Note : Si Toolscleaner ne supprime pas Combofix, supprime le manuellement.


# Redémarre ton ordinateur.


# Télécharge à nouveau Hijackthis sur ton bureau :  https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/ 

Installe le, puis lance le et clique sur "Do a system scan and save a logfile". 
Fais un copier-coller du rapport entier sur le forum

math212 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:47, on 14/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{D611B6D8-28FD-4BDA-98C6-01153BCA9873}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS3\Services\Tcpip\..\{14EDC98C-12CD-459B-9792-2189BC93C02D}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

anthony5151 · Answer

Ce rapport ne montre plus d'infection :)  As-tu encore des problèmes ? 
Sinon il me reste à te donner des conseils pour sécuriser ton ordinateur.

math212 · Answer

non  c'est bon il me reste toujours mes probleme de ligne internet qui se coupe des que je regarde une video par exemple sur youtube je ne peux pas regarder plus de deux video car mon internet se plante et je doit redemarrer mon pc pour reavoir internet et comme je joue a des jeux en ligne et bien c'est pareil et sa me les brises !!!!!
voila tout ^^

anthony5151 · Answer

Ton problème internet est dû soit à la mauvaise qualité de ta ligne téléphonique, soit à un problème avec ton modem/ta box.  Je ne peux pas t'aider pour ça...


Sinon, je te conseille de faire tout ce qui suit pour sécuriser ton ordinateur, mais aussi améliorer ses performances.



1) Sécurise ton ordinateur 

- Anti-virus : 
Antivir est un excellent choix, il y a juste un paramètre à changer.
Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> expert mode --> coche "search for rootkit before scan"

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes, utilisées par beaucoup d'infections) : Télécharges-en un vrai. En gratuit, les plus simples sont ZoneAlarm, Kerio et Pc Tools. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras : 
Tutorial ZoneAlarm : https://www.malekal.com/tutoriel-zonealarm-firewall/ 
Tutorial Kerio : http://www.malekal.com//kerio_firewall.php 
Tutoriel Pc Tools Firewall : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/ 

- Anti-spyware :
* Installe Spyware Blaster : https://www.commentcamarche.net/telecharger/ 226 spyware blaster 
Il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection ») 
* Garde Spybot pour avoir une protection minimale, mets le à jour et fais les vaccination régulièrement.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Voir ici :
Tutoriel : https://www.malekal.com/securiser-le-navigateur-web-firefox-2/

- Internet Explorer n'est pas à jour, c'est une faille de sécurité (même si tu ne l'utilises pas)
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas (ou si ta version de Windows n'est pas officielle...), télécharge et installe IE 7 depuis ce lien : https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/

- Pour le reste, tu peux faire un scan de vulnérabilités pour voir les programmes qui ne sont pas à jour. Plus d'explications ici : https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/




2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) : 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')    
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked" 



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe 
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout (ex : Combofix), supprime toi même ce qui reste.



4) Tu peux également faire ceci pour désactiver certains services inutiles (extrait du site malekal.com) : 

Menu Démarrer --> exécuter --> tape services.msc --> clique sur OK 

Dans la liste, double-clique sur les services suivants.. puis positionne le démarrage sur ce qui est indiqué ici : 

Accès à distance au registre: Mettre en dans la zone "type de démarrage" le mode "manuel". 
Accès au périphérique d'interface utilisateur : Mettre en "désactivé" si vous ne possédez pas de clavier avec 40000 touches inutiles. 
Acquisition d'image Windows : désactiver si vous n'avez pas de scanneur. 
Affichage des messages : "désactiver" 
Aide et support : si vous êtes un fan de l'aide de windows, laissez "automatique", autrement Mettre en "désactivé". 
Assistance TCP/IP NETBios : Mettre désactiver si votre ordinateur n'est pas en réseau (partage fichier/imprimante) 
Avertissement : Mettre en "désactivé". 
Carte à puce : Mettre en "désactivé". 
Carte de performance WMI : Mettre en "désactivé". 
Centre de sécurité. Mettre en "Manuel" 
Cliché instantanné de volume : Mettre en "désactivé". 
Client de suivi de lien distribué : Mettre en "désactivé". 
Compatibilité avec le changement rapide d'utilisateur : Mettre en "désactivé". 
Configuration automatique sans fil : si vous n'avez pas de réseau sans fil ou de matériel sans fil, Mettre en "désactivé". 
DDE réseau : Mettre en "désactivé". 
DSDM DDE réseau : Mettre en "désactivé". 
Emplacement protégé : Mettre en "désactivé".Fournisseur de la prise en charge de sécurité LM NT : Mettre en "manuel". 
Gestion d'applications : Mettre en "manuel". 
Gestionnaire de connexion automatique d'accès distant : Mettre en "manuel". 
Gestionnaire de connexion d'accès distant : Mettre en "manuel". 
Gestionnaire de l'album : Mettre en "manuel". 
Gestionnaire de session d'aide sur le Bureau à distance : Mettre en "désactivé". 
Journaux et alertes de performances : Mettre en "désactivé". 
Numéro de série du média portable : Mettre en "désactivé". 
Onduleur : si vous n'en avez pas un Mettre en "désactivé" (sauf si vous possédez un onduleur) 
Ouverture de session réseau : Mettre en "désactivé". 
Partage de bureau à distance Neet Meeting : Mettre en "désactivé". 
Prise en charge des cartes à puce : Mettre en "désactivé". 
Qos RSVP : Mettre en "désactivé". 
Routage et accès distant : Mettre en "désactivé". 
Service COM de gravage de CD IMAPI : si vous n'avez pas de graveur, Mettre en "désactivé". 
Service de rapports d'erreurs : Mettre en "désactivé". 
Service d'indexation : Mettre en "désactivé". 
Telnet : Mettre en "désactivé". 
Web Client : Mettre en "automatique". 



5) Télécharge et installe CCleaner (attention à l'installation, pense à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner) : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html 

Lance CCleaner : 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, 
puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



6) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection). 

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés. 
* Sélectionne l'onglet restauration du système 
* Coche l'option Désactiver la restauration du système sur tous les lecteurs 
* Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



7) Télécharge JkDefrag sur ton bureau : http://www.kessels.com/JkDefrag/ 
Ce petit programme permet de défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows). 

Je te conseille de le lancer en mode sans échec pour augmenter son efficacité : pour cela, redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle et double clique sur le fichier Jkdefreg.exe présent dans le dossier Jkdefrag (si tu as choisis la version sans installation). 
La défragmentation peut durer plusieurs heures, et il ne faut pas utiliser l'ordinateur pendant ceci (tu peux le faire de nuit s'il faut). 



8) Je t'invite enfin à visiter cette page qui t'apportera des information de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf



9) Enfin, si tu n as pas d'autres problèmes, peux-tu changer le statut du sujet en resolu stp : 
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

math212 · Answer

ok et bin merci beaucoup 
je vais faire tout ce que tu me dit ce soir
encort merci

Virus windows anti et autres

24 réponses

Votre réponse

Discussions similaires

Newsletters