Sujet Précédent Sujet Suivant

Aide pour utiliser le logiciel Hijack This

Résolu
wasselie Messages postés 30 Statut Membre -  
 WASSELIE -
Bonjour,
mon pc est infecte. J'ai telecharge le Hijack This . Cependant il est note qu'il est preferable de faire appel a une personne experimenter avant d'utiliser le programme.
j'ai copier le rapport editer par Hijack This
merci de m'aider a regler mon probleme

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:14, on 16/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\system32\Rundll32.exe
H:\WINDOWS\system32\rundll32.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Messenger\msmsgs.exe
H:\WINDOWS\system32\taskmgr.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - H:\Program Files\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - H:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXCFCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SearchSettings] H:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] H:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [000000af] rundll32.exe "H:\WINDOWS\system32\habfnsrv.dll",b
O4 - HKLM\..\Run: [BM8f3315b6] Rundll32.exe "H:\WINDOWS\system32\vdlsajdl.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [gmosc] "h:\documents and settings\user\local settings\application data\gmosc.exe" gmosc
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u7-windows-i586-jc.cab&AuthParam=1580978829_3fac487ff39b191ded7866fc4973d48d&ext=.cab
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - G:\Player\__CDS2.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: lxcf_device - - H:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg

32 réponses

  • 1
  • 2
Réponse 1 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Salut,

Ton PC est très infecté.

---> Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)
0
Réponse 2 / 32
wasselie Messages postés 30 Statut Membre
 
C'est fait, voici le rapport.

-----------\\ ToolBar S&D 1.2.0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Award Medallion BIOS v6.00PG
USER : User ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)
A:\ (USB)
C:\ (USB)
D:\ (USB)
E:\ (USB)
F:\ (USB)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total : 232 Go Free : 208 Go

"H:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
Option : [1] ( 16/09/2008|14:48 )

-----------\\ Recherche de Fichiers / Dossiers ...

H:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
H:\DOCUME~1\User\APPLIC~1\Search Settings
H:\DOCUME~1\User\APPLIC~1\Search Settings\kb127
H:\Program Files\Search Settings
H:\Program Files\Search Settings\kb127
H:\Program Files\Search Settings\SearchSettings.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="H:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
"SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=66028"
"CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028"

--------------------\\ Recherche d'autres infections

H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.exe
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_nav.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_navps.dat
[b]==> EGDACCESS <==/b

H:\WINDOWS\system32\NmVEOXbc.ini
H:\WINDOWS\system32\NmVEOXbc.ini2
H:\WINDOWS\system32\wHhjTBeg.ini
H:\WINDOWS\system32\wHhjTBeg.ini2
[b]==> VUNDO <==/b

--------------------\\ Cracks & Keygens ..

H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen
H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\PowerDVD6-Keygen.exe
H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\readme.txt
H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\SoftArchive.NeT.url
H:\DOCUME~1\User\Mes documents\V7.7.5.1\keygen.exe

1 - "H:\ToolBar SD\TB_1.txt" - 16/09/2008|14:49 - Option : [1]

-----------\\ Fin du rapport a 14:49:32,09
0
Réponse 3 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Fais l'option 2 de ToolBar S&D.
0
Réponse 4 / 32
wasselie Messages postés 30 Statut Membre
 
OK j'ai selectionné l'option 2
voici le rapport
-----------\\ ToolBar S&D 1.2.0 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz )
BIOS : Award Medallion BIOS v6.00PG
USER : User ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)
A:\ (USB)
C:\ (USB)
D:\ (USB)
E:\ (USB)
F:\ (USB)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total : 232 Go Free : 208 Go

"H:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
Option : [2] ( 16/09/2008|14:59 )

-----------\\ SUPPRESSION

Supprime! - H:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
Supprime! - H:\DOCUME~1\User\APPLIC~1\Search Settings\kb127
Supprime! - H:\Program Files\Search Settings\kb127
Supprime! - H:\Program Files\Search Settings\SearchSettings.exe
Supprime! - H:\DOCUME~1\User\APPLIC~1\Search Settings
Supprime! - H:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="H:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
"SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=66028"
"CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028"

--------------------\\ Recherche d'autres infections

H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.exe
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_nav.dat
H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_navps.dat
[b]==> EGDACCESS <==/b

H:\WINDOWS\system32\NmVEOXbc.ini
H:\WINDOWS\system32\NmVEOXbc.ini2
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Supprime ToolBar S&D

- Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

- Double-clique sur Navilog1.exe afin de lancer l'installation

- Si le fix ne lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le bureau

- Appuie sur F ou f puis valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix

- Patiente jusqu'au message : *** Analyse Termine le ..... ***

- Le scan fini, le bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse

- Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.
0
Réponse 6 / 32
wasselie Messages postés 30 Statut Membre
 
Je suis allée dans le C:\fixnvi.txt pour trouver le fichier
l'analyse est terminé et il est demander d'appuyer sur une touche pour continuer .

Search Navipromo version 3.6.5 commencé le 16/09/2008 à 15:15:47,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis H:\Program Files\navilog1
Session actuelle : "User"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "H:\WINDOWS" ***

*** Recherche dossiers dans "H:\Program Files" ***

*** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "h:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\User\applic~1" ***

*** Recherche dossiers dans "H:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\User\locals~1\applic~1" ***

*** Recherche dossiers dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "H:\Documents and Settings\User\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "H:\WINDOWS\system32" *

* Recherche dans "H:\Documents and Settings\User\locals~1\applic~1" *

* Recherche dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "H:\WINDOWS\system32" :

* Dans "H:\Documents and Settings\User\locals~1\applic~1" :

gmosc.dat trouvé !
gmosc.exe trouvé !
gmosc_nav.dat trouvé !
gmosc_navps.dat trouvé !

* Dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

H:\WINDOWS\system32\NmVEOXbc.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
H:\WINDOWS\system32\wHhjTBeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 16/09/2008 à 15:19:01,32 ***
0
Réponse 7 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Relance Navilog1, fais l'option 2 et poste le rapport.
0
Réponse 8 / 32
wasselie Messages postés 30 Statut Membre
 
c'est fait voici le rapport

Clean Navipromo version 3.6.5 commencé le 16/09/2008 à 15:30:24,15

Outil exécuté depuis H:\Program Files\navilog1
Session actuelle : "User"

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "H:\WINDOWS\System32" *

* Suppression dans "H:\Documents and Settings\User\locals~1\applic~1" *

* Suppression dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Suppression dossiers dans "H:\WINDOWS" ***

*** Suppression dossiers dans "H:\Program Files" ***

*** Suppression dossiers dans "H:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "h:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\User\applic~1" ***

*** Suppression dossiers dans "H:\DOCUME~1\ADMINI~1\applic~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\User\locals~1\applic~1" ***

*** Suppression dossiers dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Suppression dossiers dans "H:\Documents and Settings\User\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu H:\WINDOWS\Temp effectué !
Nettoyage contenu H:\Documents and Settings\User\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "H:\WINDOWS\system32" *

* Dans "H:\Documents and Settings\User\locals~1\applic~1" *

gmosc.exe trouvé !
Copie gmosc.exe réalisée avec succès !
gmosc.exe supprimé !

gmosc.dat trouvé !
Copie gmosc.dat réalisée avec succès !
gmosc.dat supprimé !

gmosc_nav.dat trouvé !
Copie gmosc_nav.dat réalisée avec succès !
gmosc_nav.dat supprimé !

gmosc_navps.dat trouvé !
Copie gmosc_navps.dat réalisée avec succès !
gmosc_navps.dat supprimé !

* Dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 16/09/2008 à 15:33:29,62 ***
0
Réponse 9 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Tu peux désinstaller Navilog1

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 10 / 32
wasselie Messages postés 30 Statut Membre
 
je n'arrive pas a télécharger ComboFix
j'ai fais une recherche dans le Pc et j'ai trouve un fichier que j'ai copie

PUSHD "H:\32788R22FWJFW\"

IF NOT EXIST H:\WINDOWS\system32\cmd.exe GOTO Not_NT

VER 1>temp00

H:\WINDOWS\system32\FIND.exe "Microsoft Windows [Version 5.2.3790]" temp00 1>NULL

IF NOT ERRORLEVEL 1 GOTO Not_NT

H:\WINDOWS\system32\FIND.exe "Windows XP" temp00 1>NULL

HANDLE | SED -r "/<Non-existant Process> pid: ([0-9]*) .*/!d; s//@Nircmd KillProcess \/\1/" 1>temp00.bat

CALL temp00.bat

PV -o"%i\t%l" | SED "/\t.*\\nircmd\.inf$/!d; s///; s/./@pv -kfi &/" 1>temp01.bat

CALL temp01.bat

DEL /Q temp0?.bat temp00 2>NULL

=============================================

ALLUSERSPROFILE=H:\Documents and Settings\All Users
APPDATA=H:\Documents and Settings\User\Application Data
CFLDR=32788R22FWJFW
CLIENTNAME=Console
CommonProgramFiles=H:\Program Files\Fichiers communs
COMPUTERNAME=PROPRIETAIRE
ComSpec=H:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=H:
HOMEPATH=\Documents and Settings\User
KMD=CF25636.exe
LOGONSERVER=\\PROPRIETAIRE
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=H:\32788R22FWJFW;H:\WINDOWS\system32;H:\WINDOWS;H:\WINDOWS\system32\wbem;H:\Program Files\Internet Explorer;;H:\Program Files\Windows Live\Mail\;H:\Program Files\Windows Live\Messenger\;H:\WINDOWS\system32;H:\WINDOWS;H:\WINDOWS\System32\Wbem;H:\PROGRA~1\MICROS~2\Office
PATHEXT=.cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0403
ProgramFiles=H:\Program Files
PROMPT=$
SESSIONNAME=Console
sfxcmd="H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\ComboFix[1].exe"
sfxname=H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\ComboFix[1].exe
SYSTEM=H:\WINDOWS\system32
SystemDrive=H:
SystemRoot=H:\WINDOWS
TEMP=H:\DOCUME~1\User\LOCALS~1\Temp
TMP=H:\DOCUME~1\User\LOCALS~1\Temp
USERDOMAIN=PROPRIETAIRE
USERNAME=User
USERPROFILE=H:\Documents and Settings\User
windir=H:\WINDOWS

=============================================

IF NOT DEFINED sfxname GOTO END

CALL sfx.cmd

IF /I "H:\32788R22FWJFW" NEQ "H:\32788R22FWJFW" GOTO Abort

IF EXIST "H:\DOCUME~1\User\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL "H:\DOCUME~1\User\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log"
SteelWerX Extended Configuration Access Control Lists
Written by Bobbi Flekman 2006 (C)
Ownerchange for "H:\WINDOWS\system32\cmd.exe" to Administrators group was successful

rem COPY /Y "H:\WINDOWS\system32\cmd.exe" "H:\WINDOWS\system32\CF25636.exe"

(
SET "FileName=ComboFix[1]"
SET "FilePath=H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\"
)

SET FileName 1>FileName 2>NULL

GREP -isqx "FileName=[-[:alnum:]@.]*" FileName || (
Nircmd infobox "You cannot rename ComboFix as ComboFix[1]~n~nPlease use another name, preferbaly made up of alphanumeric characters" ""
GOTO END
)

IF EXIST "H:\WINDOWS\system32\cmd.cfexe" MOVE /Y "H:\WINDOWS\system32\cmd.cfexe" "H:\DOCUME~1\User\LOCALS~1\Temp"

CD ..

IF DEFINED cfldr RD /S/Q "32788R22FWJFW"
0
Réponse 11 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm
0
Réponse 12 / 32
wasselie Messages postés 30 Statut Membre
 
C'est fait j'ai supprimé tout ce qu'il a trouvé
et voici le rapport

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1159
Windows 5.1.2600 Service Pack 2

16/09/2008 16:19:04
mbam-log-2008-09-16 (16-19-04).txt

Type de recherche: Examen rapide
Eléments examinés: 44560
Temps écoulé: 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
H:\WINDOWS\system32\cbXOEVmN.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\habfnsrv.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\vdlsajdl.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e4ec44a-efa5-4ecd-91ba-953e60f06167} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9e4ec44a-efa5-4ecd-91ba-953e60f06167} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm8f3315b6 (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: h:\windows\system32\cbxoevmn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: h:\windows\system32\cbxoevmn -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
H:\WINDOWS\system32\wTR02 (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
H:\WINDOWS\system32\cbXOEVmN.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\NmVEOXbc.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\NmVEOXbc.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\habfnsrv.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\vrsnfbah.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\vdlsajdl.dll (Trojan.Vundo) -> Delete on reboot.
H:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM8f3315b6.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM8f3315b6.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
0
Réponse 13 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Relance MBAM, va dans Quarantaine et supprime tout

---> Essaie de lancer ComboFix
0
Réponse 14 / 32
wasselie Messages postés 30 Statut Membre
 
voici le message d'erreur que j'obtiens
YOU cannot rename ComboFix as ComboFix [1] Please use another name, preferbaly made up of alphanumeric ic characters
0
Réponse 15 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Télécharge-le dans Mes documents.
0
Réponse 16 / 32
wasselie Messages postés 30 Statut Membre
 
C'est fait

ComboFix 08-09-15.02 - User 2008-09-16 16:44:00.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.709 [GMT 11:00]
Lancé depuis: H:\Documents and Settings\User\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Documents and Settings\User\ravmonlog
H:\WINDOWS\system32\chbsofdn.ini
H:\WINDOWS\system32\emrynqvk.dll
H:\WINDOWS\system32\MSINET.oca
H:\WINDOWS\system32\nasoebss.dll
H:\WINDOWS\system32\ukdkscni.ini
H:\WINDOWS\system32\wHhjTBeg.ini
H:\WINDOWS\system32\wHhjTBeg.ini2

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-16 au 2008-09-16 ))))))))))))))))))))))))))))))))))))
.

2008-09-16 16:08 . 2008-09-16 16:08 <REP> d-------- H:\Program Files\Malwarebytes' Anti-Malware
2008-09-16 16:08 . 2008-09-16 16:08 <REP> d-------- H:\Documents and Settings\User\Application Data\Malwarebytes
2008-09-16 16:08 . 2008-09-16 16:08 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-16 16:08 . 2008-09-10 00:04 38,528 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-16 16:08 . 2008-09-10 00:03 17,200 --a------ H:\WINDOWS\system32\drivers\mbam.sys
2008-09-16 16:03 . 2008-09-16 16:03 <REP> d-------- H:\Documents and Settings\User\Application Data\GoodSync
2008-09-16 16:02 . 2008-09-16 16:22 <REP> d-------- H:\Program Files\Siber Systems
2008-09-16 15:14 . 2008-09-16 15:42 <REP> d-------- H:\Program Files\Navilog1
2008-09-16 14:48 . 2008-09-16 15:00 3,178 --a------ H:\Documents and Settings\Orph.egd
2008-09-16 14:01 . 2008-09-16 14:01 <REP> d-------- H:\Program Files\Trend Micro
2008-09-15 15:38 . 2008-09-15 15:38 <REP> d-------- H:\Program Files\Avira
2008-09-15 15:17 . 2008-09-15 15:17 <REP> d-------- H:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP
2008-09-15 15:16 . 2008-09-15 15:16 <REP> d-------- H:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-14 18:15 . 2008-09-15 15:15 <REP> d-------- H:\Program Files\Spybot - Search & Destroy
2008-09-14 18:15 . 2008-09-15 15:15 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-13 03:55 . 2008-09-13 03:55 <REP> d-------- H:\Documents and Settings\User\Application Data\Nettordinateur
2008-09-12 20:22 . 2008-09-15 15:17 <REP> d-------- H:\Program Files\Mozilla Firefox(2)
2008-09-12 20:22 . 2008-09-12 20:22 0 --a------ H:\WINDOWS\nsreg.dat
2008-09-12 20:05 . 2008-09-12 20:05 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Nettordinateur
2008-09-12 18:43 . 2008-09-15 15:17 <REP> d-------- H:\Documents and Settings\All Users\Application Data\Lavasoft
2008-09-12 18:21 . 2008-09-12 18:21 <REP> d-------- H:\Program Files\Fichiers communs\Nero
2008-09-12 18:20 . 2008-09-12 18:20 <REP> d-------- H:\WINDOWS\InCD
2008-09-12 18:20 . 2008-09-12 18:20 <REP> d-------- H:\Program Files\Ahead
2008-09-12 18:20 . 2005-01-28 18:02 2,658,304 --------- H:\WINDOWS\NuNinst.exe
2008-09-12 18:20 . 2005-01-27 19:08 99,200 --------- H:\WINDOWS\system32\drivers\InCDfs.sys
2008-09-12 18:20 . 2005-06-18 21:19 57,929 --------- H:\WINDOWS\NuNinst.cfg
2008-09-12 18:20 . 2005-01-27 19:07 28,928 --------- H:\WINDOWS\system32\drivers\InCDpass.sys
2008-09-12 18:20 . 2005-01-28 19:07 27,776 --------- H:\WINDOWS\system32\drivers\InCDrm.sys
2008-09-12 18:20 . 2005-01-27 19:08 8,704 --------- H:\WINDOWS\system32\drivers\InCDrec.sys
2008-09-12 12:59 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\Attack on Pearl Harbor Demo
2008-09-11 21:20 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\LimeWire
2008-09-11 20:31 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\KaraFun
2008-09-11 20:16 . 2008-09-12 12:59 <REP> d-------- H:\Program Files\Minilyrics
2008-09-11 20:16 . 2008-09-11 20:43 <REP> d-------- H:\Lyrics
2008-09-11 20:16 . 2008-09-12 12:59 <REP> d-------- H:\Documents and Settings\User\Application Data\MiniLyrics
2008-09-08 13:27 . 2008-09-12 12:59 <REP> d-------- H:\Documents and Settings\Administrateur\Modèles
2008-09-08 13:27 . 2008-09-08 13:29 <REP> d-------- H:\Documents and Settings\Administrateur\Mes documents
2008-09-08 13:27 . 2008-09-12 12:59 <REP> d---s---- H:\Documents and Settings\Administrateur
2008-09-07 07:51 . 1998-11-13 13:16 308,224 --a------ H:\WINDOWS\IsUn040c.exe
2008-09-07 07:51 . 2008-09-07 07:51 256 --a------ H:\WINDOWS\_delis32.ini
2008-09-06 11:06 . 2008-09-12 08:14 <REP> d-------- H:\Documents and Settings\User\Application Data\LimeWire
2008-09-06 09:27 . 2008-09-06 09:27 <REP> d-------- H:\WINDOWS\Sun
2008-09-06 09:27 . 2008-09-06 09:27 <REP> d-------- H:\Program Files\Sun
2008-09-06 09:27 . 2008-06-10 02:32 73,728 --a------ H:\WINDOWS\system32\javacpl.cpl
2008-09-06 09:26 . 2008-09-06 09:27 <REP> d-------- H:\Program Files\Java
2008-09-06 09:24 . 2008-09-06 09:24 <REP> d-------- H:\Program Files\Fichiers communs\Java
2008-09-06 09:16 . 2008-09-15 15:16 <REP> d-------- H:\Program Files\Free Audio Pack
2008-09-02 18:19 . 2008-09-02 18:19 <REP> d-------- H:\WINDOWS\system32\IOSUBSYS
2008-09-02 18:19 . 2006-10-05 13:42 2,560 --------- H:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-02 18:19 . 2006-10-05 13:42 2,432 --------- H:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-30 13:40 . 2008-09-13 04:01 <REP> d-------- H:\WINDOWS\system32\NtmsData
2008-08-30 13:18 . 2008-09-06 08:52 <REP> d-------- H:\Program Files\SIW
2008-08-27 19:47 . 2008-09-02 18:19 <REP> d-------- H:\Program Files\Picasa2
2008-08-24 18:40 . 2008-09-07 07:53 <REP> d-------- H:\Program Files\Yahoo!
2008-08-24 18:40 . 2008-08-24 18:40 <REP> d-------- H:\Program Files\CCleaner
2008-08-24 14:59 . 2008-08-24 19:04 <REP> d-a------ H:\Documents and Settings\All Users\Application Data\TEMP
2008-08-16 19:05 . 2008-08-17 18:01 <REP> d-------- H:\Program Files\Fichiers communs\Symantec Shared
2008-08-16 10:31 . 2008-09-02 12:43 <REP> d-------- H:\WINDOWS\system32\Adobe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 04:41 --------- d-----w H:\Program Files\Lx_cats
2008-09-15 10:40 --------- d-----w H:\Documents and Settings\User\Application Data\dvdcss
2008-09-15 04:38 --------- d-----w H:\Documents and Settings\All Users\Application Data\Avira
2008-09-12 01:57 --------- d-----w H:\Program Files\InterActual
2008-09-06 20:53 --------- d-----w H:\Program Files\Windows Live Toolbar
2008-09-06 20:52 --------- d--h--w H:\Program Files\InstallShield Installation Information
2008-08-17 19:32 --------- d-----w H:\Program Files\Google
2008-08-04 03:36 --------- d-----w H:\Program Files\Windows Media Connect 2
2008-08-01 08:52 --------- d-----w H:\Documents and Settings\User\Application Data\ArcSoft
2008-07-28 07:16 --------- d-----w H:\Documents and Settings\User\Application Data\Canon
2008-07-26 01:22 --------- d-----w H:\Program Files\Canon
2008-07-26 01:13 --------- d-----w H:\Program Files\ArcSoft
2008-07-23 08:41 --------- d-----w H:\Documents and Settings\User\Application Data\CyberLink
2008-07-21 08:05 --------- d-----w H:\Documents and Settings\User\Application Data\vlc
2008-07-20 20:06 --------- d-----w H:\Program Files\VideoLAN
2008-07-18 11:10 94,920 ----a-w H:\WINDOWS\system32\cdm.dll
2008-07-18 11:10 53,448 ----a-w H:\WINDOWS\system32\wuauclt.exe
2008-07-18 11:10 45,768 ----a-w H:\WINDOWS\system32\wups2.dll
2008-07-18 11:10 36,552 ----a-w H:\WINDOWS\system32\wups.dll
2008-07-18 11:09 563,912 ----a-w H:\WINDOWS\system32\wuapi.dll
2008-07-18 11:09 325,832 ----a-w H:\WINDOWS\system32\wucltui.dll
2008-07-18 11:09 205,000 ----a-w H:\WINDOWS\system32\wuweb.dll
2008-07-18 11:09 1,811,656 ----a-w H:\WINDOWS\system32\wuaueng.dll
2008-07-18 11:07 270,880 ----a-w H:\WINDOWS\system32\mucltui.dll
2008-07-18 11:07 210,976 ----a-w H:\WINDOWS\system32\muweb.dll
2008-07-07 20:31 253,952 ----a-w H:\WINDOWS\system32\es.dll
2008-06-24 16:23 74,240 ----a-w H:\WINDOWS\system32\mscms.dll
2008-06-24 07:12 295,936 ------w H:\WINDOWS\system32\wmpeffects.dll
2008-06-23 15:40 663,552 ----a-w H:\WINDOWS\system32\wininet.dll
2008-06-20 17:41 247,808 ----a-w H:\WINDOWS\system32\mswsock.dll
2008-06-06 08:54 35,152 -c--a-w H:\Documents and Settings\User\Application Data\GDIPFONTCACHEV1.DAT
2008-06-01 07:15 15,397 -c--a-w H:\Program Files\settings.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="H:\Program Files\Messenger\msmsgs.exe" [2004-10-14 1694208]
"swg"="H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-07-25 171448]
"Picasa Media Detector"="H:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="H:\WINDOWS\system32\NvCpl.dll" [2006-06-01 7618560]
"NvMediaCenter"="H:\WINDOWS\system32\NvMcTray.dll" [2006-06-01 86016]
"LXCFCATS"="H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-21 73728]
"LVCOMSX"="H:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 221184]
"LogitechVideoRepair"="H:\Program Files\Logitech\Video\ISStart.exe" [2004-12-14 458752]
"LogitechVideoTray"="H:\Program Files\Logitech\Video\LogiTray.exe" [2004-12-14 217088]
"Adobe Reader Speed Launcher"="H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"RemoteControl"="H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"SunJavaUpdateSched"="H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"InCD"="H:\Program Files\Ahead\InCD\InCD.exe" [2005-01-28 1381376]
"avgnt"="H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-06-01 H:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

H:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - H:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a--c--- 2007-01-15 16:14 147456 H:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:54 15360 H:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2006-01-12 15:40 155648 H:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a--c--- 2005-05-03 18:43 69632 H:\WINDOWS\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio]
--------- 2005-01-07 17:07 61952 H:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2005-06-29 13:25 14720000 H:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NMIndexingService"=3 (0x3)
"NBService"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Program Files\\Messenger\\msmsgs.exe"=
"H:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"H:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"H:\\WINDOWS\\system32\\dpvsetup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12011:TCP"= 12011:TCP:NortonAV
"12914:TCP"= 12914:TCP:NortonAV

R3 3xHybrid;3xHybrid service;H:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-03 710144]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0CCADB30-E6E0-4190-B957-07475720491E} - (no file)
BHO-{2E88B5AE-9737-415B-BE30-371B8E5DC001} - (no file)
ShellExecuteHooks-{2E88B5AE-9737-415B-BE30-371B8E5DC001} - (no file)
Notify-yayyWpQH - yayyWpQH.dll

.
------- Examen supplémentaire -------
.
FireFox -: Profile - H:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\ugo6h234.default\
FF -: plugin - H:\Program Files\Picasa2\npPicasa2.dll
FF -: plugin - H:\Program Files\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-16 16:45:15
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCFCATS = rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-09-16 16:46:42
ComboFix-quarantined-files.txt 2008-09-16 05:46:19

Avant-CF: 223,587,094,528 octets libres
AprŠs-CF: 223,590,854,656 octets libres

202 --- E O F --- 2008-09-12 06:49:54
0
Réponse 17 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix
0
Réponse 18 / 32
wasselie Messages postés 30 Statut Membre
 
Voila ,

SmitFraudFix v2.351

Rapport fait à 16:55:55,34, 16/09/2008
Executé à partir de H:\Documents and Settings\User\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
H:\Program Files\Picasa2\PicasaMediaDetector.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Windows Live\Messenger\usnsvc.exe
H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
H:\WINDOWS\system32\notepad.exe
H:\WINDOWS\explorer.exe
H:\Program Files\Windows Live\Messenger\msnmsgr.exe
H:\Program Files\Windows Live\Mail\wlmail.exe
h:\program files\avira\antivir personaledition classic\avcenter.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxcfPSWX.EXE
H:\WINDOWS\system32\lxcfcoms.exe
H:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» H:\

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\User

»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\User\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\User\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg"
"SubscribedURL"="http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="H:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 19 / 32
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Supprime SmitFraudFix.

---> Télécharge OTMoveIt2 à partir du lien ci-dessous :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

---> Enregistre le fichier sur le Bureau.

---> Double-clique sur le fichier OTMoveIt2.exe pour lancer l'outil.
Assure-toi que la case Unregister Dll's and Ocx's soit bien cochée.

---> Copie l'intégralité du texte ci-dessous et colle-le dans la fenêtre intitulée Paste List Of Files/Folders to Move.

H:\Documents and Settings\User\Application Data\Nettordinateur\
H:\Documents and Settings\All Users\Application Data\Nettordinateur\

---> Clique sur MoveIt! pour lancer la suppression.
Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit.

Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

---> Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.
0
Réponse 20 / 32
WASSELIE
 
j'ai tout fait et tout fonctionne à merveille
merci pour toutes ces infos et ton aide . je peux naviguer à nouveau sur le net sans problemes
bonne continuation
0

Discussions similaires

Logiciel skillkorp
Mae -
txiki -

1 réponse