Trojan/Cheval de troie

Résolu
ScaryMovie888 Messages postés 114 Statut Membre -  
ScaryMovie888 Messages postés 114 Statut Membre -
Bonjour à tous,
J'ai reçun virus par msn caché sous un autre fichier.La personne en question qui m'a envoyé le virus à pirater mon msn
et m'a dit que il pouvait récupérer toute les informations que je tappait au clavier (keylogger??) ( c'est comme ca que je m'en suis rendu compte) donc j'ai fais une analyse. Mon antivirus(NOD32) détecte WMA/TrojanDownloader.Wimad.N cheval de troie et beaucoup de " une variante de WMA/TrojanDownloader.getcodec.gen"
Mais aussi :
Swf/Exploit.CVE-2007-0071
Java/TrojanDownloader.OpenStream.NAB
WIN32/PSW.barok.C
WIN32/Obfuscated.NAU
, quelques uns sont nettoyés par suppresion et d'autre sont mis en quarantaines.
Ceux mis en quarantaine faut-il les supprimer??
PS: analyse spybot S&D : 1trojan détecté que je n'ai pas pu supprimer car message d'erreur me disant que je n'était pas administrateur alors qu'il n'y a que une seule session sur le PC et que type de session windows: Administrateur.
Merci de m'aider
Configuration: Windows Vista
Internet Explorer 7.0

73 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une infection mixte est signalée avec des Trojans et potentiellement un keylogger sur Windows Vista, l antivirus détectant WMA/TrojanDownloader et diverses variantes, certaines en quarantaine. Pour limiter les risques, installez un pare-feu (ZoneAlarm, Comodo, Kerio Personal Firewall) et générez un rapport HijackThis afin de cibler précisément les éléments malveillants à supprimer. D'autres conseils portent sur les mises à jour et le nettoyage logiciel: installer le SP1 de Vista, mettre à jour Java et Adobe Reader, puis utiliser JavaRa et CCleaner. Le suivi des rapports de suppression montre une réduction progressive des risques après installation du pare-feu et des outils de nettoyage, sans garantie de résolution complète ni conclusion définitive sur l'état actuel.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonsoir,

    Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Déconnecte toi et ferme toutes tes applications en cours.

    Double-clique sur " RSIT.exe " pour le lancer .
    dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
    cliques ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse.
    deux rapports vont être generés.

    Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...

    Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

    A+
    0
  2. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    Voila :
    info.txt logfile of random's system information tool 1.05 2008-12-17 19:24:45

    ======Uninstall list======

    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Reader 6.0.1-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A00000000001}
    Age of Mythology-->"C:\Program Files\Microsoft Games\Age of Mythology\UNINSTAL.EXE" /runtemp /addremove
    AIDA32 v3.93-->"C:\Program Files\AIDA32 - Enterprise System Information\unins000.exe"
    Apple Software Update-->MsiExec.exe /I{74EC78BC-B379-4E29-9006-8F161DCAABA6}
    Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
    AutoIt v3.2.12.1-->C:\Program Files\AutoIt3\Uninstall.exe
    AVIcodec (remove only)-->"C:\Program Files\AVIcodec\uninst.exe"
    Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
    CamStudio-->C:\Program Files\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe /M{EB371786-9449-4ED8-B47A-032467A58CAD} anything\anything
    DeepBurner v1.9.0.228-->"C:\Program Files\Astonsoft\DeepBurner\Uninstall.exe" "C:\Program Files\Astonsoft\DeepBurner\install.log" -u
    Dofus_Beta 1.23.0-->C:\Program Files\Dofus_Beta\uninstall.exe
    dofus2-->C:\Program Files\dofus2\Uninstall.exe
    Dofus-Arena-->C:\Program Files\DofusArena2\uninstall.exe
    DofusBeta 1.26.0-->C:\Program Files\DofusBeta\uninstall.exe
    eMule-->"C:\Program Files\eMule\Uninstall.exe"
    ESET NOD32 Antivirus-->MsiExec.exe /I{944F0F77-F26F-4D17-A440-6DA4CBE05B71}
    EuroPoker (remove only)-->"C:\Program Files\EuroPoker\uninstall.exe"
    Everest Poker (Remove Only)-->C:\Program Files\Everest Poker\cstart.exe /uninstall
    Feneris Video Downloader-->MsiExec.exe /I{86AED2CA-EE00-400B-8516-5152CC10B32E}
    Foxit Reader-->C:\Program Files\Foxit Software\Foxit Reader\Uninstall.exe
    Full Tilt Poker-->"C:\Program Files\InstallShield Installation Information\{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}\setup.exe" -runfromtemp -l0x040c -removeonly
    Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
    Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\program files\google\googletoolbar2.dll"
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    HyperCam 2-->"C:\Program Files\HyCam2\UnHyCam2.exe"
    Intel Audio Studio 2.0-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2205E3A5-DCDC-461D-8ED6-D6F2341D3B64}\setup.exe" -l0x40c
    Intel(R) Management Engine Interface-->C:\Windows\system32\heciudlg.exe -uninstall
    J2SE Runtime Environment 5.0 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150030}
    Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
    Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
    Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
    Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
    Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
    Java(TM) SE Runtime Environment 6 Update 1-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
    Jitbit Macro Recorder-->MsiExec.exe /I{2D57FB4E-6277-4A6D-8739-304C38051B89}
    K-Lite Codec Pack 3.5.0 Full-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
    Les Sims 2 : Nuits de Folie-->C:\Program Files\EA GAMES\Les Sims 2 Nuits de Folie\EAUninstall.exe
    Les Sims 2 Académie-->C:\Program Files\EA GAMES\Les Sims 2 Académie\EAUninstall.exe
    Les Sims 2 Cré@Logis-->C:\Program Files\EA GAMES\Les Sims 2 Cré@Logis\EAUninstall.exe
    Les Sims 2 : La bonne affaire-->C:\Program Files\EA GAMES\Les Sims 2  La bonne affaire\EAUninstall.exe
    Les Sims 2-->C:\Program Files\EA GAMES\Les Sims 2\EAUninstall.exe
    Les Sims™ 2 Animaux & Cie-->C:\Program Files\EA GAMES\Les Sims 2 Animaux & Cie\EAUninstall.exe
    Les Sims™ 2 Quartier Libre-->C:\Program Files\EA GAMES\Les Sims 2 Quartier Libre\EAUninstall.exe
    Les Sims™ 2 Au fil des saisons-->C:\Program Files\EA GAMES\Les Sims 2 Au fil des saisons\EAUninstall.exe
    Les Sims™ 2 Bon Voyage-->C:\Program Files\EA GAMES\Les Sims 2 Bon Voyage\EAUninstall.exe
    LimeWire 4.12.11-->"C:\Program Files\LimeWire\uninstall.exe"
    Magic Movie-->C:\Program Files\Packard Bell Magic Movie\Uninstall.exe
    Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
    Microsoft .NET Framework 1.1 Hotfix (KB929729)-->"C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp"
    Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    Microsoft LifeCam-->MsiExec.exe /X{968D41C3-25BB-4632-A6DF-2E1C8F0143A4}
    Microsoft Office XP Professional avec FrontPage-->MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
    Moyea FLV Downloader version 1.16.0.17-->"C:\Program Files\Moyea\FLV Downloader\unins000.exe"
    Moyea FLV Player version 1.0.0.0-->"C:\Program Files\Moyea\FLV Player\unins000.exe"
    MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
    MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
    MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
    MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
    MSXML4 Parser-->MsiExec.exe /I{01501EBA-EC35-4F9F-8889-3BE346E5DA13}
    neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
    NVIDIA DDS Utilities-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{64963F0E-03F2-4B59-8D1B-1806545E7092}\setup.exe" -l0x9
    NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
    NVIDIA Texture Tools 2 Alpha-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D8D06241-617C-42AB-B9C7-D9BA5A377D10}\setup.exe" -l0x9
    OpenOffice.org Installer 1.0-->MsiExec.exe /X{3A2AF807-9F9F-43C9-A24A-17B617238B74}
    Packard Bell Magic Picture-->C:\APPS\MagicPicture\Uninstall.exe
    Paint.NET v3.05-->MsiExec.exe /X{6A8DEA40-B4AA-4687-B9F8-4E8185E65B05}
    PANZERS - Phase1-->C:\PROGRA~1\PANZER~1\UNINST~1\UNWISE.EXE C:\PROGRA~1\PANZER~1\UNINST~1\INSTALL.LOG
    PANZERS - Phase2-->C:\PROGRA~1\PANZER~2\UNINST~1\UNWISE.EXE C:\PROGRA~1\PANZER~2\UNINST~1\INSTALL.LOG
    PartyPoker-->"C:\Programs\PartyGaming\PartyPoker\Uninstall.exe" "C:\Programs\PartyGaming\PartyPoker\install.log"
    Pharaon-->C:\Windows\IsUn040c.exe -fC:\SIERRA\Pharaon\Uninst.isu
    PhotoFiltre Studio-->"C:\Program Files\PhotoFiltre Studio\Uninst.exe"
    Poker 770-->"C:\Poker\Poker 770\_SetupPoker[1].exe" /uninstall
    PrintMaster Gold 4.00-->c:\pmw\msrun.exe
    Prism Video Converter-->C:\Program Files\NCH Software\Prism\uninst.exe
    PSPGen Personal Media Manager 2.94-->C:\Program Files\Personal Media Manager\Uninstal.exe
    QuickTime-->MsiExec.exe /I{95A890AA-B3B1-44B6-9C18-A8F7AB3EE7FC}
    SAMSUNG Mobile Modem Driver Set-->C:\Windows\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe
    Samsung Mobile phone USB driver Software-->C:\Windows\system32\Samsung_USB_Drivers\5\SSSDUninstall.exe
    SAMSUNG Mobile USB Modem 1.0 Software-->C:\Windows\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe
    SAMSUNG Mobile USB Modem Software-->C:\Windows\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe
    Samsung PC Studio 3 USB Driver Installer-->"C:\Program Files\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -runfromtemp -l0x040c -removeonly
    Samsung PC Studio 3-->"C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x040c -removeonly
    SecondLife (remove only)-->"C:\Program Files\SecondLife\uninst.exe" /P="SecondLife"
    Shareaza version 2.2.5.0-->"C:\Program Files\Shareaza\Uninstall\unins000.exe"
    SigmaTel Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}\setup.exe" -l0x40c -remove -removeonly
    SM-->C:\Program Files\SM\uninstaller.exe
    Souris Pro-->C:\WINDOWS\st6unst.exe -n "C:\Program Files\statistik\ST6UNST.LOG"
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
    Trojan Remover 6.7.5-->"C:\Program Files\Trojan Remover\unins000.exe"
    Trust WB-1400T Webcam -->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{02095E3B-C22E-4A1A-88C6-4443E5112E67} /l1036
    Wakfu-->C:\Program Files\Wakfu\uninstall.exe
    WebMediaPlayer-->C:\Program Files\WebMediaPlayer\uninst.exe
    Winamax Poker (remove only)-->"C:\Program Files\WinamaxPoker\uninst.exe"
    Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
    Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
    Windows Live OneCare safety scanner-->"C:\Program Files\Windows Live Safety Center\UnInstall.exe"
    Windows Live OneCare safety scanner-->MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
    WinRAR archiver-->C:\Program Files\WinRAR\uninstall.exe
    WinZip 11.1-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}
    YouTUBE (TM) movie downloader-->MsiExec.exe /X{2F8BE445-D14C-40E2-AF62-E43539FD1500}
    YouTube Downloader 2.11-->"C:\Program Files\FDRLab\YouTube Downloader\unins000.exe"

    ======Security center information======

    AV: ESET NOD32 Antivirus 3.0
    AS: ESET NOD32 Antivirus 3.0
    AS: Windows Defender

    System event log

    Computer Name: PC-de-User
    Event Code: 3005
    Message: L’agent de protection en temps réel Windows Defender a pris des mesures pour protéger cet ordinateur contre les logiciels espions ou autres logiciels potentiellement indésirables.
    Pour plus d’informations, consultez les informations suivantes :
    Non applicable
    ID d’analyse : {208138BD-829E-45DF-819F-03FC910D2EB8}
    Utilisateur : PC-de-User\User
    Nom : Unknown
    ID :
    ID de gravité :
    ID de catégorie :
    Type d’alerte : Logiciel non classifié
    Action : Ignorer
    Record Number: 118935
    Source Name: Microsoft-Windows-Windows Defender
    Time Written: 20081217171700.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-User
    Event Code: 7036
    Message: Le service Service de découverte automatique de Proxy Web pour les services HTTP Windows est entré dans l'état : arrêté.
    Record Number: 118936
    Source Name: Service Control Manager
    Time Written: 20081217173329.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-User
    Event Code: 10016
    Message: Les paramètres d'autorisation spécifiques à l'application n'accordent pas d'autorisation Local Activation pour l'application serveur COM avec le CLSID
    {0C0A3666-30C9-11D0-8F20-00805F2CD064}
    au SID PC-de-User\User de l'utilisateur (S-1-5-21-4112547665-2154988620-2283095278-1000) depuis l'adresse LocalHost (utilisation de LRPC). Cette autorisation de sécurité peut être modifiée à l'aide de l'outil d'administration Services de composants.
    Record Number: 118937
    Source Name: Microsoft-Windows-DistributedCOM
    Time Written: 20081217175541.000000-000
    Event Type: Erreur
    User: PC-de-User\User

    Computer Name: PC-de-User
    Event Code: 7036
    Message: Le service Prise en charge de l’application Rapports et solutions aux problèmes du Panneau de configuration est entré dans l'état : en cours d'exécution.
    Record Number: 118938
    Source Name: Service Control Manager
    Time Written: 20081217181533.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-User
    Event Code: 7036
    Message: Le service Prise en charge de l’application Rapports et solutions aux problèmes du Panneau de configuration est entré dans l'état : arrêté.
    Record Number: 118939
    Source Name: Service Control Manager
    Time Written: 20081217181534.000000-000
    Event Type: Information
    User:

    Application event log

    Computer Name: PC-de-User
    Event Code: 1001
    Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été supprimés. Les données d'enregistrement contiennent les nouvelles valeurs du dernier compteur système et les dernières entrées du registre d'aide.
    Record Number: 31736
    Source Name: Microsoft-Windows-LoadPerf
    Time Written: 20081217163550.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-User
    Event Code: 1000
    Message: Les compteurs de performances pour le service WmiApRpl (WmiApRpl) ont été chargés. Les données d'enregistrement dans la section des données contiennent les nouvelles valeurs d'index assignées à ce service.
    Record Number: 31737
    Source Name: Microsoft-Windows-LoadPerf
    Time Written: 20081217163551.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-User
    Event Code: 103
    Message: msnmsgr (1152) \\.\C:\Users\User\AppData\Local\Microsoft\Messenger\xx-alex88-xx@hotmail.com\SharingMetadata\Working\database_F814_4D43_144D_5DA\dfsr.db: The database engine stopped the instance (0).
    Record Number: 31738
    Source Name: ESENT
    Time Written: 20081217164203.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-User
    Event Code: 102
    Message: msnmsgr (4084) \\.\C:\Users\User\AppData\Local\Microsoft\Messenger\xx-alex88-xx@hotmail.com\SharingMetadata\Working\database_F814_4D43_144D_5DA\dfsr.db: The database engine (6.00.6000.0000) started a new instance (0).
    Record Number: 31739
    Source Name: ESENT
    Time Written: 20081217164626.000000-000
    Event Type: Information
    User:

    Computer Name: PC-de-User
    Event Code: 103
    Message: msnmsgr (4084) \\.\C:\Users\User\AppData\Local\Microsoft\Messenger\xx-alex88-xx@hotmail.com\SharingMetadata\Working\database_F814_4D43_144D_5DA\dfsr.db: The database engine stopped the instance (0).
    Record Number: 31740
    Source Name: ESENT
    Time Written: 20081217175553.000000-000
    Event Type: Information
    User:

    Security event log

    Computer Name: PC-de-User
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 28685
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080509161217.312500-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-User
    Event Code: 5056
    Message: Un autotest de chiffrement a été effectué.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-USER$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Module : ncrypt.dll

    Code de retour : 0x0
    Record Number: 28686
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080509161219.446193-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-User
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-USER$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : User
    Domaine du compte : PC-de-User
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x314
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Adresse du réseau : 127.0.0.1
    Port : 0

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 28687
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080509161219.617081-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-User
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-USER$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 2

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-21-4112547665-2154988620-2283095278-1000
    Nom du compte : User
    Domaine du compte : PC-de-User
    ID d’ouverture de session : 0x1b49c
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x314
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Nom de la station de travail : PC-DE-USER
    Adresse du réseau source : 127.0.0.1
    Port source : 0

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : User32
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 28688
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080509161219.617081-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-User
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-USER$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 2

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-21-4112547665-2154988620-2283095278-1000
    Nom du compte : User
    Domaine du compte : PC-de-User
    ID d’ouverture de session : 0x1b4b8
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x314
    Nom du processus : C:\Windows\System32\winlogon.exe

    Informations sur le réseau :
    Nom de la station de travail : PC-DE-USER
    Adresse du réseau source : 127.0.0.1
    Port source : 0

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : User32
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 28689
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20080509161219.617081-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\NVIDIA Corporation\DDS Utilities;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\Samsung\Samsung PC Studio 3\
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
    "PROCESSOR_REVISION"=0f06
    "NUMBER_OF_PROCESSORS"=2
    "CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip
    "QTJAVA"=C:\Program Files\Java\jre1.6.0_02\lib\ext\QTJava.zip

    -----------------EOF-----------------

    Logfile of random's system information tool 1.05 (written by random/random)
    Run by User at 2008-12-17 19:24:41
    Microsoft® Windows Vista™ Édition Familiale Premium
    System drive C: has 182 GB (60%) free of 305 GB
    Total RAM: 2029 MB (57% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:24:43, on 17/12/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16764)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Windows\sttray.exe
    C:\Windows\vVX1000.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\ieuser.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe
    C:\Users\User\AppData\Local\Temp\Fichiers Internet temporaires\Content.IE5\S4YZ1NZF\RSIT[1].exe
    C:\Program Files\Trend Micro\HijackThis\User.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
    O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
    O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
    O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SourisLancement] c:\souris.exe
    O4 - HKCU\..\Run: [Bowsspam] "C:\ProgramData\Mail Proc Proc.bbbchdd"
    O4 - HKCU\..\Run: [Itch ford four knob] "C:\ProgramData\Bash Remote Okay.2hxh4l"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: Event Reminder.lnk = C:\pmw\PMREMIND.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O13 - Gopher Prefix:
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-be.cab
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
    O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Windows\System32\STacSV.exe
    0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Télécharge LopS&D.
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

    Installe le logiciel. Une icône va apparaitre sur le bureau.

    Lance le logiciel en tant qu’administrateur. ( click droit sur le raccourci du bureau --> choisis Exécuter en tant qu’administrateur )
    Tu choisis la langue et valide puis l'option 1 pour effectuer la recherche.
    A la fin de la recherche, un rapport LopR.txt apparait.

    Il se trouve aussi en C:\LopR.txt.
    Tu posteras ce rapport dans le prochain message.

    A+
    0
  4. piro25 Messages postés 227 Statut Membre 10
     
    apres l'avoir desinfecter il faut absolument que tu change l'antivirus. Achete Kaspersky Internet Security 2009 ou telecharge Avast Home mais je prefere Kaspersky.

    Bon courage
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    --------------------\\ Lop S&D 4.2.4-9c XP/Vista

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz )
    BIOS : Default System BIOS
    USER : User ( Administrator )
    BOOT : Normal boot
    Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Activated)
    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:298 Go (Free:177 Go)
    D:\ (CD or DVD) - UDF - Total:0 Go (Free:0 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
    Option : [1] ( mer. 17/12/2008|21:35 )

    [ UAC => 1 ]

    --------------------\\ Listing des dossiers dans Local

    [22/02/2007|19:19] C:\Users\User\AppData\Local\Adobe
    [28/07/2007|19:04] C:\Users\User\AppData\Local\Ahead
    [05/10/2007|18:58] C:\Users\User\AppData\Local\Apple
    [05/10/2007|19:01] C:\Users\User\AppData\Local\Apple Computer
    [31/01/2007|13:43] C:\Users\User\AppData\Local\Application Data
    [06/03/2008|20:11] C:\Users\User\AppData\Local\ApplicationHistory
    [26/04/2008|14:26] C:\Users\User\AppData\Local\d3d9caps.dat
    [12/12/2008|16:48] C:\Users\User\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [12/05/2008|16:09] C:\Users\User\AppData\Local\Downloaded Installations
    [01/06/2007|17:07] C:\Users\User\AppData\Local\eMule
    [13/04/2008|11:47] C:\Users\User\AppData\Local\ESET
    [09/08/2007|14:43] C:\Users\User\AppData\Local\fusioncache.dat
    [12/05/2008|20:20] C:\Users\User\AppData\Local\GDIPFONTCACHEV1.DAT
    [18/06/2007|16:50] C:\Users\User\AppData\Local\Google
    [31/01/2007|13:43] C:\Users\User\AppData\Local\Historique
    [17/12/2008|17:27] C:\Users\User\AppData\Local\IconCache.db
    [01/08/2007|20:40] C:\Users\User\AppData\Local\IM
    [12/08/2008|07:01] C:\Users\User\AppData\Local\kawyq.dat
    [04/10/2007|18:21] C:\Users\User\AppData\Local\kawyq_nav.dat
    [13/10/2007|14:26] C:\Users\User\AppData\Local\kawyq_navps.dat
    [11/08/2008|21:46] C:\Users\User\AppData\Local\kawyq_navup.dat
    [07/04/2007|16:22] C:\Users\User\AppData\Local\Microangelo Toolset 6
    [13/05/2008|18:28] C:\Users\User\AppData\Local\Microsoft
    [16/02/2007|17:25] C:\Users\User\AppData\Local\Microsoft Games
    [26/11/2007|19:32] C:\Users\User\AppData\Local\Paint.NET
    [13/06/2007|14:03] C:\Users\User\AppData\Local\Shareaza
    [09/08/2007|14:45] C:\Users\User\AppData\Local\SM
    [13/05/2008|19:34] C:\Users\User\AppData\Local\Stardock
    [26/04/2008|09:33] C:\Users\User\AppData\Local\SupportSoft
    [17/12/2008|19:24] C:\Users\User\AppData\Local\Temp
    [31/01/2007|13:43] C:\Users\User\AppData\Local\Temporary Internet Files
    [22/02/2007|19:19] C:\Users\User\AppData\Local\VirtualStore

    --------------------\\ Tâches planifiées dans C:\Windows\tasks

    [17/12/2008 13:50][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{1E52D023-723F-48FE-A4ED-DD8ED6D5089B}.job
    [17/12/2008 17:29][--ah-----] C:\Windows\tasks\SA.DAT
    [17/12/2008 17:28][--a------] C:\Windows\tasks\SCHEDLGU.TXT

    --------------------\\ Listing des dossiers dans C:\ProgramData

    [08/07/2007|12:12] C:\ProgramData\.zreglib
    [19/02/2007|19:16] C:\ProgramData\Adobe
    [28/07/2007|18:10] C:\ProgramData\Ahead
    [05/10/2007|18:58] C:\ProgramData\Apple
    [05/10/2007|18:59] C:\ProgramData\Apple Computer
    [02/11/2006|14:02] C:\ProgramData\Application Data
    [23/06/2008|07:51] C:\ProgramData\Bash Remote Okay.2hxh4l
    [31/01/2007|13:40] C:\ProgramData\Bureau
    [02/11/2006|14:02] C:\ProgramData\Desktop
    [02/11/2006|14:02] C:\ProgramData\Documents
    [10/12/2008|20:17] C:\ProgramData\DrvKnobRule
    [17/07/2007|13:52] C:\ProgramData\eBay
    [01/06/2007|17:28] C:\ProgramData\eMule
    [13/04/2008|11:21] C:\ProgramData\ESET
    [27/10/2008|22:33] C:\ProgramData\ezsidmv.dat
    [31/01/2007|13:40] C:\ProgramData\Favoris
    [02/11/2006|14:02] C:\ProgramData\Favorites
    [18/06/2007|16:49] C:\ProgramData\Google
    [19/02/2007|21:12] C:\ProgramData\hpzinstall.log
    [30/03/2008|14:43] C:\ProgramData\LauncherAccess.dt
    [27/05/2008|15:55] C:\ProgramData\Mail Proc Proc.9s5yk
    [23/06/2008|07:50] C:\ProgramData\Mail Proc Proc.bbbchdd
    [02/05/2008|19:00] C:\ProgramData\Mail Proc Proc.coquu
    [09/04/2008|12:53] C:\ProgramData\Mail Proc Proc.msanc
    [23/06/2008|07:50] C:\ProgramData\Mail Proc Proc.o3b86
    [31/01/2007|13:40] C:\ProgramData\Menu D‚marrer
    [10/12/2008|15:22] C:\ProgramData\Messenger Plus!
    [22/02/2007|20:18] C:\ProgramData\Microsoft
    [31/01/2007|13:40] C:\ProgramData\ModŠles
    [14/11/2008|14:01] C:\ProgramData\MSN6
    [12/05/2008|16:30] C:\ProgramData\NCH Software
    [01/05/2008|19:16] C:\ProgramData\NVIDIA
    [12/05/2008|16:10] C:\ProgramData\Pinnacle
    [12/05/2008|16:17] C:\ProgramData\Pinnacle VideoSpin
    [17/12/2008|18:15] C:\ProgramData\Simply Super Software
    [14/11/2008|09:53] C:\ProgramData\Skype
    [08/07/2007|11:24] C:\ProgramData\SlySoft
    [17/12/2008|17:04] C:\ProgramData\Spybot - Search & Destroy
    [02/11/2006|14:02] C:\ProgramData\Start Menu
    [17/12/2008|18:23] C:\ProgramData\TEMP
    [02/11/2006|14:02] C:\ProgramData\Templates
    [23/06/2008|07:51] C:\ProgramData\third lies itch ford
    [12/05/2008|16:13] C:\ProgramData\VideoSpin
    [12/05/2008|19:04] C:\ProgramData\vsosdk
    [02/07/2007|09:44] C:\ProgramData\WinZip
    [10/12/2008|14:52] C:\ProgramData\WLInstaller

    --------------------\\ Listing des dossiers dans C:\Program Files

    [10/05/2008|10:36] C:\Program Files\Activision
    [19/02/2007|19:16] C:\Program Files\Adobe
    [12/05/2007|08:54] C:\Program Files\adslTV
    [19/04/2008|11:10] C:\Program Files\AIDA32 - Enterprise System Information
    [08/07/2007|11:43] C:\Program Files\AIST
    [24/04/2008|18:46] C:\Program Files\Alcatel
    [22/12/2007|15:57] C:\Program Files\Ankama Games
    [05/10/2007|18:58] C:\Program Files\Apple Software Update
    [13/05/2008|20:09] C:\Program Files\Astonsoft
    [16/09/2008|16:20] C:\Program Files\AutoIt3
    [11/11/2007|16:21] C:\Program Files\AVIcodec
    [08/10/2007|17:31] C:\Program Files\Belkin
    [21/11/2008|14:30] C:\Program Files\BitLord
    [09/04/2008|12:53] C:\Program Files\BitTorrent Fastest Tool
    [10/11/2007|12:10] C:\Program Files\CamStudio
    [14/11/2008|09:53] C:\Program Files\Common Files
    [21/11/2008|14:32] C:\Program Files\Conduit
    [19/02/2007|19:16] C:\Program Files\D-Link
    [17/12/2008|15:09] C:\Program Files\Dofus
    [09/04/2008|15:44] C:\Program Files\Dofus_Beta
    [07/11/2008|23:22] C:\Program Files\dofus2
    [24/08/2008|19:26] C:\Program Files\DofusArena2
    [04/12/2008|21:11] C:\Program Files\DofusBeta
    [22/03/2008|18:15] C:\Program Files\EA GAMES
    [17/07/2007|13:10] C:\Program Files\eBay
    [09/12/2007|11:02] C:\Program Files\eChanblard
    [09/12/2007|10:58] C:\Program Files\eMule
    [13/04/2008|11:24] C:\Program Files\ESET
    [10/11/2007|11:22] C:\Program Files\EuroPoker
    [17/12/2008|17:03] C:\Program Files\Everest Poker
    [30/03/2007|21:18] C:\Program Files\FDRLab
    [13/11/2008|16:19] C:\Program Files\Feneris
    [31/01/2007|13:40] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]
    [22/02/2007|19:18] C:\Program Files\Foxit Software
    [03/04/2008|15:36] C:\Program Files\Full Tilt Poker
    [22/06/2007|09:36] C:\Program Files\Google
    [15/07/2008|10:44] C:\Program Files\HyCam2
    [05/09/2007|17:53] C:\Program Files\IncrediMail
    [10/05/2008|10:51] C:\Program Files\InstallShield Installation Information
    [31/01/2007|14:01] C:\Program Files\Intel
    [19/04/2008|12:19] C:\Program Files\Intel Audio Studio
    [31/01/2007|14:07] C:\Program Files\Intel Desktop Board
    [10/12/2008|14:25] C:\Program Files\Internet Explorer
    [10/12/2008|14:15] C:\Program Files\Java
    [15/09/2008|20:00] C:\Program Files\JitBit
    [11/11/2007|16:29] C:\Program Files\K-Lite Codec Pack
    [31/03/2007|12:48] C:\Program Files\LimeWire
    [14/11/2008|14:00] C:\Program Files\Messenger
    [10/12/2008|15:18] C:\Program Files\Messenger Plus! Live
    [10/12/2008|14:34] C:\Program Files\MessengerDiscovery
    [03/04/2007|22:02] C:\Program Files\Microsoft Games
    [24/04/2008|17:47] C:\Program Files\Microsoft LifeCam
    [19/02/2007|21:42] C:\Program Files\Microsoft Office
    [19/02/2007|21:43] C:\Program Files\Microsoft Visual Studio
    [12/05/2008|20:13] C:\Program Files\Movie Maker
    [13/11/2008|16:14] C:\Program Files\Moyea
    [02/11/2006|13:37] C:\Program Files\MSBuild
    [16/11/2008|17:30] C:\Program Files\MSN
    [25/03/2007|15:44] C:\Program Files\MSXML 4.0
    [14/05/2008|05:53] C:\Program Files\NCH Software
    [28/07/2007|18:08] C:\Program Files\Nero
    [30/07/2007|12:28] C:\Program Files\NVIDIA Corporation
    [03/06/2007|07:58] C:\Program Files\Packard Bell Magic Movie
    [31/03/2007|12:25] C:\Program Files\Paint.NET
    [31/03/2007|15:41] C:\Program Files\PANZERS - Phase1
    [31/03/2007|15:46] C:\Program Files\PANZERS - Phase2
    [02/12/2007|12:55] C:\Program Files\Personal Media Manager
    [25/12/2007|20:11] C:\Program Files\PhotoFiltre Studio
    [05/10/2007|18:59] C:\Program Files\QuickTime
    [02/11/2006|13:37] C:\Program Files\Reference Assemblies
    [27/02/2008|15:10] C:\Program Files\Samsung
    [20/09/2007|16:30] C:\Program Files\SecondLife
    [02/09/2007|13:45] C:\Program Files\Shareaza
    [25/11/2007|16:28] C:\Program Files\Sierra On-Line
    [31/01/2007|14:06] C:\Program Files\SigmaTel
    [08/09/2007|12:20] C:\Program Files\SimPE
    [08/07/2007|12:29] C:\Program Files\SlySoft
    [09/08/2007|14:43] C:\Program Files\SM
    [17/12/2008|15:19] C:\Program Files\Spybot - Search & Destroy
    [13/05/2008|19:34] C:\Program Files\Stardock
    [13/05/2008|19:23] C:\Program Files\statistik
    [02/11/2008|15:42] C:\Program Files\Sun
    [17/03/2008|18:05] C:\Program Files\Teamspeak2_RC2
    [21/11/2008|14:32] C:\Program Files\TorrentMan
    [17/12/2008|18:52] C:\Program Files\Trend Micro
    [17/12/2008|18:21] C:\Program Files\Trojan Remover
    [19/04/2008|13:06] C:\Program Files\Trust
    [02/11/2006|14:01] C:\Program Files\Uninstall Information
    [11/09/2008|16:32] C:\Program Files\uTorrent
    [01/12/2007|12:17] C:\Program Files\Veoh Networks
    [31/10/2008|00:56] C:\Program Files\Wakfu
    [29/09/2007|15:58] C:\Program Files\WebMediaPlayer
    [15/10/2008|13:33] C:\Program Files\WinamaxPoker
    [05/09/2007|13:14] C:\Program Files\Windows Calendar
    [02/11/2006|13:42] C:\Program Files\Windows Collaboration
    [11/04/2007|22:21] C:\Program Files\Windows Defender
    [02/11/2006|13:42] C:\Program Files\Windows Journal
    [10/12/2008|15:02] C:\Program Files\Windows Live
    [21/10/2008|18:35] C:\Program Files\Windows Live Safety Center
    [10/12/2008|14:25] C:\Program Files\Windows Mail
    [10/10/2007|13:31] C:\Program Files\Windows Media Player
    [31/01/2007|13:40] C:\Program Files\Windows NT
    [02/11/2006|13:42] C:\Program Files\Windows Photo Gallery
    [10/01/2008|20:46] C:\Program Files\Windows Sidebar
    [22/02/2007|19:18] C:\Program Files\WinRAR
    [02/07/2007|09:43] C:\Program Files\WinZip
    [13/11/2008|16:09] C:\Program Files\YouTUBE (TM) movie downloader

    --------------------\\ Listing des dossiers dans C:\Program Files\Common Files

    [19/02/2007|21:43] C:\Program Files\Common Files\Designer
    [08/07/2007|11:42] C:\Program Files\Common Files\InstallShield
    [10/11/2007|12:10] C:\Program Files\Common Files\InternalLib
    [31/03/2007|12:46] C:\Program Files\Common Files\Java
    [10/12/2008|14:52] C:\Program Files\Common Files\microsoft shared
    [19/04/2008|13:06] C:\Program Files\Common Files\PAC207
    [19/04/2008|13:01] C:\Program Files\Common Files\PAC7311
    [19/04/2008|13:06] C:\Program Files\Common Files\Remove64C
    [19/04/2008|13:06] C:\Program Files\Common Files\RemoveC
    [02/11/2006|12:18] C:\Program Files\Common Files\Services
    [02/11/2006|12:18] C:\Program Files\Common Files\SpeechEngines
    [26/04/2008|09:33] C:\Program Files\Common Files\SupportSoft
    [18/06/2007|16:38] C:\Program Files\Common Files\System
    [10/12/2008|15:02] C:\Program Files\Common Files\WindowsLiveInstaller

    --------------------\\ Process

    ( 62 Processes )

    iexplore.exe ~ [PID:1264]
    iexplore.exe ~ [PID:1088]

    --------------------\\ Recherche avec S_Lop

    C:\ProgramData\Mail Proc Proc.9s5yk
    C:\ProgramData\Mail Proc Proc.coquu
    C:\ProgramData\Mail Proc Proc.msanc
    C:\ProgramData\Mail Proc Proc.o3b86
    C:\ProgramData\Bash Remote Okay.2hxh4l
    C:\ProgramData\Mail Proc Proc.bbbchdd
    C:\ProgramData\DRVKNO~1

    --------------------\\ Recherche de Fichiers / Dossiers Lop

    C:\ProgramData\third lies itch ford
    C:\ProgramData\third lies itch ford\Inside gram.exe
    C:\Program Files\BitTorrent Fastest Tool
    C:\Program Files\BitTorrent Fastest Tool\BitDownload-4.5-setup.exe
    C:\Program Files\BitTorrent Fastest Tool\INSTALL.LOG

    --------------------\\ Verification du Registre

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SeekAimActive]
    "DisplayName"="CiD Help"
    "UninstallString"="C:\\PROGRA~2\\DRVKNO~1\\Delete Meet.exe -uninstall"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Bowsspam"="\"C:\\ProgramData\\Mail Proc Proc.bbbchdd\""
    "Itch ford four knob"="\"C:\\ProgramData\\Bash Remote Okay.2hxh4l\""

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    --------------------\\ Verification du fichier Hosts

    Fichier Hosts PROPRE

    --------------------\\ Recherche de fichiers avec Catchme

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-17 21:35:55
    Windows 6.0.6000 NTFS
    scanning hidden processes ...
    scanning hidden files ...
    C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1277 bytes hidden from API
    scan completed successfully
    hidden processes: 0
    hidden files: 35

    --------------------\\ Recherche d'autres infections

    C:\Program Files\WebMediaPlayer
    C:\Program Files\WebMediaPlayer\Conditions g‚n‚rales.url
    C:\Program Files\WebMediaPlayer\Confidentialit‚.url
    C:\Program Files\WebMediaPlayer\resources
    C:\Program Files\WebMediaPlayer\skins
    C:\Program Files\WebMediaPlayer\sqlite3.dll
    C:\Program Files\WebMediaPlayer\uninst.exe
    C:\Program Files\WebMediaPlayer\updates
    C:\Program Files\WebMediaPlayer\WebMediaPlayer.exe
    C:\Program Files\WebMediaPlayer\Website.url
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Conditions g‚n‚rales.lnk
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Confidentialit‚.lnk
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\WebMediaPlayer.lnk
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Website.lnk
    C:\Windows\System32\nvs2.inf

    C:\Users\User\AppData\Local\kawyq.dat
    C:\Users\User\AppData\Local\kawyq_nav.dat
    C:\Users\User\AppData\Local\kawyq_navps.dat
    C:\Users\User\AppData\Local\kawyq_navup.dat
    [b]==> EGDACCESS <==/b

    --------------------\\ ROGUES ..

    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Spyware-Secure

    --------------------\\ Cracks & Keygens ..

    C:\Users\User\Downloads\eMule\Incoming\ Unreal Tournament 2004 - 3186 NoCD & Multiplayer Crack + Keygen.zip
    C:\Users\User\Downloads\eMule\Incoming\!!!!!! Crack NO CD- NO DVD FR IT DE EN CALL OF DUTY 4 (PC) OK !!!!.rar

    [F:2165][D:199]-> C:\Users\User\AppData\Local\Temp
    [F:106][D:1]-> C:\Users\User\AppData\Roaming\MICROS~1\Windows\Cookies
    [F:1][D:4]-> C:\Users\User\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
    [F:3][D:3]-> C:\$Recycle.Bin

    1 - "C:\Lop SD\LopR_1.txt" - mer. 17/12/2008|21:37 - Option : [1]

    --------------------\\ Fin du rapport a 21:37:43
    [ UAC => 1 ]
    0
  7. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Durant la désinfection de ton ordinateur, les différentes manipulations doivent s’effectuer en tant qu’administrateur. C'est important de faire la manip suivante.

    Dans le panneau de configuration, choisir l’affichage classique.

    Dans Comptes d’Utilisateurs --> activer ou désactiver le contrôle des comptes d’utilisateurs
    Puis décoche la ligne "Utiliser le controle .. "
    Il te sera demandé de redémarrer l’ordinateur. Accepte.

    2) Télécharge navilog d'il mafioso.
    http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe

    Installe Navilog. Un raccourci sera crée sur ton bureau.

    Pour la suite, comme tu as vista, il faut exécuter Navilog en tant qu’administrateur de ton PC.
    Click droit sur le raccourci du bureau et tu choisis « executer en tant qu’administrateur »

    Navilog s’est lancé. Tu choisis l'option 1.
    Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.

    Tu copies et colles le texte de ce rapport dans ton prochain message.

    3) Comme le logiciel va redémarrer l’ordinateur, ferme les fenêtres ouvertes.
    Relance le logiciel LopS&D.

    Choisis l'option 3 pour supprimer l'infection.
    Après redémarrage, choisis ton compte et laisse le logiciel travailler.
    A la fin du nettoyage, un rapport LopR.txt apparait. Il se trouve en C:\LopR.txt.

    LopS&D a réactivé la protection des comptes utilisateurs. Il faut que tu recommences la manipulation précédente ( partie 1 ) pour désactiver le contrôle des comptes utilisateurs.

    A+
    0
  8. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    Search Navipromo version 3.7.0 commencé le mer. 17/12/2008 à 21:58:49,71

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz )
    BIOS : Default System BIOS
    USER : User ( Administrator )
    BOOT : Normal boot

    Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:298 Go (Free:177 Go)
    D:\ (CD or DVD) - UDF - Total:0 Go (Free:0 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    ...\WebMediaPlayer trouvé !

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    ...\WebMediaPlayer trouvé !

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "c:\users\user\appdata\roaming\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "C:\Users\User\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\User\AppData\Roaming" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\User\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\User\AppData\Local\virtualstore\windows\system32" *

    * Recherche dans "C:\Users\User\AppData\Local" *

    *** Recherche fichiers ***

    C:\Windows\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\User\AppData\Local\Microsoft" :

    * Dans "C:\Users\User\AppData\Local\virtualstore\windows\system32" :

    * Dans "C:\Users\User\AppData\Local" :

    kawyq.dat trouvé !
    kawyq_nav.dat trouvé !
    kawyq_navps.dat trouvé !
    kawyq_navup.dat trouvé !

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :

    C:\ProgramData\Mail Proc Proc.9s5yk trouvé ! Infection Lop possible non traitée par cet outil !

    C:\ProgramData\Mail Proc Proc.coquu trouvé ! Infection Lop possible non traitée par cet outil !

    C:\ProgramData\Mail Proc Proc.msanc trouvé ! Infection Lop possible non traitée par cet outil !

    C:\ProgramData\Mail Proc Proc.o3b86 trouvé ! Infection Lop possible non traitée par cet outil !

    C:\ProgramData\Bash Remote Okay.2hxh4l trouvé ! Infection Lop possible non traitée par cet outil !

    C:\ProgramData\Mail Proc Proc.bbbchdd trouvé ! Infection Lop possible non traitée par cet outil !

    *** Analyse terminée le mer. 17/12/2008 à 22:12:58,70 ***
    0
  9. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    On avance.

    passe l'outil suivant.

    A+
    0
  10. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    voila appres nettoyage de l'infection (option 3)

    --------------------\\ Lop S&D 4.2.4-9c XP/Vista

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz )
    BIOS : Default System BIOS
    USER : User ( Administrator )
    BOOT : Normal boot
    Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Activated)
    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:298 Go (Free:177 Go)
    D:\ (CD or DVD) - UDF - Total:0 Go (Free:0 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
    Option : [3] ( mer. 17/12/2008|22:15 )

    [ UAC => 0 ]

    \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

    Supprime! - C:\ProgramData\third lies itch ford\Inside gram.exe
    Supprime! - C:\Program Files\BitTorrent Fastest Tool\BitDownload-4.5-setup.exe
    Supprime! - C:\Program Files\BitTorrent Fastest Tool\INSTALL.LOG
    Supprime! - C:\ProgramData\Mail Proc Proc.9s5yk
    Supprime! - C:\ProgramData\Mail Proc Proc.coquu
    Supprime! - C:\ProgramData\Mail Proc Proc.msanc
    Supprime! - C:\ProgramData\Mail Proc Proc.o3b86
    Supprime! - C:\ProgramData\Bash Remote Okay.2hxh4l
    Supprime! - C:\ProgramData\Mail Proc Proc.bbbchdd
    Supprime! - C:\ProgramData\third lies itch ford
    Supprime! - C:\Program Files\BitTorrent Fastest Tool
    Supprime! - C:\ProgramData\DRVKNO~1

    \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

    --------------------\\ Listing des dossiers dans Local

    [22/02/2007|19:19] C:\Users\User\AppData\Local\Adobe
    [28/07/2007|19:04] C:\Users\User\AppData\Local\Ahead
    [05/10/2007|18:58] C:\Users\User\AppData\Local\Apple
    [05/10/2007|19:01] C:\Users\User\AppData\Local\Apple Computer
    [31/01/2007|13:43] C:\Users\User\AppData\Local\Application Data
    [06/03/2008|20:11] C:\Users\User\AppData\Local\ApplicationHistory
    [26/04/2008|14:26] C:\Users\User\AppData\Local\d3d9caps.dat
    [12/12/2008|16:48] C:\Users\User\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [12/05/2008|16:09] C:\Users\User\AppData\Local\Downloaded Installations
    [01/06/2007|17:07] C:\Users\User\AppData\Local\eMule
    [13/04/2008|11:47] C:\Users\User\AppData\Local\ESET
    [09/08/2007|14:43] C:\Users\User\AppData\Local\fusioncache.dat
    [12/05/2008|20:20] C:\Users\User\AppData\Local\GDIPFONTCACHEV1.DAT
    [18/06/2007|16:50] C:\Users\User\AppData\Local\Google
    [31/01/2007|13:43] C:\Users\User\AppData\Local\Historique
    [17/12/2008|21:50] C:\Users\User\AppData\Local\IconCache.db
    [01/08/2007|20:40] C:\Users\User\AppData\Local\IM
    [12/08/2008|07:01] C:\Users\User\AppData\Local\kawyq.dat
    [04/10/2007|18:21] C:\Users\User\AppData\Local\kawyq_nav.dat
    [13/10/2007|14:26] C:\Users\User\AppData\Local\kawyq_navps.dat
    [11/08/2008|21:46] C:\Users\User\AppData\Local\kawyq_navup.dat
    [07/04/2007|16:22] C:\Users\User\AppData\Local\Microangelo Toolset 6
    [17/12/2008|22:12] C:\Users\User\AppData\Local\Microsoft
    [16/02/2007|17:25] C:\Users\User\AppData\Local\Microsoft Games
    [26/11/2007|19:32] C:\Users\User\AppData\Local\Paint.NET
    [13/06/2007|14:03] C:\Users\User\AppData\Local\Shareaza
    [09/08/2007|14:45] C:\Users\User\AppData\Local\SM
    [13/05/2008|19:34] C:\Users\User\AppData\Local\Stardock
    [26/04/2008|09:33] C:\Users\User\AppData\Local\SupportSoft
    [17/12/2008|22:15] C:\Users\User\AppData\Local\Temp
    [31/01/2007|13:43] C:\Users\User\AppData\Local\Temporary Internet Files
    [22/02/2007|19:19] C:\Users\User\AppData\Local\VirtualStore

    --------------------\\ Tâches planifiées dans C:\Windows\tasks

    [17/12/2008 13:50][--ah-----] C:\Windows\tasks\User_Feed_Synchronization-{1E52D023-723F-48FE-A4ED-DD8ED6D5089B}.job
    [17/12/2008 21:52][--ah-----] C:\Windows\tasks\SA.DAT
    [17/12/2008 21:51][--a------] C:\Windows\tasks\SCHEDLGU.TXT

    --------------------\\ Listing des dossiers dans C:\ProgramData

    [08/07/2007|12:12] C:\ProgramData\.zreglib
    [19/02/2007|19:16] C:\ProgramData\Adobe
    [28/07/2007|18:10] C:\ProgramData\Ahead
    [05/10/2007|18:58] C:\ProgramData\Apple
    [05/10/2007|18:59] C:\ProgramData\Apple Computer
    [02/11/2006|14:02] C:\ProgramData\Application Data
    [31/01/2007|13:40] C:\ProgramData\Bureau
    [02/11/2006|14:02] C:\ProgramData\Desktop
    [02/11/2006|14:02] C:\ProgramData\Documents
    [17/07/2007|13:52] C:\ProgramData\eBay
    [01/06/2007|17:28] C:\ProgramData\eMule
    [13/04/2008|11:21] C:\ProgramData\ESET
    [27/10/2008|22:33] C:\ProgramData\ezsidmv.dat
    [31/01/2007|13:40] C:\ProgramData\Favoris
    [02/11/2006|14:02] C:\ProgramData\Favorites
    [18/06/2007|16:49] C:\ProgramData\Google
    [19/02/2007|21:12] C:\ProgramData\hpzinstall.log
    [30/03/2008|14:43] C:\ProgramData\LauncherAccess.dt
    [31/01/2007|13:40] C:\ProgramData\Menu D‚marrer
    [10/12/2008|15:22] C:\ProgramData\Messenger Plus!
    [22/02/2007|20:18] C:\ProgramData\Microsoft
    [31/01/2007|13:40] C:\ProgramData\ModŠles
    [14/11/2008|14:01] C:\ProgramData\MSN6
    [12/05/2008|16:30] C:\ProgramData\NCH Software
    [01/05/2008|19:16] C:\ProgramData\NVIDIA
    [12/05/2008|16:10] C:\ProgramData\Pinnacle
    [12/05/2008|16:17] C:\ProgramData\Pinnacle VideoSpin
    [17/12/2008|18:15] C:\ProgramData\Simply Super Software
    [14/11/2008|09:53] C:\ProgramData\Skype
    [08/07/2007|11:24] C:\ProgramData\SlySoft
    [17/12/2008|17:04] C:\ProgramData\Spybot - Search & Destroy
    [02/11/2006|14:02] C:\ProgramData\Start Menu
    [17/12/2008|18:23] C:\ProgramData\TEMP
    [02/11/2006|14:02] C:\ProgramData\Templates
    [12/05/2008|16:13] C:\ProgramData\VideoSpin
    [12/05/2008|19:04] C:\ProgramData\vsosdk
    [02/07/2007|09:44] C:\ProgramData\WinZip
    [10/12/2008|14:52] C:\ProgramData\WLInstaller

    --------------------\\ Listing des dossiers dans C:\Program Files

    [10/05/2008|10:36] C:\Program Files\Activision
    [19/02/2007|19:16] C:\Program Files\Adobe
    [12/05/2007|08:54] C:\Program Files\adslTV
    [19/04/2008|11:10] C:\Program Files\AIDA32 - Enterprise System Information
    [08/07/2007|11:43] C:\Program Files\AIST
    [24/04/2008|18:46] C:\Program Files\Alcatel
    [22/12/2007|15:57] C:\Program Files\Ankama Games
    [05/10/2007|18:58] C:\Program Files\Apple Software Update
    [13/05/2008|20:09] C:\Program Files\Astonsoft
    [16/09/2008|16:20] C:\Program Files\AutoIt3
    [11/11/2007|16:21] C:\Program Files\AVIcodec
    [08/10/2007|17:31] C:\Program Files\Belkin
    [21/11/2008|14:30] C:\Program Files\BitLord
    [10/11/2007|12:10] C:\Program Files\CamStudio
    [14/11/2008|09:53] C:\Program Files\Common Files
    [21/11/2008|14:32] C:\Program Files\Conduit
    [19/02/2007|19:16] C:\Program Files\D-Link
    [17/12/2008|15:09] C:\Program Files\Dofus
    [09/04/2008|15:44] C:\Program Files\Dofus_Beta
    [07/11/2008|23:22] C:\Program Files\dofus2
    [24/08/2008|19:26] C:\Program Files\DofusArena2
    [04/12/2008|21:11] C:\Program Files\DofusBeta
    [22/03/2008|18:15] C:\Program Files\EA GAMES
    [17/07/2007|13:10] C:\Program Files\eBay
    [09/12/2007|11:02] C:\Program Files\eChanblard
    [09/12/2007|10:58] C:\Program Files\eMule
    [13/04/2008|11:24] C:\Program Files\ESET
    [10/11/2007|11:22] C:\Program Files\EuroPoker
    [17/12/2008|17:03] C:\Program Files\Everest Poker
    [30/03/2007|21:18] C:\Program Files\FDRLab
    [13/11/2008|16:19] C:\Program Files\Feneris
    [31/01/2007|13:40] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]
    [22/02/2007|19:18] C:\Program Files\Foxit Software
    [03/04/2008|15:36] C:\Program Files\Full Tilt Poker
    [22/06/2007|09:36] C:\Program Files\Google
    [15/07/2008|10:44] C:\Program Files\HyCam2
    [05/09/2007|17:53] C:\Program Files\IncrediMail
    [10/05/2008|10:51] C:\Program Files\InstallShield Installation Information
    [31/01/2007|14:01] C:\Program Files\Intel
    [19/04/2008|12:19] C:\Program Files\Intel Audio Studio
    [31/01/2007|14:07] C:\Program Files\Intel Desktop Board
    [10/12/2008|14:25] C:\Program Files\Internet Explorer
    [10/12/2008|14:15] C:\Program Files\Java
    [15/09/2008|20:00] C:\Program Files\JitBit
    [11/11/2007|16:29] C:\Program Files\K-Lite Codec Pack
    [31/03/2007|12:48] C:\Program Files\LimeWire
    [14/11/2008|14:00] C:\Program Files\Messenger
    [10/12/2008|15:18] C:\Program Files\Messenger Plus! Live
    [10/12/2008|14:34] C:\Program Files\MessengerDiscovery
    [03/04/2007|22:02] C:\Program Files\Microsoft Games
    [24/04/2008|17:47] C:\Program Files\Microsoft LifeCam
    [19/02/2007|21:42] C:\Program Files\Microsoft Office
    [19/02/2007|21:43] C:\Program Files\Microsoft Visual Studio
    [12/05/2008|20:13] C:\Program Files\Movie Maker
    [13/11/2008|16:14] C:\Program Files\Moyea
    [02/11/2006|13:37] C:\Program Files\MSBuild
    [16/11/2008|17:30] C:\Program Files\MSN
    [25/03/2007|15:44] C:\Program Files\MSXML 4.0
    [17/12/2008|22:13] C:\Program Files\Navilog1
    [14/05/2008|05:53] C:\Program Files\NCH Software
    [28/07/2007|18:08] C:\Program Files\Nero
    [30/07/2007|12:28] C:\Program Files\NVIDIA Corporation
    [03/06/2007|07:58] C:\Program Files\Packard Bell Magic Movie
    [31/03/2007|12:25] C:\Program Files\Paint.NET
    [31/03/2007|15:41] C:\Program Files\PANZERS - Phase1
    [31/03/2007|15:46] C:\Program Files\PANZERS - Phase2
    [02/12/2007|12:55] C:\Program Files\Personal Media Manager
    [25/12/2007|20:11] C:\Program Files\PhotoFiltre Studio
    [05/10/2007|18:59] C:\Program Files\QuickTime
    [02/11/2006|13:37] C:\Program Files\Reference Assemblies
    [27/02/2008|15:10] C:\Program Files\Samsung
    [20/09/2007|16:30] C:\Program Files\SecondLife
    [02/09/2007|13:45] C:\Program Files\Shareaza
    [25/11/2007|16:28] C:\Program Files\Sierra On-Line
    [31/01/2007|14:06] C:\Program Files\SigmaTel
    [08/09/2007|12:20] C:\Program Files\SimPE
    [08/07/2007|12:29] C:\Program Files\SlySoft
    [09/08/2007|14:43] C:\Program Files\SM
    [17/12/2008|15:19] C:\Program Files\Spybot - Search & Destroy
    [13/05/2008|19:34] C:\Program Files\Stardock
    [13/05/2008|19:23] C:\Program Files\statistik
    [02/11/2008|15:42] C:\Program Files\Sun
    [17/03/2008|18:05] C:\Program Files\Teamspeak2_RC2
    [21/11/2008|14:32] C:\Program Files\TorrentMan
    [17/12/2008|18:52] C:\Program Files\Trend Micro
    [17/12/2008|18:21] C:\Program Files\Trojan Remover
    [19/04/2008|13:06] C:\Program Files\Trust
    [02/11/2006|14:01] C:\Program Files\Uninstall Information
    [11/09/2008|16:32] C:\Program Files\uTorrent
    [01/12/2007|12:17] C:\Program Files\Veoh Networks
    [31/10/2008|00:56] C:\Program Files\Wakfu
    [29/09/2007|15:58] C:\Program Files\WebMediaPlayer
    [15/10/2008|13:33] C:\Program Files\WinamaxPoker
    [05/09/2007|13:14] C:\Program Files\Windows Calendar
    [02/11/2006|13:42] C:\Program Files\Windows Collaboration
    [11/04/2007|22:21] C:\Program Files\Windows Defender
    [02/11/2006|13:42] C:\Program Files\Windows Journal
    [10/12/2008|15:02] C:\Program Files\Windows Live
    [21/10/2008|18:35] C:\Program Files\Windows Live Safety Center
    [10/12/2008|14:25] C:\Program Files\Windows Mail
    [10/10/2007|13:31] C:\Program Files\Windows Media Player
    [31/01/2007|13:40] C:\Program Files\Windows NT
    [02/11/2006|13:42] C:\Program Files\Windows Photo Gallery
    [10/01/2008|20:46] C:\Program Files\Windows Sidebar
    [22/02/2007|19:18] C:\Program Files\WinRAR
    [02/07/2007|09:43] C:\Program Files\WinZip
    [13/11/2008|16:09] C:\Program Files\YouTUBE (TM) movie downloader

    --------------------\\ Listing des dossiers dans C:\Program Files\Common Files

    [19/02/2007|21:43] C:\Program Files\Common Files\Designer
    [08/07/2007|11:42] C:\Program Files\Common Files\InstallShield
    [10/11/2007|12:10] C:\Program Files\Common Files\InternalLib
    [31/03/2007|12:46] C:\Program Files\Common Files\Java
    [10/12/2008|14:52] C:\Program Files\Common Files\microsoft shared
    [19/04/2008|13:06] C:\Program Files\Common Files\PAC207
    [19/04/2008|13:01] C:\Program Files\Common Files\PAC7311
    [19/04/2008|13:06] C:\Program Files\Common Files\Remove64C
    [19/04/2008|13:06] C:\Program Files\Common Files\RemoveC
    [02/11/2006|12:18] C:\Program Files\Common Files\Services
    [02/11/2006|12:18] C:\Program Files\Common Files\SpeechEngines
    [26/04/2008|09:33] C:\Program Files\Common Files\SupportSoft
    [18/06/2007|16:38] C:\Program Files\Common Files\System
    [10/12/2008|15:02] C:\Program Files\Common Files\WindowsLiveInstaller

    --------------------\\ Process

    ( 60 Processes )

    ... OK !

    --------------------\\ Recherche avec S_Lop

    Aucun fichier / dossier Lop trouvé !

    --------------------\\ Recherche de Fichiers / Dossiers Lop

    Aucun fichier / dossier Lop trouvé !

    --------------------\\ Verification du Registre

    ..... OK !

    --------------------\\ Verification du fichier Hosts

    Fichier Hosts PROPRE

    --------------------\\ Recherche de fichiers avec Catchme

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-17 22:16:02
    Windows 6.0.6000 NTFS
    scanning hidden processes ...
    scanning hidden files ...
    C:\Users\User\AppData\Local\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : Boit@Look.lnk 1277 bytes hidden from API
    scan completed successfully
    hidden processes: 0
    hidden files: 35

    --------------------\\ Recherche d'autres infections

    C:\Program Files\WebMediaPlayer
    C:\Program Files\WebMediaPlayer\Conditions g‚n‚rales.url
    C:\Program Files\WebMediaPlayer\Confidentialit‚.url
    C:\Program Files\WebMediaPlayer\resources
    C:\Program Files\WebMediaPlayer\skins
    C:\Program Files\WebMediaPlayer\sqlite3.dll
    C:\Program Files\WebMediaPlayer\uninst.exe
    C:\Program Files\WebMediaPlayer\updates
    C:\Program Files\WebMediaPlayer\WebMediaPlayer.exe
    C:\Program Files\WebMediaPlayer\Website.url
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Conditions g‚n‚rales.lnk
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Confidentialit‚.lnk
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\WebMediaPlayer.lnk
    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\WebMediaPlayer\Website.lnk
    C:\Windows\System32\nvs2.inf

    C:\Users\User\AppData\Local\kawyq.dat
    C:\Users\User\AppData\Local\kawyq_nav.dat
    C:\Users\User\AppData\Local\kawyq_navps.dat
    C:\Users\User\AppData\Local\kawyq_navup.dat
    [b]==> EGDACCESS <==/b

    --------------------\\ ROGUES ..

    C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Spyware-Secure

    --------------------\\ Cracks & Keygens ..

    C:\Users\User\Downloads\eMule\Incoming\ Unreal Tournament 2004 - 3186 NoCD & Multiplayer Crack + Keygen.zip
    C:\Users\User\Downloads\eMule\Incoming\!!!!!! Crack NO CD- NO DVD FR IT DE EN CALL OF DUTY 4 (PC) OK !!!!.rar

    [F:2265][D:199]-> C:\Users\User\AppData\Local\Temp
    [F:106][D:1]-> C:\Users\User\AppData\Roaming\MICROS~1\Windows\Cookies
    [F:1][D:4]-> C:\Users\User\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
    [F:3][D:3]-> C:\$Recycle.Bin

    1 - "C:\Lop SD\LopR_1.txt" - mer. 17/12/2008|21:37 - Option : [1]
    2 - "C:\Lop SD\LopR_2.txt" - mer. 17/12/2008|22:17 - Option : [3]

    --------------------\\ Fin du rapport a 22:17:43
    [ UAC => 1 ]
    0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) LopS&D a réactivé le controle des comptes utilisateurs.
    Il faut donc que tu refasses la manip ( parie 1 )du message :
    http://www.commentcamarche.net/forum/affich 9960013 trojan cheval de troie?#6
    LopS&D est le seul logiciel qui oblige de refaire cette manip.

    2) Télécharge navilog d'il mafioso.
    http://il.mafioso.pagesperso-orange.fr/Navifix/Navilog1.exe

    Installe Navilog. Un raccourci sera crée sur ton bureau.

    Pour la suite, comme tu as vista, il faut exécuter Navilog en tant qu’administrateur de ton PC.
    Click droit sur le raccourci du bureau et tu choisis « executer en tant qu’administrateur »

    Navilog s’est lancé. Tu choisis l'option 1.
    Une fois l’analyse terminée, un rapport va s’ouvrir dans le bloc-notes.
    Tu copies et colles le texte de ce rapport dans ton prochain message.

    A+
    0
  12. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    Search Navipromo version 3.7.0 commencé le mer. 17/12/2008 à 22:38:37,13

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz )
    BIOS : Default System BIOS
    USER : User ( Administrator )
    BOOT : Normal boot

    Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:298 Go (Free:177 Go)
    D:\ (CD or DVD) - UDF - Total:0 Go (Free:0 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    ...\WebMediaPlayer trouvé !

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    ...\WebMediaPlayer trouvé !

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "c:\users\user\appdata\roaming\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "C:\Users\User\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\User\AppData\Roaming" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\User\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\User\AppData\Local\virtualstore\windows\system32" *

    * Recherche dans "C:\Users\User\AppData\Local" *

    *** Recherche fichiers ***

    C:\Windows\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\User\AppData\Local\Microsoft" :

    * Dans "C:\Users\User\AppData\Local\virtualstore\windows\system32" :

    * Dans "C:\Users\User\AppData\Local" :

    kawyq.dat trouvé !
    kawyq_nav.dat trouvé !
    kawyq_navps.dat trouvé !
    kawyq_navup.dat trouvé !

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :

    *** Analyse terminée le mer. 17/12/2008 à 22:51:50,60 ***
    0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Click droit sur le raccourci du bureau de Navilog et choisis " executer en tant qu'administrateur ".
    Tu choisis l'option 2.
    Ton PC va redémarrer. C'est normal. Pour cela, tu fermes toutes les fenêtres ouvertes.

    Après redémarrage, choisis ton compte. Un rapport va s'afficher.

    Tu copies/ colles ce rapport dans ton prochain message, ainsi qu'un rapport HijackThis ( Si sous Vista --> click droit et " executer en tant qu'administrateur " )

    A+
    0
  14. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    le rapport hijackthis arrive

    Clean Navipromo version 3.7.0 commencé le mer. 17/12/2008 à 23:05:41,31

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

    Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz )
    BIOS : Default System BIOS
    USER : User ( Administrator )
    BOOT : Normal boot

    Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:298 Go (Free:177 Go)
    D:\ (CD or DVD) - UDF - Total:0 Go (Free:0 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Nettoyage exécuté au redémarrage de l'ordinateur

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\Windows\System32" *

    * Suppression dans "C:\Users\User\AppData\Local\Microsoft" *

    * Suppression dans "C:\Users\User\AppData\Local\virtualstore\windows\system32" *

    * Suppression dans "C:\Users\User\AppData\Local" *

    *** Suppression dossiers dans "C:\Windows" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    ...\WebMediaPlayer ...suppression...
    ...\WebMediaPlayer supprimé !

    *** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    ...\WebMediaPlayer ...suppression...
    ...\WebMediaPlayer supprimé !

    *** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Suppression dossiers dans "C:\ProgramData" ***

    *** Suppression dossiers dans c:\users\user\appdata\roaming\micros~1\windows\startm~1\programs ***

    *** Suppression dossiers dans "C:\Users\User\AppData\Local\virtualstore\Program Files" ***

    *** Suppression dossiers dans "C:\Users\User\AppData\Roaming" ***

    *** Suppression fichiers ***

    C:\Windows\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\Windows\Temp effectué !
    Nettoyage contenu C:\Users\User\AppData\Local\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\Windows\system32" *

    * Dans "C:\Users\User\AppData\Local\Microsoft" *

    * Dans "C:\Users\User\AppData\Local\virtualstore\windows\system32" *

    * Dans "C:\Users\User\AppData\Local" *

    kawyq.dat trouvé !
    Copie kawyq.dat réalisée avec succès !
    kawyq.dat supprimé !

    kawyq_nav.dat trouvé !
    Copie kawyq_nav.dat réalisée avec succès !
    kawyq_nav.dat supprimé !

    kawyq_navps.dat trouvé !
    Copie kawyq_navps.dat réalisée avec succès !
    kawyq_navps.dat supprimé !

    kawyq_navup.dat trouvé !
    Copie kawyq_navup.dat réalisée avec succès !
    kawyq_navup.dat supprimé !

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Recherche autres dossiers et fichiers connus ***

    *** Nettoyage terminé le mer. 17/12/2008 à 23:10:17,19 ***
    0
  15. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    rapport hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:13:25, on 17/12/2008
    Platform: Windows Vista (WinNT 6.00.1904)
    MSIE: Internet Explorer v7.00 (7.00.6000.16764)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Windows\sttray.exe
    C:\Windows\vVX1000.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Trojan Remover\Trjscan.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Windows\system32\ntvdm.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\wuauclt.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Program Files\Intel Audio Studio\IntelAudioStudio.exe" TRAY
    O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
    O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
    O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SourisLancement] c:\souris.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: Event Reminder.lnk = C:\pmw\PMREMIND.EXE
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O13 - Gopher Prefix:
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-be.cab
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
    O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Windows\System32\STacSV.exe
    0
  16. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
    Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    Le scan dure en moyenne 50 mn.

    A+
    0
  17. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1456
    Windows 6.0.6000

    18/12/2008 0:33:05
    mbam-log-2008-12-18 (00-33-05).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 175963
    Temps écoulé: 1 hour(s), 5 minute(s), 21 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Spyware-Secure.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Website.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
    C:\Users\User\14382_02.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\Users\User\aida32ee_393.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  18. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    En tout cas un grand merci pour votre aide ;)
    0
  19. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    Est-ce qu'il faut faire quelque chose? merci d'avance
    0
  20. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu n'as pas de parefeu sur ton PC, à moins que tu n'utilises celui de vista.
    C'est une faille énorme de sécurité.
    Il faudra en installer un.
    A propos des protections, tu as deux antispywares d'actifs. A éviter.

    Le SP1 n'est pas installé. A faire.
    Même manip sans doute pour d'autres logiciels à mettre à jour.

    oui, il reste encore des choses à faire.

    Lance un scan complet avec Nod32 et poste le rapport.

    On verra la suite après.

    A+
    0
  21. ScaryMovie888 Messages postés 114 Statut Membre 6
     
    aufaite plus tôt dans la matinée j'ai fais un scan avec spybot il a trouver 8 browser et un élément pups et j'ai tout nettoyé (scan nod32 a 99% pour l'instant)
    0
  • 1
  • 2
  • 3
  • 4