Virus

[soti33]

Bonjour, j'ai apparemment chopé un virus qui me coupe internet très régulilèrement dans la journée (environ toutes les 10mins).

J'ai fais une analyse avec Bitdefender :

 

Statistiques

 

Chemin cible: C:\

F:\

Dossiers : 15430

Fichiers : 666155

Archives : 10529

Fichiers empaquetés : 58783

Virus trouvés : 5

Fichiers infectés : 9

Alertes : 0

Fichiers suspects : 0

Fichiers désinfectés : 0

Fichiers effacés : 0

Fichiers copiés : 0

Fichiers déplacés : 4

Fichiers renommés : 0

Erreurs I/O : 32

Temps d'analyse := 01:53:57

Fichiers/seconde :97

 

Définitions virus : 503847

Plugins d'analyse : 14

Plugins archives : 38

Plug-ins décompression : 6

Plug-ins messagerie : 6

Plug-ins système : 1

 

Options d'analyse

 

Détection

[X] Analyser le secteur de boot

[X] Analyser les archives

[X] Analyser les fichiers en paquets

[X] Analyser la messagerie

 

Masque fichiers

[ ] Programmes

[X] Tous les fichiers

[ ] Extensions définies par l'utilisateur:

[ ] Exclure les extensions: ;

 

Action

 

Objets infectés

[ ] Ignorer

[X] Désinfecter

[ ] Effacer

[ ] Copier

[ ] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Seconde action

[ ] Ignorer

[ ] Effacer

[ ] Copier

[X] Déplacer dans le dossier infectés

[ ] Renommer

[ ] Demander l'action

 

Options d'analyse

[X] Activer les alertes

[X] Activer l'heuristique

[ ] Afficher tous les fichiers dans le journal

[X] Fichier journal : vscan.log

[ ] Rajouter au rapport existant

 

Sommaire :

 

C:\Documents and Settings\Louloute et Mimi\Local Settings\Application Data\Mozilla\Firefox\Profiles\dzcnian9.default\Cache(3)\6551902Cd01=>(NSIS 2o)=>lzma_solid_nsis0009 Infectés avec Backdoor.Skinymes.Agent.A

C:\Documents and Settings\Louloute et Mimi\Local Settings\Application Data\Mozilla\Firefox\Profiles\dzcnian9.default\Cache(3)\6551902Cd01=>(NSIS 2o)=>lzma_solid_nsis0009 Désinfection impossible

C:\Documents and Settings\Louloute et Mimi\Local Settings\Application Data\Mozilla\Firefox\Profiles\dzcnian9.default\Cache(3)\6551902Cd01=>(NSIS 2o)=>lzma_solid_nsis0009 Déplacement impossible

C:\Documents and Settings\Louloute et Mimi\Local Settings\Temp\l8iwthiz.exe Détecté: Dialer.Porn.BB

C:\Documents and Settings\Louloute et Mimi\Local Settings\Temp\l8iwthiz.exe Désinfection impossible

C:\Documents and Settings\Louloute et Mimi\Local Settings\Temp\l8iwthiz.exe Déplacé

C:\Program Files\Softwin\BitDefender8\Quarantine\egaccess4_1065.dll Infectés avec DeepScan:Generic.Dialer.7762AD77

C:\Program Files\Softwin\BitDefender8\Quarantine\egaccess4_1065.dll Désinfection impossible

C:\Program Files\Softwin\BitDefender8\Quarantine\egaccess4_1065.dll Déplacement impossible

C:\WINDOWS\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009 Infectés avec Backdoor.Skinymes.Agent.A

C:\WINDOWS\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009 Désinfection impossible

C:\WINDOWS\pack.epk=>(NSIS 2g)=>lzma_solid_nsis0009 Déplacement impossible

C:\WINDOWS\system32\EGACCESS.dll Infectés avec DeepScan:Generic.Dialer.399ED41B

C:\WINDOWS\system32\EGACCESS.dll Désinfection impossible

C:\WINDOWS\system32\EGACCESS.dll Déplacé

C:\WINDOWS\system32\egaccess4_1065.dll Infectés avec DeepScan:Generic.Dialer.7762AD77

C:\WINDOWS\system32\egaccess4_1065.dll Désinfection impossible

C:\WINDOWS\system32\egaccess4_1065.dll Déplacé

C:\WINDOWS\system32\egaccess4_1066.dll Infectés avec DeepScan:Generic.Dialer.399ED41B

C:\WINDOWS\system32\egaccess4_1066.dll Désinfection impossible

C:\WINDOWS\system32\egaccess4_1066.dll Déplacé

C:\WINDOWS\Temp\install_msgskinner.exe=>(NSIS o)=>lzma_solid_nsis0009 Infectés avec Backdoor.Skinymes.Agent.A

C:\WINDOWS\Temp\install_msgskinner.exe=>(NSIS o)=>lzma_solid_nsis0009 Désinfection impossible

C:\WINDOWS\Temp\install_msgskinner.exe=>(NSIS o)=>lzma_solid_nsis0009 Déplacement impossible

C:\WINDOWS\Temp\install_msk.exe=>(NSIS o)=>lzma_solid_nsis0006 Infectés avec Trojan.Skintrim.AJ

C:\WINDOWS\Temp\install_msk.exe=>(NSIS o)=>lzma_solid_nsis0006 Désinfection impossible

C:\WINDOWS\Temp\install_msk.exe=>(NSIS o)=>lzma_solid_nsis0006 Déplacement impossible

 

Et une analyse avec Navilog :

 

Search Navipromo version 1.1.6 commencé le 04/05/2007 à 20:42:46,77

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Documents and Settings\Louloute et Mimi\Bureau\navilog1

Mise a jour le 02.05.2007 a 08h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

C:\WINDOWS\msskinner trouvé !

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

C:\Program Files\MailSkinner trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Louloute et Mimi\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\tmlpcert2007 trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

C:\WINDOWS\system32\linewsrv.exe trouvé !

C:\WINDOWS\system32\mwsrvacc.exe trouvé !

C:\WINDOWS\system32\prosvsys.exe trouvé !

C:\WINDOWS\system32\prodsrvs.exe trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

C:\WINDOWS\system32\egaccess4_1065.dll REG_DWORD 0x1

C:\WINDOWS\system32\egaccess4_1066.dll REG_DWORD 0x1

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1065.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1066.dll

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\mc trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\hcuigkrxqs.dat trouvé !

C:\WINDOWS\system32\idcmbtlyj.dat trouvé !

C:\WINDOWS\system32\sfypbah.dat trouvé !

C:\WINDOWS\system32\toaixhr.dat trouvé !

**

C:\WINDOWS\system32\hcuigkrxqs.dat trouvé !

C:\WINDOWS\system32\idcmbtlyj.dat trouvé !

C:\WINDOWS\system32\sfypbah.dat trouvé !

C:\WINDOWS\system32\toaixhr.dat trouvé !

***

****

C:\WINDOWS\system32\hcuigkrxqs_navps.dat trouvé !

C:\WINDOWS\system32\idcmbtlyj_navps.dat trouvé !

C:\WINDOWS\system32\sfypbah_navps.dat trouvé !

C:\WINDOWS\system32\toaixhr_navps.dat trouvé !

*****

C:\WINDOWS\system32\hcuigkrxqs_nav.dat trouvé !

C:\WINDOWS\system32\idcmbtlyj_nav.dat trouvé !

C:\WINDOWS\system32\sfypbah_nav.dat trouvé !

C:\WINDOWS\system32\toaixhr_nav.dat trouvé !

C:\WINDOWS\system32\ckzajsq_navtmp.dat trouvé !

C:\WINDOWS\system32\glemjxpqc_navtmp.dat trouvé !

******

*******

C:\WINDOWS\system32\prodsrvs.exe trouvé !

********

C:\WINDOWS\system32\hcuigkrxqs.exe trouvé !

C:\WINDOWS\system32\linewsrv.exe trouvé !

C:\WINDOWS\system32\mwsrvacc.exe trouvé !

C:\WINDOWS\system32\prodsrvs.exe trouvé !

C:\WINDOWS\system32\prosvsys.exe trouvé !

 

 

*** Analyse Terminé le 04/05/2007 à 20:54:04,30 ***

 

Je suis aussi allé sur le site de Malekal mais vu que j'ai plusieurs fichiers différents trouvés par blacklight, je ne sais pas trop quoi faire.

Pouvez vous m'aider? Merci

[Malekal_morte]

Suis la procédure avec navilog1 décrite ici : http://www.malekal.com/Adware.Magic_Control.html

 

Cette procédure doit être suivie à la lettre.

Pour la partie éradication, la suite de lettres est : hcuigkrxqs

 

Merci de copier/coller les rapports obtenus en suivant la procédure.

[soti33]

Avant tout merci pour la rapidité de votre réponse.

 

Voici le rapport obtenu :

 

Clean Navipromo version 1.1.6 commencé le 05/05/2007 à 8:46:20,29

 

Fix lancé depuis C:\Documents and Settings\Louloute et Mimi\Bureau\navilog1

Mise a jour le 02.05.2007 a 08h00 by IL-MAFIOSO

 

Executé en mode sans echec

 

Mode suppression par méthode manuelle

 

Nom du fichier saisi : hcuigkrxqs

 

*** Recherche, Creation backups et suppression ***

 

C:\WINDOWS\system32\hcuigkrxqs_navup.dat absent !

C:\WINDOWS\system32\hcuigkrxqs_navtmp.dat absent !

C:\WINDOWS\system32\hcuigkrxqs_m2s.xml absent !

C:\WINDOWS\prefetch\hcuigkrxqs*.pf absent !

 

C:\WINDOWS\system32\hcuigkrxqs.exe trouvé !

Copie C:\WINDOWS\system32\hcuigkrxqs.exe realise avec succes !

C:\WINDOWS\system32\hcuigkrxqs.exe supprimé !

 

C:\WINDOWS\system32\hcuigkrxqs.dat trouvé !

Copie C:\WINDOWS\system32\hcuigkrxqs.dat realise avec succes !

C:\WINDOWS\system32\hcuigkrxqs.dat supprimé !

 

C:\WINDOWS\system32\hcuigkrxqs_nav.dat trouvé !

Copie C:\WINDOWS\system32\hcuigkrxqs_nav.dat realise avec succes !

C:\WINDOWS\system32\hcuigkrxqs_nav.dat supprimé !

 

C:\WINDOWS\system32\hcuigkrxqs_navps.dat trouvé !

Copie C:\WINDOWS\system32\hcuigkrxqs_navps.dat realise avec succes !

C:\WINDOWS\system32\hcuigkrxqs_navps.dat supprimé !

 

*** Suppression dossiers dans C:\WINDOWS ***

 

C:\WINDOWS\msskinner ...suppression...

C:\WINDOWS\msskinner supprimé !

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Louloute et Mimi\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\tmlpcert2007 supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

C:\WINDOWS\system32\linewsrv.exe supprimé !

C:\WINDOWS\system32\mwsrvacc.exe supprimé !

C:\WINDOWS\system32\prosvsys.exe supprimé !

C:\WINDOWS\system32\prodsrvs.exe supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Louloute et Mimi\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre realise avec succes !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

C:\WINDOWS\System32\idcmbtlyj.dat trouvé !

Copie C:\WINDOWS\system32\idcmbtlyj.dat realise avec succes !

C:\WINDOWS\system32\idcmbtlyj.dat supprimé !

 

C:\WINDOWS\System32\sfypbah.dat trouvé !

Copie C:\WINDOWS\system32\sfypbah.dat realise avec succes !

C:\WINDOWS\system32\sfypbah.dat supprimé !

 

C:\WINDOWS\System32\toaixhr.dat trouvé !

Copie C:\WINDOWS\system32\toaixhr.dat realise avec succes !

C:\WINDOWS\system32\toaixhr.dat supprimé !

 

**

***

****

C:\WINDOWS\System32\idcmbtlyj_navps.dat trouvé !

Copie C:\WINDOWS\system32\idcmbtlyj_navps.dat realise avec succes !

C:\WINDOWS\system32\idcmbtlyj_navps.dat supprimé !

 

C:\WINDOWS\System32\sfypbah_navps.dat trouvé !

Copie C:\WINDOWS\system32\sfypbah_navps.dat realise avec succes !

C:\WINDOWS\system32\sfypbah_navps.dat supprimé !

 

C:\WINDOWS\System32\toaixhr_navps.dat trouvé !

Copie C:\WINDOWS\system32\toaixhr_navps.dat realise avec succes !

C:\WINDOWS\system32\toaixhr_navps.dat supprimé !

 

*****

C:\WINDOWS\System32\idcmbtlyj_nav.dat trouvé !

Copie C:\WINDOWS\system32\idcmbtlyj_nav.dat realise avec succes !

C:\WINDOWS\system32\idcmbtlyj_nav.dat supprimé !

 

C:\WINDOWS\System32\sfypbah_nav.dat trouvé !

Copie C:\WINDOWS\system32\sfypbah_nav.dat realise avec succes !

C:\WINDOWS\system32\sfypbah_nav.dat supprimé !

 

C:\WINDOWS\System32\toaixhr_nav.dat trouvé !

Copie C:\WINDOWS\system32\toaixhr_nav.dat realise avec succes !

C:\WINDOWS\system32\toaixhr_nav.dat supprimé !

 

C:\WINDOWS\System32\ckzajsq_navtmp.dat trouvé !

Copie C:\WINDOWS\system32\ckzajsq_navtmp.dat realise avec succes !

C:\WINDOWS\system32\ckzajsq_navtmp.dat supprimé !

 

C:\WINDOWS\System32\glemjxpqc_navtmp.dat trouvé !

Copie C:\WINDOWS\system32\glemjxpqc_navtmp.dat realise avec succes !

C:\WINDOWS\system32\glemjxpqc_navtmp.dat supprimé !

 

******

*******

********

 

*** Nettoyage termine le 05/05/2007 à 8:49:06,57 ***

 

Apriori j'ai plus de problèmes! Merci beaucoup.

 

Par contre, je me demande comment j'ai pu attraper ce virus, je fais très attention à ce que j'ouvre comme pièces jointes etc...

[Malekal_morte]

- Télécharge HiJackThis de Merijn sur ton bureau.

- Renomme le fichier HiJackThis.exe en Scanner.exe pour cela, fais un clic droit sur le fichier HiJackThis.exe et choisis renommer dans la liste

- Tape Scanner.exe et Appuye sur la touche Entrée.

- Génère un rapport en suivant ces indications :

- Double-clic sur Scanner.exe

- Exécute le et clique sur Do a scan and save log file.

- Le rapport s'ouvre sur le Bloc-Note

- Colle le rapport ici, pour cela :

- Menu Edition / Selectionner Tout

- Menu Edition / copier

- Ici dans un nouveau message : clic droit / coller

Aide : N'hésite pas à consulter l'aide HiJackThis -

[soti33]

Je me suis un peu emballé tout à l'heure, ça ne marche toujours pas apparemment.

 

Voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:58:01, on 05/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AutoMate 5\AutoMate5Svc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ASUS\Probe\AsusProb.exe

F:\FTP\Tools\Logiciels\cascadslgfx\CascADSL.exe

C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe

C:\Program Files\SuperCopier\SuperCopier.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Iconoid\iconoid.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\taskmgr.exe

C:\Program Files\TribalWeb.net\tribalweb.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender8\vsserv.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\PROGRA~1\INCRED~1\bin\IncMail.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Louloute et Mimi\Bureau\hijackthis\Scanner.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: (no name) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [Casc'ADSL] F:\FTP\Tools\Logiciels\cascadslgfx\CascADSL.exe

O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\bdoesrv.exe

O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [superCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [iconoid] "C:\Program Files\Iconoid\iconoid.exe" -wait 0

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe

O4 - Startup: TribalWeb.net.lnk = C:\Program Files\TribalWeb.net\tribalweb.exe

O4 - Global Startup: taskmgr.exe

O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT

O8 - Extra context menu item: Download All Links with IDM - C:\DOCUME~1\LOULOU~1\LOCALS~1\Temp\Rar$EX00.492\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\DOCUME~1\LOULOU~1\LOCALS~1\Temp\Rar$EX00.492\IEExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{42F7AEBB-6C23-46B0-9DF5-80F2E27F9E5F}: NameServer = 84.103.237.140 86.64.145.140

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter: text/html - (no CLSID) - (no file)

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll

O23 - Service: AutoMate 5 (AutoMate5) - Unisyn Software, LLC - C:\Program Files\AutoMate 5\AutoMate5Svc.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[soti33]

J'ai aussi essayé la 2ème méthode avec le Ashampoo Anti-Spyware mais le RootKit Detector ne me trouve rien.

[toutoune]

Salut ! Je comprend pas, ta trouvé 5 virus avec bitdefender et tu peux pas t'en débarasser ?

[soti33]

Oui c'est bien ça. Mais je cherche principalement à virer celui qui me coupe ma connexion internet

[soti33]

J'ai refait une analyse avec navilog et je n'ai apparemment plus d'erreur à part dans le registre :

 

Search Navipromo version 1.1.6 commencé le 05/05/2007 à 17:58:16,75

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Documents and Settings\Louloute et Mimi\Bureau\navilog1

Mise a jour le 02.05.2007 a 08h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Louloute et Mimi\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

C:\WINDOWS\system32\egaccess4_1065.dll REG_DWORD 0x1

C:\WINDOWS\system32\egaccess4_1066.dll REG_DWORD 0x1

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

 

 

*** Analyse Terminé le 05/05/2007 à 18:09:47,67 ***

 

Quelqu'un peut me dire quoi faire car internet coupe toujours

[Malekal_morte]

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Toujours sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

Pour effectuer les scans, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

 

Scan en ligne avec Kaspersky :

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.

- Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Scan le poste de travail

- Copie/colle le rapport du scan ici

 

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda :

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici