Sujet Précédent Sujet Suivant

Fond ecran noir fenetre intenpestive

Fermé
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008 - 24 nov. 2008 à 22:53
 chartreuse - 25 janv. 2009 à 21:53
Bonjour,

pendant que je navigue un grand nombre de page de pub apparaissent sur mon ecran aussi j ai perdu mon fond ecran qui est noir, j arrive à le remettre mais il suffit que je quitte ma session pour qu il disparaisse. aprés avoir contracté un spyware j ai utiliser spybot et d autre instruments pour virer ces espions mais je n est toujours pas recupere ni ma page dacceuil et les problemes de pub subsiste.


MERCI DE ME RENSEIGNER JE VOUS POSTE LE RAPPORT HIJACK.

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:27, on 24/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NVATray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\propriétaire\local settings\application data\rufkval.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xeoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [rufkval] "c:\documents and settings\propriétaire\local settings\application data\rufkval.exe" rufkval
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB1080] command /c del "C:\WINDOWS\system32\dllcache\beep.sys"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
A voir également:

25 réponses

  • 1
  • 2
Réponse 1 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
24 nov. 2008 à 22:56
Bonsoir,



Ton ordinateur est infecté par MagicControl/navipromo, qui s'installe via des programmes dits "gratuits", dont ceux-ci :

* go-astro
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live-Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Sudoplanet
* Webmediaplayer


Pour désinfecter, merci de suivre exactement cette procédure :

# Désactive le TeaTimer de Spybot (tu le réactiveras après ta désinfection) :
Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer


# Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, lance Navilog depuis le raccourci présent sur le bureau

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport ici.


1
Réponse 2 / 25
xtremis Messages postés 839 Date d'inscription lundi 20 octobre 2008 Statut Membre Dernière intervention 31 janvier 2009 105
24 nov. 2008 à 23:00
Bonsoir

Va dans parametre internet puis onglet confidentalité et coche la case :
bloquer les fenetres publicitaires...

Quand à ta page noire de bureau verifie si tu as les memes parametres d' arriere plan pour toutes tes sessions
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
24 nov. 2008 à 23:07
Bonsoir xtremis,

Ce réglage ne changera rien : les fenêtres sont dues à une infection, elles ne seront pas bloquées par l'anti pop-up...
0
Réponse 3 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
26 nov. 2008 à 13:53
bonjour

je te remercie de tes conseil, j ai bien tous suivi mais le lancement de navilog1 m est refusé il prétend être utilise par un autre programme .
0
Réponse 4 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
26 nov. 2008 à 14:48
Redémarre ton ordinateur et réessaye stp.

Sinon, supprime le et télécharge le à nouveau.

0
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
27 nov. 2008 à 19:03
salut


J AI RÉESSAYER Pas moyen de faire la dernière analyse il reste bloqué il contrôle toute la première parti mais il reste sur le message disant :

" veuillez patienter le scan peut durer une dizaine de minute" pas moyen qu'il termine l'analyse.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
27 nov. 2008 à 18:57
bonsoir


j ai bien reussi a lancer navilog mais il n arrive pas a faire la derniere analyse.
0
Réponse 6 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
27 nov. 2008 à 19:08
Tu as pensé à désactiver le TeaTimer de Spybot comme indiqué dans mon premier message ?

Tu as laissé navilog combien de temps ? Ca peut durer une heure si tu as beaucoup de fichiers sur ton disque dur...



0
Réponse 7 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
27 nov. 2008 à 19:36
j ai du le laissé 25 minute grand max , la je l'est relancé en désactivant le teamtimer sur spybot
0
Réponse 8 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
27 nov. 2008 à 23:49
bonsoir


voici le rapport que tu ma demandé en espérant que ça soit celui ci

Search Navipromo version 3.6.9 commencé le 2008-11-27 à 23:38:16.47

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "PropriÚtaire"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\PropriÚtaire\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\mou\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\PropriÚtaire\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\mou\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\PropriÚtaire\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\mou\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
0
Réponse 9 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 nov. 2008 à 01:58
Le rapport est incomplet...
Tu as bien redémarré ton ordinateur après avoir désactivé le TeaTimer pour que ce soit pris en compte ?


On va essayer quand meme de passer à la suite pour voir : relance Navilog à l'aide du raccourci navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***

Le bloc note va s'ouvrir, copie/colle ici le rapport, comme tu l’as fait pour l’autre.

0
Réponse 10 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
29 nov. 2008 à 00:03
salut anthony

rien a faire j ai tous repris depuis le debut j ai pas reussi a avoir un autre rapport ,concernant l étape 2 il ne lance pas de nettoyage puisqu il me demande d avoir effectuer un scan avec catchme. j ai donc repeter la manip plusieur fois mais pas de resultat .
0
Réponse 11 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
29 nov. 2008 à 00:29
On va le faire manuellement :

Relance navilog, choisis "désinfection manuelle par saisie nom adware" (option 4) et tape ceci : 
rufkval


Un nettoyage doit se faire, et tu devrais avoir un rapport, poste le ici stp.

0
Réponse 12 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
30 nov. 2008 à 22:25
salut anthony

j ai lancer le nettoyage voici le rapport alors je ne pense pas être sauvé et je ne pense pas que le rapport est complet non plus , j attend ton analyse du rapport. merci


Clean Navipromo version 3.6.9 commencé le 2008-11-29 à 21:00:59.00

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "PropriÚtaire"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS


Mode suppression par méthode manuelle

Nom du fichier saisi : rufkval
0
Réponse 13 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
30 nov. 2008 à 22:33
RE

j ai relancer un scan et je pense que c est le bon voici le rapport:


Clean Navipromo version 3.6.9 commencé le 2008-11-29 à 21:00:59.00

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "PropriÚtaire"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS


Mode suppression par méthode manuelle

Nom du fichier saisi : rufkval

[b] Nettoyage executé en mode normal et non au reboot
!! Les résultats ne seront pas optimisés !! [/b]

*** Recherche, création sauvegardes et suppression ***

* Suppression dans "C:\WINDOWS\system32" *


* Suppression dans "C:\Documents and Settings\PropriÚtaire\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\mou\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\PropriÚtaire\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\mou\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\PropriÚtaire\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\mou\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\PropriÚtaire\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\mou\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Propriétaire\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\PropriÚtaire\locals~1\applic~1" *


aeyyiii.exe trouvé !
Copie aeyyiii.exe réalisée avec succès !
aeyyiii.exe supprimé !

aeyyiii.dat trouvé !
Copie aeyyiii.dat réalisée avec succès !
aeyyiii.dat supprimé !

aeyyiii_nav.dat trouvé !
Copie aeyyiii_nav.dat réalisée avec succès !
aeyyiii_nav.dat supprimé !

aeyyiii_navps.dat trouvé !
Copie aeyyiii_navps.dat réalisée avec succès !
aeyyiii_navps.dat supprimé !


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\mou\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 2008-11-30 à 22:28:54.29 ***
0
Réponse 14 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
30 nov. 2008 à 22:41
aeyyiii.exe trouvé !
Copie aeyyiii.exe réalisée avec succès !
aeyyiii.exe supprimé !

aeyyiii.dat trouvé !
Copie aeyyiii.dat réalisée avec succès !
aeyyiii.dat supprimé !

aeyyiii_nav.dat trouvé !
Copie aeyyiii_nav.dat réalisée avec succès !
aeyyiii_nav.dat supprimé !

aeyyiii_navps.dat trouvé !
Copie aeyyiii_navps.dat réalisée avec succès !
aeyyiii_navps.dat supprimé !



Cool :)

Il a changé de nom entre temps, mais navilog l'a effacé ;)

Redémarre ton PC et poste un rapport hijackthis pour vérifier stp

0
Réponse 15 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
1 déc. 2008 à 18:57
salut anthony

bien oui le probleme des pages de pub est reglé mais mon fond ecran reste noir,alors y aurrait il un traitement pour cela ?

Voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52, on 2008-12-01
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NVATray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xeoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [rufkval] "c:\documents and settings\propriétaire\local settings\application data\rufkval.exe" rufkval
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
0
Réponse 16 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 déc. 2008 à 19:13
Ah, d'après le rapport il y a un autre fichier non détecte par Navilog... Bizarre



Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici


0
Réponse 17 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
1 déc. 2008 à 22:00
salut

voici le rapport que tu ma demandé:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 5.1.2600 Service Pack 3

2008-12-01 21:59:12
mbam-log-2008-12-01 (21-59-01).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 133250
Temps écoulé: 1 hour(s), 54 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP2\A0004075.exe (Backdoor.Rbot) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP2\A0005416.exe (Backdoor.Rbot) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP2\A0005422.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP2\A0007510.exe (Backdoor.Rbot) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP3\A0007511.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP3\A0007512.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP3\A0007513.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP3\A0007514.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP3\A0007515.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP3\A0007516.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP3\A0007530.exe (Backdoor.Rbot) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP4\A0007581.exe (Backdoor.Rbot) -> No action taken.
C:\System Volume Information\_restore{08F3AFD5-5D9E-4047-B952-F9EF44BEBFC0}\RP4\A0007582.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\b.exe (Backdoor.Rbot) -> No action taken.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\wini10895.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Propriétaire\delself.bat (Malware.Trace) -> No action taken.
0
Réponse 18 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
4 déc. 2008 à 18:45
pas de nouvel
0
Réponse 19 / 25
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
4 déc. 2008 à 19:12
Désolé pour la réponse tardive



/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum vous l'a recommandé.


On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

0
Réponse 20 / 25
achile_1 Messages postés 15 Date d'inscription lundi 24 novembre 2008 Statut Membre Dernière intervention 16 décembre 2008
6 déc. 2008 à 20:29
salut anthony

j ai fait ce que tu ma dit et voici le rapport que je devais poster:

ComboFix 08-12-06.03 - Propriétaire 2008-12-06 20:05:59.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.43 [GMT 1:00]
Running from: c:\documents and settings\Propriétaire\Bureau\C-fix.exe
* Created a new restore point

[COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\b.exe
c:\windows\brastk.exe
c:\windows\system32\wini10895.exe

.
((((((((((((((((((((((((( Files Created from 2008-11-06 to 2008-12-06 )))))))))))))))))))))))))))))))
.

2008-12-01 19:30 . 2008-12-01 19:30 <REP> d-------- c:\documents and settings\Propriétaire\Application Data\Malwarebytes
2008-12-01 19:30 . 2008-12-01 19:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-01 19:30 . 2008-12-01 19:30 <REP> d-------- c:\documents and settings\Administrateur\Malwarebytes' Anti-Malware
2008-12-01 19:30 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-01 19:30 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-27 23:59 . 2008-11-27 23:59 <REP> d-------- c:\program files\Fichiers communs\Adobe AIR
2008-11-26 15:09 . 2008-11-30 22:28 <REP> d-------- c:\program files\Navilog1
2008-11-25 20:04 . 2008-11-26 22:29 <REP> dr------- c:\documents and settings\Invité\Mes documents
2008-11-25 20:04 . 2008-11-26 22:29 <REP> dr------- c:\documents and settings\Invité\Mes documents
2008-11-24 21:44 . 2008-11-24 21:44 0 --a------ c:\windows\nsreg.dat
2008-11-24 21:41 . 2008-11-24 21:43 <REP> d-------- c:\program files\Mozilla Firefox Bonus
2008-11-24 19:04 . 2008-11-24 19:04 96 --a------ c:\windows\wininit.ini
2008-11-24 17:21 . 2008-11-26 13:45 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-23 04:44 . 2008-11-24 00:47 1,754 --a------ c:\windows\system32\tmp.reg
2008-11-23 04:35 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
2008-11-23 04:35 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
2008-11-23 04:35 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe
2008-11-23 04:35 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe
2008-11-23 04:35 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
2008-11-23 04:35 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe
2008-11-23 04:35 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe
2008-11-23 04:35 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
2008-11-23 04:35 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
2008-11-23 03:19 . 2008-11-23 04:15 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2008-11-22 19:36 . 2008-11-22 19:38 <REP> d-------- c:\documents and settings\Invité\Application Data\vlc
2008-11-22 17:25 . 2008-11-22 17:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Arovax
2008-11-22 04:20 . 2008-11-22 04:20 156 --a------ c:\documents and settings\Propriétaire\delself.bat
2008-11-22 04:20 . 2008-11-22 04:20 156 --a------ c:\documents and settings\Propriétaire\delself.bat
2008-11-13 03:02 . 2008-11-13 03:02 <REP> d-------- c:\program files\MSXML 4.0
2008-11-12 17:43 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 17:40 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-27 17:19 --------- d-----w c:\documents and settings\Propriétaire\Application Data\dvdcss
2008-11-27 16:02 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-22 19:09 --------- d-----w c:\documents and settings\Invité\Application Data\dvdcss
2008-11-15 19:03 --------- d-----w c:\documents and settings\Propriétaire\Application Data\LimeWire
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 17:13 --------- d-----w c:\documents and settings\Invité\Application Data\InstallShield
2008-10-16 23:36 --------- d-----w c:\documents and settings\Propriétaire\Application Data\vlc
2008-10-16 23:31 --------- d-----w c:\program files\Windows Media Connect 2
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NVIDIA nForce APU1 Utilities"="NVATray.exe" [2002-06-18 c:\windows\system32\NVATray.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Documents and Settings\\Propriétaire\\Mes documents\\LimeWire\\LimeWire.exe"=

R2 isodrv32;samtec ISO9141 Driver;c:\windows\system32\drivers\isodrv32.sys [2007-11-09 117236]

*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-rufkval - c:\documents and settings\propriétaire\local settings\application data\rufkval.exe
Notify-dimsntfy - (no file)
Notify-WRNotifier - (no file)


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.xeoo.com
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FireFox -: Profile - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\tihbsjf2.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-06 20:15:33
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


**************************************************************************
.
Completion time: 2008-12-06 20:21:13
ComboFix-quarantined-files.txt 2008-12-06 19:19:47

Pre-Run: 42,369,789,952 octets libres
Post-Run: 43,125,641,216 octets libres

110 --- E O F --- 2008-11-13 02:13:28
0

Discussions similaires

Fond d'écran qui devient noir
DjBuRnOuT -
alhuno1 -

6 réponses
Fond d'écran rogné et zoomé
DeeJay-TheBot -
DeeJay-TheBot -

2 réponses
J'ai une tâche noir sur l'écran de mon iPhone
sashzara -
ka -

8 réponses