Your computer is infected

Question

Bonjour,

Je suis la solution pour enlever ce spyware
http://www.commentcamarche.net/faq/sujet 2964 virus your computer is infected

voici mon 1er rapport:

SmitFraudFix v2.360

Recherche Process...
Recherche hosts...
Recherche C:\...
Recherche C:\WINDOWS\...
Recherche C:\WINDOWS\system...
Recherche C:\WINDOWS\Web...
Recherche C:\WINDOWS\system32...
Recherche C:\WINDOWS\system32\LogFiles...
Recherche C:\Documents and Settings\Propriétaire...
Recherche C:\Documents and Settings\Propriétaire\Application Data...
Recherche Menu Démarrer...
Recherche C:\DOCUME~1\PROPRI~1\Favoris...
Recherche Bureau...
Recherche C:\Program Files...
Recherche présence de clés corrompues
Recherche éléments du bureau
Recherche o4Patch
Recherche IEDFix


Je vous poste le second dés que j'ai fini la manipulation!

Roni38 · Answer

Désolé mais mon rapport numéro 1 n'a pas été posté entierement...tampis!

C'est le rapport numéro 2 le plus important, le voici:

mitFraudFix v2.360

Rapport fait à 19:30:12,29, 14/10/2008
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\afozityj\azmvszon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\brastk.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\axahkxsb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pack Securite\Common\FSLAUNCH.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 86.64.145.140
DNS Server Search Order: 84.103.237.140

Description: Palladia 300/400 Usb Adsl Modem - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3778CAFA-F706-43B4-9D60-763DCF8B0817}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C03F71DB-934B-4528-84AB-2C7FB9C59E5B}: NameServer=86.64.145.140,84.103.237.140
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3778CAFA-F706-43B4-9D60-763DCF8B0817}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C03F71DB-934B-4528-84AB-2C7FB9C59E5B}: NameServer=86.64.145.140,84.103.237.140
HKLM\SYSTEM\CS3\Services\Tcpip\..\{3778CAFA-F706-43B4-9D60-763DCF8B0817}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C03F71DB-934B-4528-84AB-2C7FB9C59E5B}: NameServer=86.64.145.140,84.103.237.140
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Voilà, j'ai toujours le même message qui s'aff iche dans la barre d'outils, quelqun peut m'aider car j'ai peur que ce virus detruis tout?

sKe69 · Answer

Salut,


le prb vient d'ailleurs ... Fais ceci pour voir ce qu'il en est ;

Télécharges et installes le logiciel HijackThis : 
 
ici : ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici : https://www.clubic.com/telecharger-fiche17891-hijackthis.html

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important :
Renommer le prg HijackThis (pour contrer une éventuelle infection Vundo): 
Rends toi sur ton PC ici "C:\ program files\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ). 

tuto pour utilisation 
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

2-!! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...

Roni38 · Answer

Voila le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:56:23, on 14/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\afozityj\azmvszon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\brastk.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\axahkxsb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pack Securite\Common\FSLAUNCH.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [regsdelete] C:\DOCUME~1\PROPRI~1\APPLIC~1\TRAYGR~1\PING PLATFORM BOLT.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MonApiEn] C:\WINDOWS\system32\axahkxsb.exe
O4 - HKLM\..\Policies\Explorer\Run: [QNDtOI73JW] C:\Documents and Settings\All Users\Application Data\afozityj\azmvszon.exe
O4 - Global Startup: .security
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} (RealPlayer G2 Control) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://files-mjf.jeuxvideo-flash.com/popcap/popcaploader_v10_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C03F71DB-934B-4528-84AB-2C7FB9C59E5B}: NameServer = 86.64.145.140,84.103.237.140
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O21 - SSODL: ProcMsgMnt - {1F21957C-4D5A-3B5A-80A3-090AF0D9C993} - C:\Program Files\qsgjurf\ProcMsgMnt.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

sKe69 · Answer

Et bien ... il y a du boulot ! plusieurs infections ....

Avant de commencer le nettoyage , j'aimerai vérifier quelques fichiers suspects ...

pour cela , fais ce qui suit :


1- Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 


2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\WINDOWS\system32\axahkxsb.exe 

Cliques sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\Program Files\qsgjurf\ProcMsgMnt.dll 


postes moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Roni38 · Answer

Fichier: C:\WINDOWS\system32\axahkxsb.exe 


Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.15.0 2008.10.14 - 
AntiVir 7.8.1.34 2008.10.14 - 
Authentium 5.1.0.4 2008.10.14 - 
Avast 4.8.1248.0 2008.10.14 Win32:PureMorph 
AVG 8.0.0.161 2008.10.14 Generic11.BAUQ 
BitDefender 7.2 2008.10.14 - 
CAT-QuickHeal 9.50 2008.10.14 Win32.Trojan.Obfuscated.gx.3 
ClamAV 0.93.1 2008.10.14 - 
DrWeb 4.44.0.09170 2008.10.14 - 
eSafe 7.0.17.0 2008.10.12 - 
eTrust-Vet 31.6.6147 2008.10.14 - 
Ewido 4.0 2008.10.14 - 
F-Prot 4.4.4.56 2008.10.14 - 
F-Secure 8.0.14332.0 2008.10.14 - 
Fortinet 3.113.0.0 2008.10.14 W32/PolySmall.BP!tr 
GData 19 2008.10.14 Win32:PureMorph  
Ikarus T3.1.1.34.0 2008.10.14 Virus.Win32.PureMorph 
K7AntiVirus 7.10.493 2008.10.14 - 
Kaspersky 7.0.0.125 2008.10.14 - 
McAfee 5405 2008.10.14 FakeAlert-BD 
Microsoft 1.4005 2008.10.14 Trojan:Win32/Busky.EI 
NOD32 3521 2008.10.14 a variant of Win32/TrojanDownloader.FakeAlert.IQ 
Norman 5.80.02 2008.10.14 W32/Renos.BBZ 
Panda 9.0.0.4 2008.10.14 - 
PCTools 4.4.2.0 2008.10.14 - 
Prevx1 V2 2008.10.14 Malicious Software 
Rising 20.66.12.00 2008.10.14 - 
SecureWeb-Gateway 6.7.6 2008.10.14 - 
Sophos 4.34.0 2008.10.14 Mal/EncPk-DG 
Sunbelt 3.1.1722.1 2008.10.14 - 
Symantec 10 2008.10.14 Packed.Generic.182 
TheHacker 6.3.1.0.110 2008.10.14 - 
TrendMicro 8.700.0.1004 2008.10.14 - 
VBA32 3.12.8.6 2008.10.14 - 
ViRobot 2008.10.14.1419 2008.10.14 Trojan.Win32.Amvo.Gen 
VirusBuster 4.5.11.0 2008.10.14 - 




Fichier: C:\Program Files\qsgjurf\ProcMsgMnt.dll 

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.15.0 2008.10.14 - 
AntiVir 7.8.1.34 2008.10.14 - 
Authentium 5.1.0.4 2008.10.14 - 
Avast 4.8.1248.0 2008.10.14 Win32:PureMorph 
AVG 8.0.0.161 2008.10.14 - 
BitDefender 7.2 2008.10.14 - 
CAT-QuickHeal 9.50 2008.10.14 - 
ClamAV 0.93.1 2008.10.14 - 
DrWeb 4.44.0.09170 2008.10.14 - 
eSafe 7.0.17.0 2008.10.12 - 
eTrust-Vet 31.6.6148 2008.10.14 - 
Ewido 4.0 2008.10.14 - 
F-Prot 4.4.4.56 2008.10.14 - 
F-Secure 8.0.14332.0 2008.10.14 - 
Fortinet 3.113.0.0 2008.10.14 - 
GData 19 2008.10.14 Win32:PureMorph  
Ikarus T3.1.1.34.0 2008.10.14 - 
K7AntiVirus 7.10.493 2008.10.14 - 
Kaspersky 7.0.0.125 2008.10.14 - 
McAfee 5405 2008.10.14 - 
Microsoft 1.4005 2008.10.14 - 
NOD32 3521 2008.10.14 - 
Norman 5.80.02 2008.10.14 - 
Panda 9.0.0.4 2008.10.14 - 
Prevx1 V2 2008.10.14 Fraudulent Security Program 
Rising 20.66.12.00 2008.10.14 - 
SecureWeb-Gateway 6.7.6 2008.10.14 - 
Sophos 4.34.0 2008.10.14 Mal/EncPk-DG 
Sunbelt 3.1.1722.1 2008.10.14 - 
Symantec 10 2008.10.14 - 
TheHacker 6.3.1.0.110 2008.10.14 - 
TrendMicro 8.700.0.1004 2008.10.14 - 
VBA32 3.12.8.6 2008.10.14 - 
ViRobot 2008.10.14.1419 2008.10.14 - 
VirusBuster 4.5.11.0 2008.10.14 -

sKe69 · Answer

Très bien ...

Commences par ceci :

1-Vas dans panneau de config/ajout et suppression de prg . 
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou 
"Adverts" --->si ils s'y trouvent , supprimes les .


2-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Déconnetes toi et fermes toutes tes applications en cours .

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, cliques sur le raccourci pour lancer l'outil .  

Là,laisses toi guider: 
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).
 
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

Roni38 · Answer

Voici le rapport: --------------------\ Lop S&D 4.2.4-5 XP/Vista Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2600+ ) BIOS : Phoenix - Award BIOS v6.00PG USER : Propriétaire ( Administrator ) BOOT : Normal boot Antivirus : Pack Securite Plus 7.00 7.00 (Not Activated) Firewall : Pack Securite Plus 7.00 7.00 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total : 69 Go Free : 24 Go D:\ (Local Disk) - FAT32 - Total : 4 Go Free : 0 Go E:\ (CD or DVD) F:\ (CD or DVD) G:\ (CD or DVD) "C:\Lop SD" ( MAJ : 02-10-2008|23:42 ) Option : [1] ( 14/10/2008|20:31 ) --------------------\ Listing des dossiers dans APPLIC~1 [01/01/2003|17:39] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities [13/10/2008|20:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft [01/01/2003|20:24] C:\DOCUME~1\ADMINI~1\APPLIC~1\SampleView [01/01/2003|19:50] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sonic [01/01/2003|18:38] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun [01/01/2003|18:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Symantec [29/11/2005|22:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe [13/10/2008|19:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\afozityj [03/12/2006|17:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer [02/11/2006|17:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BOONTY [26/09/2007|15:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\flagsafeadminboob [19/06/2008|20:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure [19/06/2008|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg [30/06/2007|14:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google [01/01/2003|19:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Hewlett-Packard [01/01/2003|19:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InterVideo [03/11/2006|15:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision [16/05/2008|07:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus! [25/02/2006|14:10] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft [01/01/2003|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Motive [20/05/2007|10:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla [05/06/2004|15:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6 [23/08/2005|14:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime [15/05/2005|16:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past [17/09/2005|14:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SAFEKINDABOUTJUGS [01/01/2003|17:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SBSI [11/11/2004|12:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Softdisk LLC [28/02/2008|11:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy [26/09/2007|19:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec [01/09/2008|12:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP [07/07/2006|14:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage [24/12/2006|15:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip [26/02/2008|16:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller [16/05/2008|13:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom [01/01/2003|17:39] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities [01/01/2003|19:11] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft [01/01/2003|20:24] C:\DOCUME~1\DEFAUL~1\APPLIC~1\SampleView [01/01/2003|19:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Sonic [01/01/2003|18:38] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Sun [01/01/2003|18:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Symantec [30/04/2008|16:24] C:\DOCUME~1\Didi\APPLIC~1\Adobe [11/10/2004|18:31] C:\DOCUME~1\Didi\APPLIC~1\AdobeUM [22/05/2007|19:37] C:\DOCUME~1\Didi\APPLIC~1\Apple Computer [10/06/2005|18:27] C:\DOCUME~1\Didi\APPLIC~1\ArcSoft [19/06/2004|14:40] C:\DOCUME~1\Didi\APPLIC~1\Common Files [17/12/2006|21:44] C:\DOCUME~1\Didi\APPLIC~1\DivX [06/04/2008|14:57] C:\DOCUME~1\Didi\APPLIC~1\Epsitec Cache [19/06/2008|20:37] C:\DOCUME~1\Didi\APPLIC~1\F-Secure [06/05/2006|12:45] C:\DOCUME~1\Didi\APPLIC~1\Google [14/05/2005|17:31] C:\DOCUME~1\Didi\APPLIC~1\Help [19/06/2004|14:40] C:\DOCUME~1\Didi\APPLIC~1\HP [07/09/2004|19:28] C:\DOCUME~1\Didi\APPLIC~1\Identities [13/06/2004|12:29] C:\DOCUME~1\Didi\APPLIC~1\InterVideo [19/11/2005|19:34] C:\DOCUME~1\Didi\APPLIC~1\iShell [20/12/2005|15:26] C:\DOCUME~1\Didi\APPLIC~1\Leadertech [03/10/2008|19:32] C:\DOCUME~1\Didi\APPLIC~1\LimeWire [02/11/2006|17:13] C:\DOCUME~1\Didi\APPLIC~1\Macromedia [19/03/2007|20:23] C:\DOCUME~1\Didi\APPLIC~1\Media Player Classic [22/03/2008|22:20] C:\DOCUME~1\Didi\APPLIC~1\Micro Application [26/02/2008|16:57] C:\DOCUME~1\Didi\APPLIC~1\Microsoft [06/07/2005|17:15] C:\DOCUME~1\Didi\APPLIC~1\Motive [20/05/2007|10:54] C:\DOCUME~1\Didi\APPLIC~1\Mozilla [13/06/2004|12:19] C:\DOCUME~1\Didi\APPLIC~1\MSN6 [06/04/2008|14:58] C:\DOCUME~1\Didi\APPLIC~1\OPaC bright ideas [13/10/2008|20:22] C:\DOCUME~1\Didi\APPLIC~1\PC-Antispy [02/11/2006|17:13] C:\DOCUME~1\Didi\APPLIC~1\PlayFirst [14/12/2004|19:48] C:\DOCUME~1\Didi\APPLIC~1\Real [10/06/2005|18:22] C:\DOCUME~1\Didi\APPLIC~1\River Past [01/01/2003|20:24] C:\DOCUME~1\Didi\APPLIC~1\SampleView [09/02/2008|21:18] C:\DOCUME~1\Didi\APPLIC~1\Samsung [30/09/2007|16:55] C:\DOCUME~1\Didi\APPLIC~1\Screenshot Sender [10/01/2005|22:37] C:\DOCUME~1\Didi\APPLIC~1\Sonic [01/01/2003|18:38] C:\DOCUME~1\Didi\APPLIC~1\Sun [26/09/2007|14:56] C:\DOCUME~1\Didi\APPLIC~1\Symantec [20/05/2007|10:55] C:\DOCUME~1\Didi\APPLIC~1\Talkback [05/10/2008|20:48] C:\DOCUME~1\Didi\APPLIC~1\uTorrent [04/06/2008|13:43] C:\DOCUME~1\Didi\APPLIC~1\vlc [29/08/2004|18:47] C:\DOCUME~1\Didi\APPLIC~1\XnView [29/11/2005|22:42] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe [24/10/2005|13:37] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft [17/09/2005|14:06] C:\DOCUME~1\LOCALS~1\APPLIC~1 ray grid [01/01/2003|17:42] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft [12/08/2006|18:05] C:\DOCUME~1\NETWOR~1\APPLIC~1\Symantec [30/04/2008|14:46] C:\DOCUME~1\PROPRI~1\APPLIC~1\Adobe [22/06/2004|15:33] C:\DOCUME~1\PROPRI~1\APPLIC~1\AdobeUM [26/12/2006|14:21] C:\DOCUME~1\PROPRI~1\APPLIC~1\Apple Computer [30/09/2007|14:58] C:\DOCUME~1\PROPRI~1\APPLIC~1\ConvertTemp [14/01/2007|21:59] C:\DOCUME~1\PROPRI~1\APPLIC~1\DivX [20/06/2008|09:20] C:\DOCUME~1\PROPRI~1\APPLIC~1\F-Secure [04/06/2004|09:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\Help [01/01/2003|17:39] C:\DOCUME~1\PROPRI~1\APPLIC~1\Identities [13/11/2005|23:22] C:\DOCUME~1\PROPRI~1\APPLIC~1\InterTrust [18/06/2004|15:18] C:\DOCUME~1\PROPRI~1\APPLIC~1\InterVideo [19/11/2005|19:57] C:\DOCUME~1\PROPRI~1\APPLIC~1\iShell [13/08/2004|22:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\Leadertech [24/03/2006|20:43] C:\DOCUME~1\PROPRI~1\APPLIC~1\Macromedia [14/02/2007|12:55] C:\DOCUME~1\PROPRI~1\APPLIC~1\Media Player Classic [07/09/2008|13:17] C:\DOCUME~1\PROPRI~1\APPLIC~1\Microsoft [01/06/2006|21:32] C:\DOCUME~1\PROPRI~1\APPLIC~1\Motive [30/06/2007|14:06] C:\DOCUME~1\PROPRI~1\APPLIC~1\Mozilla [02/01/2006|16:55] C:\DOCUME~1\PROPRI~1\APPLIC~1\MSN6 [02/10/2005|20:17] C:\DOCUME~1\PROPRI~1\APPLIC~1\ppStream [25/06/2008|11:41] C:\DOCUME~1\PROPRI~1\APPLIC~1\Pro Cycling Manager 2007 [12/08/2008|18:15] C:\DOCUME~1\PROPRI~1\APPLIC~1\Real [15/05/2005|16:21] C:\DOCUME~1\PROPRI~1\APPLIC~1\River Past [01/01/2003|20:24] C:\DOCUME~1\PROPRI~1\APPLIC~1\SampleView [13/06/2007|20:47] C:\DOCUME~1\PROPRI~1\APPLIC~1\Samsung [04/02/2008|17:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\SecuROM [13/08/2004|22:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\Sonic [04/02/2008|17:27] C:\DOCUME~1\PROPRI~1\APPLIC~1\Sports Interactive [01/01/2003|18:38] C:\DOCUME~1\PROPRI~1\APPLIC~1\Sun [26/09/2007|14:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\Symantec [12/10/2007|19:38] C:\DOCUME~1\PROPRI~1\APPLIC~1\Temporary [15/06/2007|20:29] C:\DOCUME~1\PROPRI~1\APPLIC~1\TransRender [26/09/2007|16:17] C:\DOCUME~1\PROPRI~1\APPLIC~1 ray grid [09/07/2008|13:59] C:\DOCUME~1\PROPRI~1\APPLIC~1\uTorrent [16/05/2007|15:30] C:\DOCUME~1\PROPRI~1\APPLIC~1\vlc [10/08/2004|11:39] C:\DOCUME~1\PROPRI~1\APPLIC~1\XnView --------------------\ Tâches planifiées dans C:\WINDOWS asks [21/09/2003 10:45][-rah-----] C:\WINDOWS asks\desktop.ini [14/10/2008 19:19][--ah-----] C:\WINDOWS asks\SA.DAT --------------------\ Listing des dossiers dans C:\Program Files [28/02/2008|11:07] C:\Program Files\7-Zip [25/02/2006|14:08] C:\Program Files\Adobe [26/09/2007|15:01] C:\Program Files\Alwil Software [09/07/2008|14:03] C:\Program Files\Cyanide [18/05/2007|13:14] C:\Program Files\DAEMON Tools [21/12/2007|22:53] C:\Program Files\DivX [05/06/2006|11:06] C:\Program Files\Easy Internet signup [05/10/2008|18:28] C:\Program Files\eMule [26/02/2008|16:41] C:\Program Files\Fichiers communs [01/01/2003|19:21] C:\Program Files\Hewlett-Packard [04/08/2006|09:21] C:\Program Files\HP [01/01/2003|20:14] C:\Program Files\HP Pavilion PC Help [13/10/2008|19:49] C:\Program Files\Inet Delivery [23/08/2008|13:42] C:\Program Files\InstallShield Installation Information [27/12/2004|16:06] C:\Program Files\InterActual [02/09/2008|12:08] C:\Program Files\Internet Explorer [03/06/2004|20:59] C:\Program Files\InterVideo [02/12/2006|13:00] C:\Program Files\Java [23/08/2008|14:06] C:\Program Files\Kit ADSL [03/10/2008|18:58] C:\Program Files\LimeWire [31/08/2008|21:54] C:\Program Files\Messenger [11/09/2008|19:34] C:\Program Files\Messenger Plus! Live [27/02/2008|11:00] C:\Program Files\Microsoft CAPICOM 2.1.0.2 [01/01/2003|17:39] C:\Program Files\microsoft frontpage [20/12/2007|21:23] C:\Program Files\Microsoft Office [16/01/2008|16:51] C:\Program Files\Microsoft Picture It! 9 [03/06/2004|21:29] C:\Program Files\Microsoft Works [03/06/2004|21:18] C:\Program Files\Microsoft Works Suite 2004 [20/12/2007|21:21] C:\Program Files\Microsoft.NET [29/08/2008|21:38] C:\Program Files\Movie Maker [26/08/2008|15:20] C:\Program Files\Mozilla Firefox [29/08/2008|21:38] C:\Program Files\msn [01/01/2003|17:36] C:\Program Files\MSN Gaming Zone [23/09/2007|19:23] C:\Program Files\MSXML 4.0 [29/08/2008|21:31] C:\Program Files\NetMeeting [26/09/2007|14:56] C:\Program Files\Norton AntiVirus [29/08/2008|21:31] C:\Program Files\Outlook Express [20/06/2008|07:52] C:\Program Files\Pack Securite [30/07/2004|12:59] C:\Program Files\PhotoFiltre [13/10/2008|19:49] C:\Program Files\qsgjurf [03/12/2006|17:39] C:\Program Files\QuickTime [08/12/2004|15:08] C:\Program Files\Real [01/01/2003|19:50] C:\Program Files\RecordNow! [07/06/2007|14:20] C:\Program Files\Samsung [25/06/2008|11:23] C:\Program Files\SlySoft [09/10/2008|15:50] C:\Program Files\Sports Interactive [26/09/2007|19:15] C:\Program Files\Symantec [26/02/2005|14:02] C:\Program Files\SymNetDrv [14/10/2008|19:48] C:\Program Files\Trend Micro [24/03/2008|16:53] C:\Program Files\Uninstall Information [23/08/2008|13:42] C:\Program Files\USB Driver-Express [01/01/2008|18:02] C:\Program Files\uTorrent [03/06/2008|14:29] C:\Program Files\VideoLAN [26/02/2008|16:41] C:\Program Files\Windows Live [16/05/2007|15:22] C:\Program Files\Windows Media Connect 2 [29/08/2008|21:31] C:\Program Files\Windows Media Player [02/11/2006|12:06] C:\Program Files\Windows NT [19/09/2004|10:18] C:\Program Files\WindowsUpdate [01/09/2006|18:50] C:\Program Files\WinRAR [24/12/2006|15:53] C:\Program Files\WinZip [01/01/2003|17:39] C:\Program Files\xerox [04/02/2008|17:10] C:\Program Files\Zero G Registry --------------------\ Listing des dossiers dans C:\Program Files\Fichiers communs [03/12/2006|17:53] C:\Program Files\Fichiers communs\Adobe [02/11/2006|17:13] C:\Program Files\Fichiers communs\BOONTY Shared [31/12/2007|14:41] C:\Program Files\Fichiers communs\Carlson [20/12/2007|21:23] C:\Program Files\Fichiers communs\DESIGNER [01/01/2003|19:09] C:\Program Files\Fichiers communs\Hewlett-Packard [01/01/2003|19:08] C:\Program Files\Fichiers communs\HP [24/06/2007|20:55] C:\Program Files\Fichiers communs\InstallShield [03/06/2004|20:59] C:\Program Files\Fichiers communs\InterVideo [01/01/2003|18:38] C:\Program Files\Fichiers communs\Java [03/11/2006|15:35] C:\Program Files\Fichiers communs\Macrovision Shared [09/08/2008|01:05] C:\Program Files\Fichiers communs\Microsoft Shared [16/10/2005|21:18] C:\Program Files\Fichiers communs\MimarSinan [01/01/2003|17:37] C:\Program Files\Fichiers communs\MSSoap [01/01/2003|17:33] C:\Program Files\Fichiers communs\ODBC [08/12/2004|15:09] C:\Program Files\Fichiers communs\Real [15/05/2005|16:19] C:\Program Files\Fichiers communs\River Past [29/05/2004|21:17] C:\Program Files\Fichiers communs\Services [01/01/2003|17:33] C:\Program Files\Fichiers communs\SpeechEngines [01/01/2003|19:50] C:\Program Files\Fichiers communs\SureThing Shared [26/09/2007|19:19] C:\Program Files\Fichiers communs\Symantec Shared [29/08/2008|21:31] C:\Program Files\Fichiers communs\System [26/02/2008|16:42] C:\Program Files\Fichiers communs\WindowsLiveInstaller [08/12/2004|15:09] C:\Program Files\Fichiers communs\xing shared --------------------\ Process ( 38 Processes ) IEXPLORE.EXE ~ [PID:2612] --------------------\ Recherche avec S_Lop Aucun fichier / dossier Lop trouvé ! --------------------\ Recherche de Fichiers / Dossiers Lop C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\NSD C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp si2F.tmp C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@advertstream[1].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@banners.adultfriendfinder[2].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@advertising[1].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@banner.cotedazurpalace[2].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@cotedazurpalace[2].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@partypoker[2].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@2xmoinscher[2].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@www.2xmoinscher[1].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@888[1].txt --------------------\ Verification du Registre ..... OK ! --------------------\ Verification du fichier Hosts Fichier Hosts MODIFIE 127.0.0.1 bin.errorprotector.com ## added by CiD 127.0.0.1 br.errorsafe.com ## added by CiD 127.0.0.1 br.winantivirus.com ## added by CiD 127.0.0.1 br.winfixer.com ## added by CiD 127.0.0.1 de.errorsafe.com ## added by CiD 127.0.0.1 de.winantivirus.com ## added by CiD 127.0.0.1 download.cdn.winsoftware.com ## added by CiD 127.0.0.1 download.errorsafe.com ## added by CiD 127.0.0.1 download.systemdoctor.com ## added by CiD 127.0.0.1 download.winantispyware.com ## added by CiD 127.0.0.1 download.windrivecleaner.com ## added by CiD 127.0.0.1 download.winfixer.com ## added by CiD 127.0.0.1 drivecleaner.com ## added by CiD 127.0.0.1 dynamique.drivecleaner.com ## added by CiD 127.0.0.1 errorprotector.com ## added by CiD 127.0.0.1 errorsafe.com ## added by CiD 127.0.0.1 es.winantivirus.com ## added by CiD 127.0.0.1 fr.winantivirus.com ## added by CiD 127.0.0.1 fr.winfixer.com ## added by CiD 127.0.0.1 go.drivecleaner.com ## added by CiD 127.0.0.1 go.errorsafe.com ## added by CiD 127.0.0.1 go.winantispyware.com ## added by CiD 127.0.0.1 go.winantivirus.com ## added by CiD 127.0.0.1 hk.winantivirus.com ## added by CiD 127.0.0.1 instlog.errorsafe.com ## added by CiD 127.0.0.1 instlog.winantivirus.com ## added by CiD 127.0.0.1 jsp.drivecleaner.com ## added by CiD 127.0.0.1 kb.errorsafe.com ## added by CiD 127.0.0.1 kb.winantivirus.com ## added by CiD 127.0.0.1 nl.errorsafe.com ## added by CiD 127.0.0.1 se.errorsafe.com ## added by CiD 127.0.0.1 secure.drivecleaner.com ## added by CiD 127.0.0.1 secure.errorsafe.com ## added by CiD 127.0.0.1 secure.winantispam.com ## added by CiD 127.0.0.1 secure.winantispy.com ## added by CiD 127.0.0.1 secure.winantivirus.com ## added by CiD 127.0.0.1 support.winantivirus.com ## added by CiD 127.0.0.1 ulog.winantivirus.com ## added by CiD 127.0.0.1 utils.errorsafe.com ## added by CiD 127.0.0.1 utils.winantivirus.com ## added by CiD 127.0.0.1 winantispyware.com ## added by CiD 127.0.0.1 winantivirus.com ## added by CiD 127.0.0.1 winfixer.com ## added by CiD 127.0.0.1 [i]ww/iw.drivecleaner.com ## added by CiD 127.0.0.1 [i]ww/iw.errorprotector.com ## added by CiD 127.0.0.1 [i]ww/iw.errorsafe.com ## added by CiD 127.0.0.1 [i]ww/iw.systemdoctor.com ## added by CiD 127.0.0.1 [i]ww/iw.win-anti-virus-pro.com ## added by CiD 127.0.0.1 [i]ww/iw.win-virus-pro.com ## added by CiD 127.0.0.1 [i]ww/iw.winantispam.com ## added by CiD 127.0.0.1 [i]ww/iw.winantispy.com ## added by CiD 127.0.0.1 [i]ww/iw.winantispyware.com ## added by CiD 127.0.0.1 [i]ww/iw.winantivirus.com ## added by CiD 127.0.0.1 [i]ww/iw.winantiviruspro.com ## added by CiD 127.0.0.1 [i]ww/iw.windrivecleaner.com ## added by CiD 127.0.0.1 [i]ww/iw.windrivesafe.com ## added by CiD 127.0.0.1 [i]ww/iw.winfixer.com ## added by CiD 127.0.0.1 cdn.drivecleaner.com ## added by CiD 127.0.0.1 cdn.errorsafe.com ## added by CiD 127.0.0.1 cdn.winsoftware.com ## added by CiD 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD 127.0.0.1 download.cdn.errorsafe.com ## added by CiD 127.0.0.1 instlog.winfixer.com ## added by CiD 127.0.0.1 trial.updates.winsoftware.com ## added by CiD 127.0.0.1 utils.winfixer.com ## added by CiD 127.0.0.1 winfixer2006.com ## added by CiD 127.0.0.1 winsoftware.com ## added by CiD 127.0.0.1 [i]ww/iw.utils.winfixer.com ## added by CiD 127.0.0.1 [i]ww/iw.winfixer2006.com ## added by CiD 127.0.0.1 [i]ww/iw.winsoftware.com ## added by CiD -> 72 [ 70 ## added by CiD ] --------------------\ Recherche de fichiers avec Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-14 20:32:13 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 1 --------------------\ Recherche d'autres infections C:\WINDOWS\Pack.epk C:\WINDOWS\System32 ihbbpvciv.dat C:\WINDOWS\System32 ihbbpvciv_nav.dat C:\WINDOWS\System32 ihbbpvciv_navps.dat C:\WINDOWS\System32 klawozcvw.dat C:\WINDOWS\System32 klawozcvw_nav.dat C:\WINDOWS\System32 klawozcvw_navps.dat [b]==> EGDACCESS <==/b C:\WINDOWS\system32\dgjlm.bak1 C:\WINDOWS\system32\dgjlm.bak2 C:\WINDOWS\system32\dgjlm.ini [b]==> VUNDO <==/b --------------------\ Cracks & Keygens .. C:\DOCUME~1\PROPRI~1\Bureau\zic\Eminem The Re Up 2006\08-eminem_and_50_cent-jimmy_crack_corn.mp3 [F:2272][D:221]-> C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp [F:1389][D:0]-> C:\DOCUME~1\PROPRI~1\Cookies [F:17476][D:27]-> C:\DOCUME~1\PROPRI~1\LOCALS~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 14/10/2008|20:35 - Option : [1] --------------------\ Fin du rapport a 20:35:28

sKe69 · Answer

la suite :

! Déconnetes toi et fermes toutes tes applications en cours !

Relances Lop S&D ,
 
--->choisis l'option 2 (nettoyage) et valides ...

->ne touche à rien pendant que l'outil travail .
 
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse + un nouveau rapport Hijackthis pour analyse ...

Roni38 · Answer

Rapport avec Lop S&D:

--------------------\\ Lop S&D 4.2.4-5 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2600+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : Propriétaire ( Administrator )
BOOT : Normal boot
Antivirus : Pack Securite Plus 7.00 7.00 (Not Activated)
Firewall : Pack Securite Plus 7.00 7.00 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 69 Go Free : 24 Go
D:\ (Local Disk) - FAT32 - Total : 4 Go Free : 0 Go
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 02-10-2008|23:42 )
Option : [2] ( 14/10/2008|20:52 )

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

Supprime! - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\NSD
Supprime! - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\nsi2F.tmp
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@advertstream[1].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@banners.adultfriendfinder[2].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@advertising[1].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@banner.cotedazurpalace[2].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@cotedazurpalace[2].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@partypoker[2].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@2xmoinscher[2].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@www.2xmoinscher[1].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@888[1].txt
-
[ Fichier Hosts ] .. Restaure!

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Listing des dossiers dans APPLIC~1

[01/01/2003|17:39] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[13/10/2008|20:49] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft
[01/01/2003|20:24] C:\DOCUME~1\ADMINI~1\APPLIC~1\SampleView
[01/01/2003|19:50] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sonic
[01/01/2003|18:38] C:\DOCUME~1\ADMINI~1\APPLIC~1\Sun
[01/01/2003|18:23] C:\DOCUME~1\ADMINI~1\APPLIC~1\Symantec

[29/11/2005|22:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[13/10/2008|19:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\afozityj
[03/12/2006|17:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[02/11/2006|17:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BOONTY
[26/09/2007|15:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\flagsafeadminboob
[19/06/2008|20:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
[19/06/2008|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
[30/06/2007|14:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[01/01/2003|19:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Hewlett-Packard
[01/01/2003|19:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InterVideo
[03/11/2006|15:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
[16/05/2008|07:35] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
[25/02/2006|14:10] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[01/01/2003|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Motive
[20/05/2007|10:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla
[05/06/2004|15:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
[23/08/2005|14:02] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[15/05/2005|16:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past
[17/09/2005|14:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SAFEKINDABOUTJUGS
[01/01/2003|17:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SBSI
[11/11/2004|12:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Softdisk LLC
[28/02/2008|11:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[26/09/2007|19:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[01/09/2008|12:49] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[07/07/2006|14:00] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
[24/12/2006|15:52] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WinZip
[26/02/2008|16:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
[16/05/2008|13:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom

[01/01/2003|17:39] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[01/01/2003|19:11] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft
[01/01/2003|20:24] C:\DOCUME~1\DEFAUL~1\APPLIC~1\SampleView
[01/01/2003|19:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Sonic
[01/01/2003|18:38] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Sun
[01/01/2003|18:23] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Symantec

[30/04/2008|16:24] C:\DOCUME~1\Didi\APPLIC~1\Adobe
[11/10/2004|18:31] C:\DOCUME~1\Didi\APPLIC~1\AdobeUM
[22/05/2007|19:37] C:\DOCUME~1\Didi\APPLIC~1\Apple Computer
[10/06/2005|18:27] C:\DOCUME~1\Didi\APPLIC~1\ArcSoft
[19/06/2004|14:40] C:\DOCUME~1\Didi\APPLIC~1\Common Files
[17/12/2006|21:44] C:\DOCUME~1\Didi\APPLIC~1\DivX
[06/04/2008|14:57] C:\DOCUME~1\Didi\APPLIC~1\Epsitec Cache
[19/06/2008|20:37] C:\DOCUME~1\Didi\APPLIC~1\F-Secure
[06/05/2006|12:45] C:\DOCUME~1\Didi\APPLIC~1\Google
[14/05/2005|17:31] C:\DOCUME~1\Didi\APPLIC~1\Help
[19/06/2004|14:40] C:\DOCUME~1\Didi\APPLIC~1\HP
[07/09/2004|19:28] C:\DOCUME~1\Didi\APPLIC~1\Identities
[13/06/2004|12:29] C:\DOCUME~1\Didi\APPLIC~1\InterVideo
[19/11/2005|19:34] C:\DOCUME~1\Didi\APPLIC~1\iShell
[20/12/2005|15:26] C:\DOCUME~1\Didi\APPLIC~1\Leadertech
[03/10/2008|19:32] C:\DOCUME~1\Didi\APPLIC~1\LimeWire
[02/11/2006|17:13] C:\DOCUME~1\Didi\APPLIC~1\Macromedia
[19/03/2007|20:23] C:\DOCUME~1\Didi\APPLIC~1\Media Player Classic
[22/03/2008|22:20] C:\DOCUME~1\Didi\APPLIC~1\Micro Application
[26/02/2008|16:57] C:\DOCUME~1\Didi\APPLIC~1\Microsoft
[06/07/2005|17:15] C:\DOCUME~1\Didi\APPLIC~1\Motive
[20/05/2007|10:54] C:\DOCUME~1\Didi\APPLIC~1\Mozilla
[13/06/2004|12:19] C:\DOCUME~1\Didi\APPLIC~1\MSN6
[06/04/2008|14:58] C:\DOCUME~1\Didi\APPLIC~1\OPaC bright ideas
[13/10/2008|20:22] C:\DOCUME~1\Didi\APPLIC~1\PC-Antispy
[02/11/2006|17:13] C:\DOCUME~1\Didi\APPLIC~1\PlayFirst
[14/12/2004|19:48] C:\DOCUME~1\Didi\APPLIC~1\Real
[10/06/2005|18:22] C:\DOCUME~1\Didi\APPLIC~1\River Past
[01/01/2003|20:24] C:\DOCUME~1\Didi\APPLIC~1\SampleView
[09/02/2008|21:18] C:\DOCUME~1\Didi\APPLIC~1\Samsung
[30/09/2007|16:55] C:\DOCUME~1\Didi\APPLIC~1\Screenshot Sender
[10/01/2005|22:37] C:\DOCUME~1\Didi\APPLIC~1\Sonic
[01/01/2003|18:38] C:\DOCUME~1\Didi\APPLIC~1\Sun
[26/09/2007|14:56] C:\DOCUME~1\Didi\APPLIC~1\Symantec
[20/05/2007|10:55] C:\DOCUME~1\Didi\APPLIC~1\Talkback
[05/10/2008|20:48] C:\DOCUME~1\Didi\APPLIC~1\uTorrent
[04/06/2008|13:43] C:\DOCUME~1\Didi\APPLIC~1\vlc
[29/08/2004|18:47] C:\DOCUME~1\Didi\APPLIC~1\XnView

[29/11/2005|22:42] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
[24/10/2005|13:37] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft
[17/09/2005|14:06] C:\DOCUME~1\LOCALS~1\APPLIC~1\tray grid

[01/01/2003|17:42] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[12/08/2006|18:05] C:\DOCUME~1\NETWOR~1\APPLIC~1\Symantec

[30/04/2008|14:46] C:\DOCUME~1\PROPRI~1\APPLIC~1\Adobe
[22/06/2004|15:33] C:\DOCUME~1\PROPRI~1\APPLIC~1\AdobeUM
[26/12/2006|14:21] C:\DOCUME~1\PROPRI~1\APPLIC~1\Apple Computer
[30/09/2007|14:58] C:\DOCUME~1\PROPRI~1\APPLIC~1\ConvertTemp
[14/01/2007|21:59] C:\DOCUME~1\PROPRI~1\APPLIC~1\DivX
[20/06/2008|09:20] C:\DOCUME~1\PROPRI~1\APPLIC~1\F-Secure
[04/06/2004|09:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\Help
[01/01/2003|17:39] C:\DOCUME~1\PROPRI~1\APPLIC~1\Identities
[13/11/2005|23:22] C:\DOCUME~1\PROPRI~1\APPLIC~1\InterTrust
[18/06/2004|15:18] C:\DOCUME~1\PROPRI~1\APPLIC~1\InterVideo
[19/11/2005|19:57] C:\DOCUME~1\PROPRI~1\APPLIC~1\iShell
[13/08/2004|22:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\Leadertech
[24/03/2006|20:43] C:\DOCUME~1\PROPRI~1\APPLIC~1\Macromedia
[14/02/2007|12:55] C:\DOCUME~1\PROPRI~1\APPLIC~1\Media Player Classic
[07/09/2008|13:17] C:\DOCUME~1\PROPRI~1\APPLIC~1\Microsoft
[01/06/2006|21:32] C:\DOCUME~1\PROPRI~1\APPLIC~1\Motive
[30/06/2007|14:06] C:\DOCUME~1\PROPRI~1\APPLIC~1\Mozilla
[02/01/2006|16:55] C:\DOCUME~1\PROPRI~1\APPLIC~1\MSN6
[02/10/2005|20:17] C:\DOCUME~1\PROPRI~1\APPLIC~1\ppStream
[25/06/2008|11:41] C:\DOCUME~1\PROPRI~1\APPLIC~1\Pro Cycling Manager 2007
[12/08/2008|18:15] C:\DOCUME~1\PROPRI~1\APPLIC~1\Real
[15/05/2005|16:21] C:\DOCUME~1\PROPRI~1\APPLIC~1\River Past
[01/01/2003|20:24] C:\DOCUME~1\PROPRI~1\APPLIC~1\SampleView
[13/06/2007|20:47] C:\DOCUME~1\PROPRI~1\APPLIC~1\Samsung
[04/02/2008|17:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\SecuROM
[13/08/2004|22:13] C:\DOCUME~1\PROPRI~1\APPLIC~1\Sonic
[04/02/2008|17:27] C:\DOCUME~1\PROPRI~1\APPLIC~1\Sports Interactive
[01/01/2003|18:38] C:\DOCUME~1\PROPRI~1\APPLIC~1\Sun
[26/09/2007|14:51] C:\DOCUME~1\PROPRI~1\APPLIC~1\Symantec
[12/10/2007|19:38] C:\DOCUME~1\PROPRI~1\APPLIC~1\Temporary
[15/06/2007|20:29] C:\DOCUME~1\PROPRI~1\APPLIC~1\TransRender
[26/09/2007|16:17] C:\DOCUME~1\PROPRI~1\APPLIC~1\tray grid
[09/07/2008|13:59] C:\DOCUME~1\PROPRI~1\APPLIC~1\uTorrent
[16/05/2007|15:30] C:\DOCUME~1\PROPRI~1\APPLIC~1\vlc
[10/08/2004|11:39] C:\DOCUME~1\PROPRI~1\APPLIC~1\XnView

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[21/09/2003 10:45][-rah-----] C:\WINDOWS\tasks\desktop.ini
[14/10/2008 19:19][--ah-----] C:\WINDOWS\tasks\SA.DAT

--------------------\\ Listing des dossiers dans C:\Program Files

[28/02/2008|11:07] C:\Program Files\7-Zip
[25/02/2006|14:08] C:\Program Files\Adobe
[26/09/2007|15:01] C:\Program Files\Alwil Software
[09/07/2008|14:03] C:\Program Files\Cyanide
[18/05/2007|13:14] C:\Program Files\DAEMON Tools
[21/12/2007|22:53] C:\Program Files\DivX
[05/06/2006|11:06] C:\Program Files\Easy Internet signup
[05/10/2008|18:28] C:\Program Files\eMule
[26/02/2008|16:41] C:\Program Files\Fichiers communs
[01/01/2003|19:21] C:\Program Files\Hewlett-Packard
[04/08/2006|09:21] C:\Program Files\HP
[01/01/2003|20:14] C:\Program Files\HP Pavilion PC Help
[13/10/2008|19:49] C:\Program Files\Inet Delivery
[23/08/2008|13:42] C:\Program Files\InstallShield Installation Information
[27/12/2004|16:06] C:\Program Files\InterActual
[02/09/2008|12:08] C:\Program Files\Internet Explorer
[03/06/2004|20:59] C:\Program Files\InterVideo
[02/12/2006|13:00] C:\Program Files\Java
[23/08/2008|14:06] C:\Program Files\Kit ADSL
[03/10/2008|18:58] C:\Program Files\LimeWire
[31/08/2008|21:54] C:\Program Files\Messenger
[11/09/2008|19:34] C:\Program Files\Messenger Plus! Live
[27/02/2008|11:00] C:\Program Files\Microsoft CAPICOM 2.1.0.2
[01/01/2003|17:39] C:\Program Files\microsoft frontpage
[20/12/2007|21:23] C:\Program Files\Microsoft Office
[16/01/2008|16:51] C:\Program Files\Microsoft Picture It! 9
[03/06/2004|21:29] C:\Program Files\Microsoft Works
[03/06/2004|21:18] C:\Program Files\Microsoft Works Suite 2004
[20/12/2007|21:21] C:\Program Files\Microsoft.NET
[29/08/2008|21:38] C:\Program Files\Movie Maker
[26/08/2008|15:20] C:\Program Files\Mozilla Firefox
[29/08/2008|21:38] C:\Program Files\msn
[01/01/2003|17:36] C:\Program Files\MSN Gaming Zone
[23/09/2007|19:23] C:\Program Files\MSXML 4.0
[29/08/2008|21:31] C:\Program Files\NetMeeting
[26/09/2007|14:56] C:\Program Files\Norton AntiVirus
[29/08/2008|21:31] C:\Program Files\Outlook Express
[20/06/2008|07:52] C:\Program Files\Pack Securite
[30/07/2004|12:59] C:\Program Files\PhotoFiltre
[13/10/2008|19:49] C:\Program Files\qsgjurf
[03/12/2006|17:39] C:\Program Files\QuickTime
[08/12/2004|15:08] C:\Program Files\Real
[01/01/2003|19:50] C:\Program Files\RecordNow!
[07/06/2007|14:20] C:\Program Files\Samsung
[25/06/2008|11:23] C:\Program Files\SlySoft
[09/10/2008|15:50] C:\Program Files\Sports Interactive
[26/09/2007|19:15] C:\Program Files\Symantec
[26/02/2005|14:02] C:\Program Files\SymNetDrv
[14/10/2008|19:48] C:\Program Files\Trend Micro
[24/03/2008|16:53] C:\Program Files\Uninstall Information
[23/08/2008|13:42] C:\Program Files\USB Driver-Express
[01/01/2008|18:02] C:\Program Files\uTorrent
[03/06/2008|14:29] C:\Program Files\VideoLAN
[26/02/2008|16:41] C:\Program Files\Windows Live
[16/05/2007|15:22] C:\Program Files\Windows Media Connect 2
[29/08/2008|21:31] C:\Program Files\Windows Media Player
[02/11/2006|12:06] C:\Program Files\Windows NT
[19/09/2004|10:18] C:\Program Files\WindowsUpdate
[01/09/2006|18:50] C:\Program Files\WinRAR
[24/12/2006|15:53] C:\Program Files\WinZip
[01/01/2003|17:39] C:\Program Files\xerox
[04/02/2008|17:10] C:\Program Files\Zero G Registry

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[03/12/2006|17:53] C:\Program Files\Fichiers communs\Adobe
[02/11/2006|17:13] C:\Program Files\Fichiers communs\BOONTY Shared
[31/12/2007|14:41] C:\Program Files\Fichiers communs\Carlson
[20/12/2007|21:23] C:\Program Files\Fichiers communs\DESIGNER
[01/01/2003|19:09] C:\Program Files\Fichiers communs\Hewlett-Packard
[01/01/2003|19:08] C:\Program Files\Fichiers communs\HP
[24/06/2007|20:55] C:\Program Files\Fichiers communs\InstallShield
[03/06/2004|20:59] C:\Program Files\Fichiers communs\InterVideo
[01/01/2003|18:38] C:\Program Files\Fichiers communs\Java
[03/11/2006|15:35] C:\Program Files\Fichiers communs\Macrovision Shared
[09/08/2008|01:05] C:\Program Files\Fichiers communs\Microsoft Shared
[16/10/2005|21:18] C:\Program Files\Fichiers communs\MimarSinan
[01/01/2003|17:37] C:\Program Files\Fichiers communs\MSSoap
[01/01/2003|17:33] C:\Program Files\Fichiers communs\ODBC
[08/12/2004|15:09] C:\Program Files\Fichiers communs\Real
[15/05/2005|16:19] C:\Program Files\Fichiers communs\River Past
[29/05/2004|21:17] C:\Program Files\Fichiers communs\Services
[01/01/2003|17:33] C:\Program Files\Fichiers communs\SpeechEngines
[01/01/2003|19:50] C:\Program Files\Fichiers communs\SureThing Shared
[26/09/2007|19:19] C:\Program Files\Fichiers communs\Symantec Shared
[29/08/2008|21:31] C:\Program Files\Fichiers communs\System
[26/02/2008|16:42] C:\Program Files\Fichiers communs\WindowsLiveInstaller
[08/12/2004|15:09] C:\Program Files\Fichiers communs\xing shared

--------------------\\ Process

( 35 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 20:53:08
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 1

--------------------\\ Recherche d'autres infections

C:\WINDOWS\Pack.epk

C:\WINDOWS\System32\tihbbpvciv.dat
C:\WINDOWS\System32\tihbbpvciv_nav.dat
C:\WINDOWS\System32\tihbbpvciv_navps.dat
C:\WINDOWS\System32\tklawozcvw.dat
C:\WINDOWS\System32\tklawozcvw_nav.dat
C:\WINDOWS\System32\tklawozcvw_navps.dat
[b]==> EGDACCESS <==/b

C:\WINDOWS\system32\dgjlm.bak1
C:\WINDOWS\system32\dgjlm.bak2
C:\WINDOWS\system32\dgjlm.ini
[b]==> VUNDO <==/b

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\PROPRI~1\Bureau\zic\Eminem The Re Up 2006\08-eminem_and_50_cent-jimmy_crack_corn.mp3

[F:2265][D:219]-> C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp
[F:1381][D:0]-> C:\DOCUME~1\PROPRI~1\Cookies

Rapport avec Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:52, on 14/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\afozityj\azmvszon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\brastk.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\axahkxsb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Pack Securite\Common\FSLAUNCH.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [regsdelete] C:\DOCUME~1\PROPRI~1\APPLIC~1\TRAYGR~1\PING PLATFORM BOLT.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MonApiEn] C:\WINDOWS\system32\axahkxsb.exe
O4 - HKLM\..\Policies\Explorer\Run: [QNDtOI73JW] C:\Documents and Settings\All Users\Application Data\afozityj\azmvszon.exe
O4 - Global Startup: .security
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} (RealPlayer G2 Control) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1073_em_XP.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://files-mjf.jeuxvideo-flash.com/popcap/popcaploader_v10_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C03F71DB-934B-4528-84AB-2C7FB9C59E5B}: NameServer = 86.64.145.140,84.103.237.140
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O21 - SSODL: ProcMsgMnt - {1F21957C-4D5A-3B5A-80A3-090AF0D9C993} - C:\Program Files\qsgjurf\ProcMsgMnt.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

sKe69 · Answer

Bien ... on continue :

Télécharges ToolBar S&D ( de Eric_71/Team IDN ) :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! 

* double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ... 
* Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil . 
* Choisis l'option 1 ( "recherche") et tapes "entrée" .
* Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité 
de son contenu dans ta prochaine réponse ...
( le rapport est en outre sauvegardé ici -> C:\TB.txt )

Roni38 · Answer

Merci voila le rapport: -----------\ ToolBar S&D 1.2.2 XP/Vista Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2600+ ) BIOS : Phoenix - Award BIOS v6.00PG USER : Propriétaire ( Administrator ) BOOT : Normal boot Antivirus : Pack Securite Plus 7.00 7.00 (Not Activated) Firewall : Pack Securite Plus 7.00 7.00 (Activated) A:\ (USB) C:\ (Local Disk) - NTFS - Total : 69 Go Free : 24 Go D:\ (Local Disk) - FAT32 - Total : 4 Go Free : 0 Go E:\ (CD or DVD) F:\ (CD or DVD) G:\ (CD or DVD) "C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 ) Option : [1] ( 14/10/2008|21:20 ) -----------\ Recherche de Fichiers / Dossiers ... C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@bananalotto[2].txt C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@www.bananalotto[2].txt -----------\ Extensions (All Users) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar (Didi) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar (Propri‚taire) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar -----------\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\windows\system32\blank.htm" "Search Page"="https://www.google.com/?gws_rd=ssl" "Start Page"="https://www.google.com/?gws_rd=ssl" "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\windows\system32\blank.htm" "Search Page"="https://www.google.com/?gws_rd=ssl" "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html" "Start Page"="https://www.google.com/?gws_rd=ssl" --------------------\ Recherche d'autres infections C:\WINDOWS\Pack.epk C:\WINDOWS\System32 ihbbpvciv.dat C:\WINDOWS\System32 ihbbpvciv_nav.dat C:\WINDOWS\System32 ihbbpvciv_navps.dat C:\WINDOWS\System32 klawozcvw.dat C:\WINDOWS\System32 klawozcvw_nav.dat C:\WINDOWS\System32 klawozcvw_navps.dat [b]==> EGDACCESS <==/b C:\WINDOWS\system32\dgjlm.bak1 C:\WINDOWS\system32\dgjlm.bak2 C:\WINDOWS\system32\dgjlm.ini [b]==> VUNDO <==/b --------------------\ Cracks & Keygens .. C:\DOCUME~1\PROPRI~1\Bureau\zic\Eminem The Re Up 2006\08-eminem_and_50_cent-jimmy_crack_corn.mp3 1 - "C:\ToolBar SD\TB_1.txt" - 14/10/2008|21:22 - Option : [1] -----------\ Fin du rapport a 21:22:14,23 il y en a encore pour longtemps? en tout cas merci de m'aider!

sKe69 · Answer

il y en a encore pour longtemps
--> vu l'état du PC ... oui ^^

mais rien n'empêche une pause ... on peut continuer demain si tu veux ... il n'y a aucun prb  ;)



La suite :

1- Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!  

Relances Toolbar-S&D en double-cliquant sur le raccourci. 
-->Tapes sur l'option 2 ( "nettoyage" ) puis tapes sur "Entrée". 

Note : ne touches à rien lors de la suppression ! 

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
pour analyse ...


ensuite enchaine avec ceci :

2- Télécharges Navilog1 sur ton bureau : 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnectes toi,désactives tes défences( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!
  
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisses-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
 
Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 

Appuies sur une touche comme demandé, le bloc-note va s'ouvrir. 
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . 

(Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" ) 

TUTO (aide)  : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

Roni38 · Answer

1- Rapport avec ToolBar S&D :

-----------\\ ToolBar S&D 1.2.2 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 2600+ )
BIOS : Phoenix - Award BIOS v6.00PG
USER : Propriétaire ( Administrator )
BOOT : Normal boot
Antivirus : Pack Securite Plus 7.00 7.00 (Not Activated)
Firewall : Pack Securite Plus 7.00 7.00 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 69 Go Free : 24 Go
D:\ (Local Disk) - FAT32 - Total : 4 Go Free : 0 Go
E:\ (CD or DVD)
F:\ (CD or DVD)
G:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 04-10-2008|21:00 )
Option : [2] ( 14/10/2008|21:30 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@bananalotto[2].txt
Supprime! - C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@www.bananalotto[2].txt

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ Extensions

(All Users) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

(Didi) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

(Propri‚taire) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\windows\\system32\\blank.htm"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.google.com/?gws_rd=ssl"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\windows\\system32\\blank.htm"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
"Start Page"="https://www.msn.com/fr-fr/"

--------------------\\ Recherche d'autres infections

C:\WINDOWS\Pack.epk

C:\WINDOWS\System32\tihbbpvciv.dat
C:\WINDOWS\System32\tihbbpvciv_nav.dat
C:\WINDOWS\System32\tihbbpvciv_navps.dat
C:\WINDOWS\System32\tklawozcvw.dat
C:\WINDOWS\System32\tklawozcvw_nav.dat
C:\WINDOWS\System32\tklawozcvw_navps.dat
[b]==> EGDACCESS <==/b

C:\WINDOWS\system32\dgjlm.bak1
C:\WINDOWS\system32\dgjlm.bak2
C:\WINDOWS\system32\dgjlm.ini
[b]==> VUNDO <==/b

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\PROPRI~1\Bureau\zic\Eminem The Re Up 2006\08-eminem_and_50_cent-jimmy_crack_corn.mp3

1 - "C:\ToolBar SD\TB_1.txt" - 14/10/2008|21:22 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 14/10/2008|21:34 - Option : [2]

-----------\\ Fin du rapport a 21:34:12,00

2- Rapport avec Navilog1:

Search Navipromo version 3.6.6 commencé le 14/10/2008 à 21:36:40,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Propriétaire"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

C:\WINDOWS\mslagent trouvé !

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\Didi\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\Didi\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\Didi\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\Didi\locals~1\applic~1" *

*** Recherche fichiers ***

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\tmlpcert2005 trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

tihbbpvciv.dat trouvé !
tihbbpvciv_nav.dat trouvé !
tihbbpvciv_navps.dat trouvé !
tklawozcvw.dat trouvé !
tklawozcvw_nav.dat trouvé !
tklawozcvw_navps.dat trouvé !

* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

* Dans "C:\DOCUME~1\Didi\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil trouvé !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\dgjlm.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\dgjlm.bak2 trouvé ! infection Vundo possible non traitée par cet outil !

*** Analyse terminée le 14/10/2008 à 21:56:32,03 ***

Voila je suis désolé je dois partir...Je serai sur le forum demain soir vers 18h30. Je posterai un message pour te dire que je suis là. En tout cas merci de ton aide, tu est informaticien?
merci à demain.

sKe69 · Answer

Ok ...

la suite pour demain donc :

!! Déconnectes toi, désactives tes défenses ( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!

--->Double-cliques sur le raccourci Navilog1 

Arriver au menu principal, choisir l'option 2 et valider (nettoyage "automatique" ). 

Le fix demandera ensuite de "redémarrer le PC", fermer toutes les fenêtres ouvertes
et appuyer sur une touche comme demandé.( important : si le PC ne redémarre pas automatiquement, le faire manuellement ) 
Au redémarrage du PC, choisir la session habituelle si nécessaire. 

Patienter jusqu'au message : "Nettoyage Terminé le ..."
 
Le bureau revient, puis le bloc-note s'ouvre .  
Sauvegarder ce rapport de manière à le retrouver, puis fermer le bloc-note ... 
(Le rapport sera en outre sauvegardé à la racine du disque "C\:cleannavi.txt")
 
Postes ce rapport dans ta nouvelle réponse accompagné d'un nouveau rapport hijacthis pour analyse et attends la suite ... 

(PS : Si le bureau ne réapparaît pas, faire CTRL+ALT+SUPPR pour ouvrir le gestionnaire de tâches. 
Choisir l'onglet processus. Cliquer en haut à gauche sur fichiers et choisir exécuter, 
Taper explorer et valider.)



Bonne soirée ... =)

Roni38 · Answer

Voilà je suis de retour.

- Voici le rapport avec Navilog1 :

Clean Navipromo version 3.6.6 commencé le 15/10/2008 à 18:36:05,57

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Propriétaire" 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" * 


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 

* Suppression dans "C:\DOCUME~1\Didi\locals~1\applic~1" * 


*** Suppression dossiers dans "C:\WINDOWS" ***

C:\WINDOWS\mslagent ...suppression... 
C:\WINDOWS\mslagent supprimé ! 


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Didi\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Didi\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 


*** Suppression dossiers dans "C:\DOCUME~1\Didi\menudm~1\progra~1" *** 



*** Suppression fichiers ***

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS	mlpcert2005 supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Propri‚taire\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


tihbbpvciv.dat trouvé ! 
Copie tihbbpvciv.dat réalisée avec succès !
tihbbpvciv.dat supprimé !

tihbbpvciv_nav.dat trouvé ! 
Copie tihbbpvciv_nav.dat réalisée avec succès !
tihbbpvciv_nav.dat supprimé !

tihbbpvciv_navps.dat trouvé ! 
Copie tihbbpvciv_navps.dat réalisée avec succès !
tihbbpvciv_navps.dat supprimé !

tklawozcvw.dat trouvé ! 
Copie tklawozcvw.dat réalisée avec succès !
tklawozcvw.dat supprimé !

tklawozcvw_nav.dat trouvé ! 
Copie tklawozcvw_nav.dat réalisée avec succès !
tklawozcvw_nav.dat supprimé !

tklawozcvw_navps.dat trouvé ! 
Copie tklawozcvw_navps.dat réalisée avec succès !
tklawozcvw_navps.dat supprimé !


* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


* Dans "C:\DOCUME~1\Didi\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil supprimé !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 15/10/2008 à 18:45:21,81 ***




- Voici le rapport avec  hijacthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:51, on 15/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\WINDOWS
otepad.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\brastk.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\axahkxsb.exe
C:\Program Files\Pack Securite\Common\FSLAUNCH.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [regsdelete] C:\DOCUME~1\PROPRI~1\APPLIC~1\TRAYGR~1\PING PLATFORM BOLT.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MonApiEn] C:\WINDOWS\system32\axahkxsb.exe
O4 - HKLM\..\Policies\Explorer\Run: [QNDtOI73JW] C:\Documents and Settings\All Users\Application Data\afozityj\azmvszon.exe
O4 - Global Startup: .security
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} (RealPlayer G2 Control) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://files-mjf.jeuxvideo-flash.com/popcap/popcaploader_v10_fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C03F71DB-934B-4528-84AB-2C7FB9C59E5B}: NameServer = 86.64.145.140,84.103.237.140
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O21 - SSODL: ProcMsgMnt - {1F21957C-4D5A-3B5A-80A3-090AF0D9C993} - C:\Program Files\qsgjurf\ProcMsgMnt.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

sKe69 · Answer

Salut,

dans l'ordre :


1-Vas dans panneau de config/ajout et suppression de prg . 
Regardes dans la liste si tu trouves un prg comme : " Favorit " , supprimes le ! 



2- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )



3-  Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/ 
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! )  et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" . 
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

Roni38 · Answer

Ca été long l'analyse mais efficace car la croix dans la barre d'outils a disparu apparement...

Voila le rapport avec MalwareByte's : 

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1274
Windows 5.1.2600 Service Pack 3

15/10/2008 21:32:24
mbam-log-2008-10-15 (21-32-24).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 205251
Temps écoulé: 1 hour(s), 50 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 31
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 76

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{1F21957C-4D5A-3B5A-80A3-090AF0D9C993} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6c8ab177-7b09-4f5c-9e6d-82eaa765430c} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{ea3956d2-ec38-41ab-b601-47aa281e4952} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{944864a5-3916-46e2-96a9-a2e84f3f1208} (Adware.Accoona) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER	ypelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Carlson (Dialer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\procmsgmnt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\monapien (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Fichiers communs\Carlson (Dialer) -> Quarantined and deleted successfully.
C:\Program Files\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Didi\Application Data\PC-Antispy (Rogue.PCAntispy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Didi\Application Data\PC-Antispy\logs (Rogue.PCAntispy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Didi\Application Data\PC-Antispy\startup (Rogue.PCAntispy) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Marie-Laure\Local Settings\Application Data\xvjtey_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie-Laure\Local Settings\Application Data\xvjtey_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Marie-Laure\Local Settings\Application Data\xvjtey.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\qsgjurf\ProcMsgMnt.dll (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\axahkxsb.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\Program Files\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Documents and Settings\Didi\Application Data\PC-Antispy\config.xml (Rogue.PCAntispy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Didi\Application Data\PC-Antispy\Sites.bl (Rogue.PCAntispy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Didi\Application Data\PC-Antispy\logs\1223922125.log (Rogue.PCAntispy) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
etode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
ewsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32egc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32egm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	aack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	aack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	emp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	hun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	hun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini104552663.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\etc\.security (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\.security (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\.security (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\carlton (Dialer) -> Quarantined and deleted successfully.



Et voila le rapport avec hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42:44, on 15/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Pack Securite\Common\FSLAUNCH.EXE
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Policies\Explorer\Run: [QNDtOI73JW] C:\Documents and Settings\All Users\Application Data\afozityj\azmvszon.exe
O4 - Global Startup: .security
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.photoweb.fr/moncompte/Account/LogOn?ReturnUrl=%2ftransfert
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} (RealPlayer G2 Control) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C03F71DB-934B-4528-84AB-2C7FB9C59E5B}: NameServer = 86.64.145.140,84.103.237.140
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

sKe69 · Answer

bien ... on avance ... ^^


1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes ( via celle-ci )


2- refais un coup de CCleaner  ( registre compris ).


3- fais exactement ce qui suit :


Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Roni38 · Answer

En tout cas moi je dois y aller...Je te remercie pour ton aide! 

Si il y a d'autres choses à faire,tu me les poste et on verra ça ensemble demain!

Roni38 · Answer

Bon ben je ferais ces etapes demain!

C'est bientôt fini ?

Bonne soirée,

sKe69 · Answer

C'est bientôt fini ? 

-> soit patient(e) ... on aura fais le plus gros du chemin après cette manipe ... ^^


A demain pour les résultats ...


Bonne nuit ... ;)

Roni38 · Answer

Oauis je sais qu'il faut être patient, mais cela me bouffe toute mes soirées donc je verais demain , si c'est trop long je m'arrêterai car mon probléme initial ( la croix rouge) s'est enlevé apparement!

Toi aussi bonne nuit.

sKe69 · Answer

c'est trop long je m'arrêterai car mon problème initial ( la croix rouge) s'est enlevé apparemment!

-> cela ne veux absolument rien dire ...je t'ai dis qu'on a fais le plus gros, et si tu t'arrêtes en cours de route , t'es bon pour tout reprendre à 0 dans même pas une semaine ... Donc je te conseille FORTEMENT de poursuivre ....

Et encore , on en est qu'a une vingtaine de postes ,  te plainds pas ... Y en a qui arrive à se sortir d'affaire qu'au bout d'une centaine ... 


A tout' .... ;)

Your computer is infected

23 réponses

Votre réponse

Discussions similaires

Newsletters