Pré nettoyage effectué, rapport hijackthis

ithyne · le 10 juillet 2007

Bonjour,

J'ai un windows xp qui défaille : rapidement la barre des taches se bloque, puis les applications rament, puis tout rame on ne peut plus rien faire. Etrange : le pc ne plante pas si une application genre defragmenteur ou scan de virus tourne. Etrange bis : apparemment en mode sans echec tout va bien.

J'ai suivi la procédure de prénettoyage indiquée. Je ne lis pas assez bien le rapport hijackthis pour m'être utile, alors je vous le confie ^^

Logfile of HijackThis v1.99.1

Scan saved at 12:22:18, on 10/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Securitoo\av_fw\fswsclds.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HjackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll

O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [irkjmebghx] c:\windows\system32\irkjmebghx.exe irkjmebghx

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /M "Stylus DX3800" /EF "HKCU"

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: HDD temperature.lnk = C:\Program Files\PalickSoft\HDD Temperature\HDDTemperature.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 2.0\resources\fr-FR\local\search.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 2.0\aoltb.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: Mah Jong Garden by pogo - http://game1.pogo.com/applet-6.8.0.25/mahj...hjong-fr_FR.cab

O16 - DPF: Squelchies by pogo - http://game1.pogo.com/applet-6.8.0.32/sque...chies-fr_FR.cab

O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab

O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} - http://aolcc.aol.fr/computercheckup/qdiagcc.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.av.fr.aol.com/molbin/share...84/mcinsctl.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1100179122359

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://jeuxvideo.wanadoo.fr/components/Metaboli.ocx

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1169918633312

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.av.fr.aol.com/molbin/share...,21/mcgdmgr.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HDD Temperature (HDDTService) - Unknown owner - C:\Program Files\PalickSoft\HDD Temperature\HDDTSvc.exe (file missing)

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Merci =)

herve8 · le 10 juillet 2007

Bonjour,

Je ne connais pas grand chose non plus a hijackthis, mais quand j ai un doute je fais comme toi j'utilise ce logiciel. Je fais une copie du rapport et je fais une analyse en ligne.

Voici le lien : http://www.hijackthis.de/fr

J'ai pu recuper ton log et je l'ai passer sur ce site.

Regarde un peu a cette ligne :

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

Si tu dois supprimer cette ligne , retourne dans le logiciel , clic sur la case a gauche et clic ensuite sur fixcheck ( en anglais).

Ceraines personnes diront qu'il faut se méfier mais pour moi c'est deja une bonne méthode si on prend le temps de vérifier sur zébulon si c'est Ok

Bon courage Hervé

ithyne · le 10 juillet 2007

Bonjour

Oui, je connais ce site qui m'a permis de cibler plusieurs lignes deja suspectes.

Quant à SweetIm (au cas où un jour tu tombes dessus, ce qui est peu probable si tu ne le telecharges pas de toi même, mais sait on jamais ^^) c'est un programme bénin.

Merci =)

Thanos · le 10 juillet 2007

salut ithyne, herve8

C'est vrai qu'on aime pas cet analyseur...pourquoi? parce qu'il laisse passer certaines entrées qui pourtant sont liées à des malwares! Par exemple, si je copie/colle ton rapport chez hijackthis.de/fr, voilà ce qu'il détecte >

04 - HKLM\..\Run: [irkjmebghx] c:\windows\system32\irkjmebghx.exe irkjmebghx Programme inconnu.

pourtant il s'agit là d'un reste de l'infection Magic Control Agent!! c'est pour cela qu'il ne faut pas se fier à l'analyse du robot!! il considère que c'est un programme inconnu

Par contre pour cette entrée >

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

il met l'avertissement Nasty (méchant/mauvais)

Si tu te fies à cette base de données très sérieuse, SweetIM For Internet Explorer est seulement estampillé comme Open to debate (sujet à caution).... > http://www.castlecops.com/tk29013-toolbar_dll.html

Afin de voir si l'infection est encore présente sur le pc, poste ce rapport stp >

Fais un clic droit sur ce lien > navilog1 de IL-MAFIOSO

Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Note: il y une trace de l'antivirus Norman sur ton pc: désinstalle le !

Modifié le 10 juillet 2007 par charles ingals

ithyne · le 10 juillet 2007

Bonsoir

Voici le rapport :

Search Navipromo version 2.0.5 commencé le 10/07/2007 à 23:24:51,68

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Dominique\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

[+] Started on 07/10/07 at 23:24:53.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items .........................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 07/10/07 at 23:31:13 (return code = 0).

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1063.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1064.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1066.dll

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-1202660629-73586283-725345543-1004\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

C:\WINDOWS\system32\irkjmebghx.dat trouvé !

**

C:\WINDOWS\system32\irkjmebghx.dat trouvé !

***

****

C:\WINDOWS\system32\irkjmebghx_navps.dat trouvé !

*****

C:\WINDOWS\system32\irkjmebghx_nav.dat trouvé !

C:\WINDOWS\system32\irkjmebghx_navup.dat trouvé !

******

*******

********

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse Terminé le 10/07/2007 à 23:31:36,09 ***

(C'est pour ça que je n'arrivais pas à savoir ce qu'est irkjmebghx... )

Merci =)

Thanos · le 10 juillet 2007

re!

L'infection est bien présente et le responsable en est MessengerSkinner!! tu dois certainement avoir des pubs lorsque tu surfes? voilà qui va t'en débarrasser ! >

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
Referme le bloc note. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Si tu ne trouve pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

Après ca, fais ce rapport stp >

Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

Modifié le 10 juillet 2007 par charles ingals

ithyne · le 10 juillet 2007

Le rapport de Navilog :

Clean Navipromo version 2.0.5 commencé le 10/07/2007 à 23:52:12,26

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Dominique\Application Data ***

...\Application Data\MessengerSkinner ...suppression...

...\Application Data\MessengerSkinner supprimé !

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Dominique\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*

C:\WINDOWS\System32\irkjmebghx.dat trouvé !

Copie C:\WINDOWS\system32\irkjmebghx.dat réalise avec succes !

C:\WINDOWS\system32\irkjmebghx.dat supprimé !

**

***

****

C:\WINDOWS\System32\irkjmebghx_navps.dat trouvé !

Copie C:\WINDOWS\system32\irkjmebghx_navps.dat réalise avec succes !

C:\WINDOWS\system32\irkjmebghx_navps.dat supprimé !

*****

C:\WINDOWS\System32\irkjmebghx_nav.dat trouvé !

Copie C:\WINDOWS\system32\irkjmebghx_nav.dat réalise avec succes !

C:\WINDOWS\system32\irkjmebghx_nav.dat supprimé !

C:\WINDOWS\System32\irkjmebghx_navup.dat trouvé !

Copie C:\WINDOWS\system32\irkjmebghx_navup.dat réalise avec succes !

C:\WINDOWS\system32\irkjmebghx_navup.dat supprimé !

******

*******

********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 10/07/2007 à 23:54:28,56 ***

Le rapport de DiagHelp (euh dans le doute, j'ai fais les choix 1 et 2 ) :

1

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 10/07/2007 à 23:55:43,28

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\ntfs.sys -->09/02/2007 13:10:35

C:\WINDOWS\System32/drivers\pcouffin.sys -->28/11/2006 18:26:11

C:\WINDOWS\System32/drivers\atwpkt264.sys -->16/11/2006 18:44:22

C:\WINDOWS\System32/drivers\atwpkt2.sys -->16/11/2006 18:44:08

C:\WINDOWS\System32/drivers\wpdusb.sys -->18/10/2006 21:00:00

C:\WINDOWS\System32/drivers\WudfRd.sys -->28/09/2006 20:00:34

C:\WINDOWS\System32/drivers\WudfPf.sys -->28/09/2006 19:55:50

C:\WINDOWS\System32\wpa.dbl -->10/07/2007 23:53:59

C:\WINDOWS\System32\ecda1_r.dll -->05/07/2007 09:37:49

C:\WINDOWS\System32\ecaedeab9_r.ocx -->05/07/2007 09:37:49

C:\WINDOWS\System32\Status.MPF -->05/07/2007 05:11:47

C:\WINDOWS\System32\MRT.exe -->27/04/2007 22:45:12

C:\WINDOWS\System32\msi.dll -->18/04/2007 18:14:18

C:\WINDOWS\System32\FNTCACHE.DAT -->05/04/2007 03:15:35

C:\WINDOWS\System32\ieapfltr.dll -->03/04/2007 16:29:23

C:\WINDOWS\System32\ieapfltr.dat -->03/04/2007 06:36:20

C:\WINDOWS\System32\perfh00C.dat -->27/03/2007 09:13:06

C:\WINDOWS\System32\perfh009.dat -->27/03/2007 09:13:05

C:\WINDOWS\System32\perfc00C.dat -->27/03/2007 09:13:05

C:\WINDOWS\System32\perfc009.dat -->27/03/2007 09:13:05

C:\WINDOWS\System32\PerfStringBackup.INI -->27/03/2007 09:13:03

C:\WINDOWS\System32\winsrv.dll -->17/03/2007 15:44:47

C:\WINDOWS\System32\LegitCheckControl.dll -->15/03/2007 18:19:28

C:\WINDOWS\System32\WgaTray.exe -->15/03/2007 18:17:20

C:\WINDOWS\System32\WgaLogon.dll -->15/03/2007 18:16:48

C:\WINDOWS\System32\xpsp3res.dll -->09/03/2007 13:51:20

C:\WINDOWS\System32\user32.dll -->08/03/2007 17:37:50

C:\WINDOWS\System32\mf3216.dll -->08/03/2007 17:37:50

C:\WINDOWS\System32\gdi32.dll -->08/03/2007 17:37:50

C:\WINDOWS\System32\win32k.sys -->08/03/2007 17:33:58

C:\WINDOWS\System32\ntoskrnl.exe -->28/02/2007 18:02:36

C:\WINDOWS\System32\ntkrnlpa.exe -->28/02/2007 18:02:36

C:\WINDOWS.log -->10/07/2007 23:53:54

C:\WINDOWS\WindowsUpdate.log -->10/07/2007 23:53:53

C:\WINDOWS\wiaservc.log -->10/07/2007 23:53:53

C:\WINDOWS\wiadebug.log -->10/07/2007 23:53:53

C:\WINDOWS\bootstat.dat -->10/07/2007 23:53:44

C:\WINDOWS\SchedLgU.Txt -->10/07/2007 23:52:40

C:\WINDOWS\win.ini -->10/07/2007 23:00:25

C:\WINDOWS\SYSTEM.INI -->10/07/2007 23:00:25

C:\WINDOWS\IE4 Error Log.txt -->10/07/2007 22:58:33

C:\WINDOWS\ntbtlog.txt -->10/07/2007 12:16:43

C:\WINDOWS\setupact.log -->10/07/2007 00:34:49

C:\WINDOWS\setupapi.log -->10/07/2007 00:24:35

C:\WINDOWS\ST6UNST.000 -->05/07/2007 08:46:39

C:\WINDOWS\LUINSTALL.LOG -->05/07/2007 08:09:41

C:\WINDOWS\KB885295.log -->10/06/2007 09:14:23

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B82F-A082

Répertoire de C:\WINDOWS\system32

19/08/2004 17:09 6 144 csrss.exe

1 fichier(s) 6 144 octets

0 Rép(s) 76 134 682 624 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B82F-A082

Répertoire de C:\WINDOWS\system32

02/04/2003 15:40 1 323 008 dmcpl.exe

1 fichier(s) 1 323 008 octets

0 Rép(s) 76 134 682 624 octets libres

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est B82F-A082

Répertoire de C:\WINDOWS\Downloaded Program Files

10/07/2007 00:30 <REP> .

10/07/2007 00:30 <REP> ..

11/11/2004 13:01 65 desktop.ini

25/07/2002 18:13 24 576 dwusplay.dll

25/07/2002 18:13 196 608 dwusplay.exe

25/06/2006 13:50 1 793 erma.inf

14/07/2005 17:28 365 f3initialsetup1.0.0.15-3.inf

10/04/2000 17:12 1 765 fhg.inf

23/11/2006 00:22 372 736 GAME_UNO1.dll

22/11/2006 21:50 316 GAME_UNO1.INF

25/07/2002 18:05 172 032 isusweb.dll

09/10/2006 02:16 5 281 Mah Jong Garden by pogo.osd

18/06/2003 18:01 691 McGDMgr.inf

19/05/2004 12:01 678 mcinsctl.inf

29/05/2003 16:00 160 864 messengerstatsclient.dll

18/08/2005 09:28 219 384 Metaboli.ocx

20/01/2000 16:25 1 162 Microsoft XML Parser for Java.osd

14/07/2005 12:41 322 240 MsnInstC.dll

14/07/2005 14:11 249 MsnInstC.inf

26/05/2005 05:19 293 muweb.inf

22/08/2003 22:10 226 opuc.inf

18/08/2004 13:57 1 088 qdiagcc.inf

16/10/2006 02:28 5 412 Squelchies by pogo.osd

09/11/2006 15:36 5 019 swflash.inf

03/08/2004 15:51 293 wuweb.inf

23 fichier(s) 1 493 136 octets

Total des fichiers listés :

23 fichier(s) 1 493 136 octets

2 Rép(s) 76 134 682 624 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Securitoo\\av_fw\\backweb\\1044199\\Program\\backWeb-1044199.exe"="C:\\Program Files\\Securitoo\\av_fw\\backweb\\1044199\\Program\\backWeb-1044199.exe:*:Enabled:backWeb-1044199"

"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"

"C:\\Documents and Settings\\Dominique\\Local Settings\\Temporary Internet Files\\Content.IE5\\K5OHEJGL\\incredimail_install[3].exe"="C:\\Documents and Settings\\Dominique\\Local Settings\\Temporary Internet Files\\Content.IE5\\K5OHEJGL\\incredimail_install[3].exe:*:Enabled:IncrediMail Installer"

"C:\\Program Files\\Zone.com Deluxe Games\\Hexic Deluxe\\HexicDeluxe.exe"="C:\\Program Files\\Zone.com Deluxe Games\\Hexic Deluxe\\HexicDeluxe.exe:*:Disabled:Hexic Deluxe"

"C:\\Program Files\\PopCap Games\\Pixelus Deluxe\\Pixelus.exe"="C:\\Program Files\\PopCap Games\\Pixelus Deluxe\\Pixelus.exe:*:Disabled:Pixelus Game"

"C:\\Documents and Settings\\Dominique\\Local Settings\\Temporary Internet Files\\Content.IE5\\4NJBYCTX\\incredimail_install[1].exe"="C:\\Documents and Settings\\Dominique\\Local Settings\\Temporary Internet Files\\Content.IE5\\4NJBYCTX\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"

"C:\\Documents and Settings\\Dominique\\Local Settings\\Temp\\ST_NG_SetupWizard\\stInstall.exe"="C:\\Documents and Settings\\Dominique\\Local Settings\\Temp\\ST_NG_SetupWizard\\stInstall.exe:*:Enabled:SpeedTouch Setup Wizard"

"C:\\Documents and Settings\\Dominique\\Local Settings\\Temporary Internet Files\\Content.IE5\\SDM70HMZ\\incredimail_install[1].exe"="C:\\Documents and Settings\\Dominique\\Local Settings\\Temporary Internet Files\\Content.IE5\\SDM70HMZ\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\Lemoncast\\lemoncast.exe"="C:\\Program Files\\Lemoncast\\lemoncast.exe:*:Enabled:OneClick"

"C:\\Program Files\\IncrediMail\\bin\\ImLc.exe"="C:\\Program Files\\IncrediMail\\bin\\ImLc.exe:*:Enabled:IncrediMail"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLAcsd.exe:*:Enabled:AOL"

"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe:*:Enabled:AOL"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\PopCap Games\\Zuma Deluxe\\Zuma.exe"="C:\\Program Files\\PopCap Games\\Zuma Deluxe\\Zuma.exe:*:Disabled:Zuma"

"C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"="C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader"

"C:\\Program Files\\Fichiers communs\\AOL\\1145603298\\ee\\aolsoftware.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1145603298\\ee\\aolsoftware.exe:*:Enabled:AOL Services"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\Program Files\\Magentic\\bin\\MgImp.exe"="C:\\Program Files\\Magentic\\bin\\MgImp.exe:*:Enabled:Magentic"

"C:\\Program Files\\Magentic\\bin\\Magentic.exe"="C:\\Program Files\\Magentic\\bin\\Magentic.exe:*:Enabled:Magentic"

"C:\\Program Files\\Magentic\\bin\\MgApp.exe"="C:\\Program Files\\Magentic\\bin\\MgApp.exe:*:Enabled:Magentic"

"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL"

"C:\\Program Files\\AOL 9.0d\\waol.exe"="C:\\Program Files\\AOL 9.0d\\waol.exe:*:Enabled:AOL"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\AOL 9.0b\\waol.exe"="C:\\Program Files\\AOL 9.0b\\waol.exe:*:Enabled:AOL"