Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pop-Up à l'ouverture d'Internet Explorer

massepi

Par massepi
dans Analyses et éradication malwares

 Partager

Messages recommandés

massepi Junior Member

massepi

Posté(e)
Posté(e)

Bonjour, ma soeur a des ptits problemes avec son ordi...j'vais faire l'intermediaire. Elle a des pop-up à l'ouverture d'IE. Il s'agit toujours de pubs pour le meme produit: Spyware-Secure.

Spybot et Ad_aware ne trouvent rien.

 

Voici le rapport de Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 10:08:26, on 19/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\HPQ\One-Touch\OneTouch.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\carpserv.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/e-center-p

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s

O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Program Files\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Documents and Settings\Yann\Bureau\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [sDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_fr.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://henrymassendari.spaces.live.com/Pho....cab?10,0,912,0

O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFna...acComposant.cab

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 9074 bytes

 

Merci pour vos aides...De plus, je travaille dans l'info et j'aimerai bien comprendre toutes les étapes d'analyses de rapport. Donc n'hésitez pas à décrire ce qui vous met sur la piste qd vous analysez les rapports.

Merci à tous

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Le pc est certainment infecté par Magic Control Agent: poste le rapport suivant afin de le débusquer >

 

Fais un clic droit sur ce lien > navilog1 de IL-MAFIOSO

  • Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
  • Ensuite double clique sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  • Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  • Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
  • Copie-colle l'intégralité dans une réponse. Referme le bloc note.
  • Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

La procédure est décrite ici , en images >

http://www.malekal.com/Adware.Magic_Control.html

ca correspond à la première étape > "Téléchargement et installation de navilog1"

Ne lance pas d'autre option pour le moment!

massepi Junior Member

massepi

Posté(e)
  • Auteur
Posté(e)

Voici le rapport de Navilog1 :

 

Search Navipromo version 2.0.5 commencé le 19/07/2007 à 18:48:06,94

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Yann\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\aevqabymdz.dat

C:\windows\system32\aevqabymdz.exe

c:\WINDOWS\system32\aevqabymdz_nav.dat

c:\WINDOWS\system32\aevqabymdz_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\aevqabymdz.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\aevqabymdz.dat trouvé !

**

C:\WINDOWS\system32\aevqabymdz.dat trouvé !

***

****

C:\WINDOWS\system32\aevqabymdz_navps.dat trouvé !

*****

******

*******

********

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse Terminé le 19/07/2007 à 18:53:08,75 ***

 

J'espère que ca va vous parler plus qu'à moi.... Merci

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

L'infection est bien présente !

Info importante qu'il faut retenir pour ne pas retomber dans le piège (si c'est une autre personne qui a téléchargé le logiciel responsable de l'infection, communique lui l'info!!) >

 

L'infection qui a pourri tes surfs se nomme Magic Control Agent comme je te disait plus haut .

 

Cette infection est véhiculée par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau >

  • go-astro
  • GoRecord
  • HotTVPlayer
  • MailSkinner
  • Messenger Skinner
  • Instant Access
  • InternetGameBox
  • sudoplanet
  • Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/

D'une manière générale, méfie toi des utilitaires que tu télécharges!!Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....

Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php

 

Voilà une autre liste (chez Assiste.com)que tu peux consulter avant d'installer un antispyware si tu es amené à le faire : elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangereux car pas fiables : http://assiste.com.free.fr/p/craptheque/craptheque.html

D'autres apparaissent chaque jour(ou presque) ! aussi une recherche encore une fois avant d'installer quoique ce soit!!

--------------------------------------------

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire :P

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier probleme pop-ups analyse hijackthis (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

1) Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

  • Au menu principal, choisis 2 et valide.
  • Le fix va t'informer qu'il va alors redémarrer ton PC
  • Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
  • Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même)
  • Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
  • Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
  • Referme le bloc note. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Si tu ne trouve pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

 

2) Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

O4 - HKLM\..\Run: [sDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe"

O4 - HKCU\..\Run: [Regscan] C:\WINDOWS\System32\regscan.exe

 

O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_fr.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

Cette première étape va te débarrasser de l'infection magic control agent.Après ca >

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge AVG anti-spyware et sauvegarde le sur ton bureau.

  • Une fois AVG Anti-Spyware téléchargé,repère son icône sur le bureau et double clique dessus pour lancer l'installation.
  • Une fois l'installation terminée, AVG Anti-Spyware va se lancer: il faut mettre le programme à jour.
  • Sur l'écran principal sélectionne le menu "Mise à jour", puis clique sur le bouton "Commencer la mise à jour" sous "Mise à jour manuelle".
  • La mise à jour va commencer(il est possible que tu reçoives une alerte de ton parefeu: accepte la connexion au serveur).
  • Une fois la mise à jour faite, sélectionne le menu "Analyse" puis clique sur l'onglet "Paramètres".
  • Sous "Comment réagir", choisis "Quarantaine"
  • Sous "Rapports" clique sur "Générer un rapport après chaque analyse".
    décoche la case "Uniquement en cas de menace".
  • Ferme AVG Anti-Spyware et ne lance pas de scan maintenant!

Tu as le détail des manipulations en images ici > http://forum.telecharger.01net.com/microhe...messages-1.html

 

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

 

Double-clique ATF Cleaner afin de lancer le programme.

  • Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected
     
    Si tu utilises le navigateur Firefox :
     
     
  • Clique Firefox au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
     
    Si tu utilises le navigateur Opera :
     
     
  • Clique Opera au haut et choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
     
    Clique Exit, du menu prinicipal, afin de fermer le programme.

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

  • Ouvre Firefox et clique sur Outils=> Options
  • Clique sur l'onglet Vie Privée
  • clique sur le bouton Vider le cache dans l'onglet "Historique"
  • clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  • clique sur le bouton Vider le cache dans l'onglet "Cache"
  • clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.

Étape 3:

 

Lance AVG Anti-Spyware en double-cliquant sur son icône.

 

IMPORTANT:ne lance aucun autre programme pendant qu' AVG Anti-Spyware scanne le pc.

  • Sélectionne le menu "Analyse" puis sous l'onglet "Analyser", choisis "Analyse complête du système".
  • AVG Anti-Spyware va scanner ton (tes) disque dur(s).Le scan prendra un certain temps, donc sois patient.
  • Une fois le scan terminé,en bas de page, assure toi de voir "Quarantaine" 'à droite de "Configurer tous les", sinon fais ce choix manuellement. (c'est important!)
  • Clique sur le bouton "Appliquer toutes les actions".
  • Maintenant clique sur "Enregistrer le rapport" puis "Enregistrer le rapport sous" et choisis le Bureau.

Étape 4:

 

Redémarre normalement et stp poste :

 

- le rapport de Avg AS

- le rapport cleanavi.txt sur ton bureau.

- un nouveau rapport hijackthis

- Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp.Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

courage !! :P

massepi Junior Member

massepi

Posté(e)
  • Auteur
Posté(e)

Alors, voici les 4 rapports (AVG AS, cleanavi, hijackthis et diaghelp)

 

AVG AS

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 14:19:14 21/07/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Program Files\Fichiers communs\DriveCleaner Free\udcsdr.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.m : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\xraufqq.dll -> Trojan.Agent.rw : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

cleanavi

Clean Navipromo version 2.0.5 commencé le 20/07/2007 à 18:42:06,90

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

 

Mode suppression automatique avec prise en charge résultats Blacklight

 

 

*** Creation backups fichiers trouvés par Blacklight ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

 

*** Suppression des fichiers trouvés avec Blacklight ***

 

c:\WINDOWS\system32\aevqabymdz.dat supprimé !

C:\windows\system32\aevqabymdz.exe supprimé !

c:\WINDOWS\system32\aevqabymdz_nav.dat supprimé !

c:\WINDOWS\system32\aevqabymdz_navps.dat supprimé !

 

** 2ème passage **

 

C:\WINDOWS\system32\aevqabymdz.exe absent !

C:\WINDOWS\system32\aevqabymdz.dat absent !

C:\WINDOWS\system32\aevqabymdz_nav.dat absent !

C:\WINDOWS\system32\aevqabymdz_navps.dat absent !

C:\WINDOWS\system32\aevqabymdz_navup.dat absent !

C:\WINDOWS\system32\aevqabymdz_navtmp.dat absent !

C:\WINDOWS\system32\aevqabymdz_m2s.xml absent !

 

 

C:\WINDOWS\prefetch\aevqabymdz*.pf trouvé !

Copie C:\WINDOWS\prefetch\aevqabymdz*.pf réalise avec succes !

C:\WINDOWS\prefetch\aevqabymdz*.pf supprimé !

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Yann\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Yann\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre réalise avec succes !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

**

***

****

*****

******

*******

********

 

3)Contrôle présence clés Rootkit dans le registre :

 

Aucune autre clés présente dans le registre !

 

4)Certificats :

 

Certificat Egroup supprimé !

 

*** Nettoyage termine le 20/07/2007 à 18:47:01,83 ***

 

 

Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 11:28:29, on 22/07/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\HPQ\One-Touch\OneTouch.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\carpserv.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/info/e-center-p

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s

O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Program Files\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Program Files\Mediafour\MacDrive\MDDiskProtect.exe

O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Documents and Settings\Yann\Bureau\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Configuration de la C-BOX] C:\Program Files\Cegetel\C-BOX\Wizard\QuickAccess.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://henrymassendari.spaces.live.com/Pho....cab?10,0,912,0

O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telechargementFna...acComposant.cab

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 8772 bytes

 

 

et diaghelp

 

DiagHelp version v1.1.2 - http://www.malekal.com

excute le 23/07/2007 à 17:56:13,80

 

 

Liste des derniers fichies modifies/crees dans windir\system32

C:\WINDOWS\System32/drivers\AvgAsCln.sys -->30/05/2007 14:10:42

C:\WINDOWS\System32/drivers\aswmon.sys -->30/04/2007 17:41:55

C:\WINDOWS\System32/drivers\aswmon2.sys -->30/04/2007 17:41:42

C:\WINDOWS\System32/drivers\aswRdr.sys -->30/04/2007 17:39:41

C:\WINDOWS\System32/drivers\aswTdi.sys -->30/04/2007 17:38:51

C:\WINDOWS\System32/drivers\aavmker4.sys -->30/04/2007 17:37:23

C:\WINDOWS\System32/drivers\pxhelp20.sys -->25/08/2006 05:47:00

 

C:\WINDOWS\System32\d3d8caps.dat -->18/07/2007 17:46:07

C:\WINDOWS\System32\iklog.log -->18/07/2007 10:38:39

C:\WINDOWS\System32\wpa.dbl -->17/07/2007 09:19:52

C:\WINDOWS\System32\CONFIG.NT -->15/05/2007 15:18:37

C:\WINDOWS\System32\MRT.exe -->11/05/2007 15:18:46

C:\WINDOWS\System32\jupdate-1.6.0_01-b06.log -->01/05/2007 11:37:47

C:\WINDOWS\System32\aswBoot.exe -->30/04/2007 17:46:10

C:\WINDOWS\System32\AVASTSS.scr -->30/04/2007 17:35:28

C:\WINDOWS\System32\zllictbl.dat -->02/04/2007 18:11:12

C:\WINDOWS\System32\satsukidecodersettings.ini -->01/04/2007 18:22:47

C:\WINDOWS\System32\perfh00C.dat -->26/03/2007 09:17:50

C:\WINDOWS\System32\perfh009.dat -->26/03/2007 09:17:50

C:\WINDOWS\System32\perfc00C.dat -->26/03/2007 09:17:50

C:\WINDOWS\System32\perfc009.dat -->26/03/2007 09:17:50

C:\WINDOWS\System32\PerfStringBackup.INI -->26/03/2007 09:17:49

C:\WINDOWS\System32\javaws.exe -->14/03/2007 02:04:46

C:\WINDOWS\System32\javacpl.cpl -->14/03/2007 02:04:46

C:\WINDOWS\System32\javaw.exe -->14/03/2007 00:31:28

C:\WINDOWS\System32\java.exe -->14/03/2007 00:31:24

C:\WINDOWS\System32\ff_vfw.dll -->21/02/2007 22:00:28

C:\WINDOWS\System32\sirenacm.dll -->19/01/2007 13:53:04

C:\WINDOWS\System32\ff_vfw.dll.manifest -->11/12/2006 00:32:16

C:\WINDOWS\System32\nscompat.tlb -->12/10/2006 17:24:05

C:\WINDOWS\System32\amcompat.tlb -->12/10/2006 17:24:05

C:\WINDOWS\System32\logosatsu.bmp -->25/09/2006 17:28:20

 

C:\WINDOWS.log -->23/07/2007 08:34:42

C:\WINDOWS\wiadebug.log -->23/07/2007 08:34:16

C:\WINDOWS\wiaservc.log -->23/07/2007 08:34:13

C:\WINDOWS\bootstat.dat -->23/07/2007 08:33:38

C:\WINDOWS\SchedLgU.Txt -->22/07/2007 17:47:35

C:\WINDOWS\ntbtlog.txt -->22/07/2007 11:17:25

C:\WINDOWS\win.ini -->19/07/2007 10:19:24

C:\WINDOWS\SpywareDoctor5Uninstall.log -->18/07/2007 10:52:20

C:\WINDOWS\SpywareDoctor5Install.log -->18/07/2007 10:37:55

C:\WINDOWS\setupapi.log -->18/07/2007 10:00:22

C:\WINDOWS\setupact.log -->14/07/2007 15:53:10

C:\WINDOWS\tsoc.log -->15/05/2007 15:09:50

C:\WINDOWS\tabletoc.log -->15/05/2007 15:09:50

C:\WINDOWS\ntdtcsetup.log -->15/05/2007 15:09:50

C:\WINDOWS\KB833330Uninst.log -->15/05/2007 15:09:50

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 60D0-90AB

 

Répertoire de C:\WINDOWS\system32

 

30/08/2002 04:00 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 20 449 976 320 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 60D0-90AB

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

18/07/2007 10:00 <REP> .

18/07/2007 10:00 <REP> ..

18/09/2002 04:59 65 desktop.ini

14/10/1997 13:52 697 DirectAnimation Java Classes.osd

23/03/2007 12:17 1 292 erma.inf

06/09/2004 11:21 110 592 FnacComposant.dll

14/03/2007 04:02 1 055 jinstall-6u1.inf

20/01/2000 10:25 1 162 Microsoft XML Parser for Java.osd

20/06/2006 15:44 379 704 MsnPUpld.dll

19/06/2006 14:40 393 MsnPUpld.inf

20/06/2006 15:44 117 560 PURen-us.dll

09/01/2007 08:30 110 592 PURfr-fr.dll

22/06/2006 11:41 5 032 swflash.inf

04/05/2005 21:19 319 WebCleaner.inf

30/06/2003 22:41 1 689 WMV9VCM.inf

13 fichier(s) 730 152 octets

 

Total des fichiers listés :

13 fichier(s) 730 152 octets

2 Rép(s) 20 449 972 224 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

 

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-07-23 17:56:46

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe????????)?)w?????????? ??3B?????????????T?B? ??????

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitListHead

 

4 - System

288 - ONETOUCH.EXE

408 - SynTPLpr.exe

488 - ashWebSv.exe

524 - cmd.exe

536 - ashMaiSv.exe

640 - csrss.exe

664 - winlogon.exe

712 - services.exe

724 - lsass.exe

900 - svchost.exe

1020 - svchost.exe

1188 - svchost.exe

1220 - svchost.exe

1332 - ashServ.exe

1384 - explorer.exe

1476 - Directcd.exe

1612 - SynTPEnh.exe

1800 - ati2evxx.exe

1812 - guard.exe

2084 - iTunesHelper.ex

2100 - qttask.exe

2192 - MDDiskProtect.e

2224 - MACVNTFY.EXE

2248 - iPodService.exe

2316 - ashDisp.exe

2380 - avgas.exe

2396 - ctfmon.exe

2408 - QuickAccess.exe

2428 - hpohmr08.exe

2444 - hpotdd01.exe

2496 - hpoevm08.exe

2588 - hposts08.exe

3292 - msmsgs.exe

3844 - msimn.exe

 

Total number of processes = 35

NOTE: Under WinXP, this will not show all processes.

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

804D4000 - \WINDOWS\system32\ntoskrnl.exe

806C8000 - \WINDOWS\system32\hal.dll

FB0C1000 - \WINDOWS\system32\KDCOM.DLL

FAFD1000 - \WINDOWS\system32\BOOTVID.dll

FAB74000 - ACPI.sys

FB0C3000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS

FABC1000 - pci.sys

FABD1000 - isapnp.sys

FAFD5000 - compbatt.sys

FAFD9000 - \WINDOWS\System32\DRIVERS\BATTC.SYS

FB189000 - pciide.sys

FAE41000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS

FB0C5000 - aliide.sys

FB0C7000 - viaide.sys

FB0C9000 - intelide.sys

FAB57000 - pcmcia.sys

FABE1000 - MountMgr.sys

FAB38000 - ftdisk.sys

FAE49000 - PartMgr.sys

FAFDD000 - ACPIEC.sys

FB18A000 - \WINDOWS\System32\DRIVERS\OPRGHDLR.SYS

FABF1000 - VolSnap.sys

FAB22000 - atapi.sys

FAE51000 - MDPMGRNT.sys

FAC01000 - disk.sys

FAC11000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

FAC21000 - PxHelp20.sys

FAB0E000 - KSecDD.sys

FAA84000 - Ntfs.sys

FAA5B000 - NDIS.sys

FAC31000 - sbp2port.sys

FAC41000 - ohci1394.sys

FAC51000 - \WINDOWS\System32\DRIVERS\1394BUS.SYS

FAA41000 - Mup.sys

FAE59000 - agp440.sys

FAE61000 - atisgkaf.sys

FAC71000 - \SystemRoot\System32\DRIVERS\nic1394.sys

FAEE9000 - \SystemRoot\System32\DRIVERS\amdk7.sys

FA964000 - \SystemRoot\System32\DRIVERS\ati2mtag.sys

FA952000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

FB081000 - \SystemRoot\System32\DRIVERS\usbohci.sys

FA930000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS

FA8F4000 - \SystemRoot\system32\drivers\calihal.sys

FA8AC000 - \SystemRoot\system32\drivers\caliaud.sys

FA88B000 - \SystemRoot\system32\drivers\portcls.sys

FAD81000 - \SystemRoot\system32\drivers\drmk.sys

FA86A000 - \SystemRoot\system32\drivers\ks.sys

FAD91000 - \SystemRoot\System32\DRIVERS\i8042prt.sys

FB085000 - \SystemRoot\System32\Drivers\DKbFltr.SYS

FAEF1000 - \SystemRoot\System32\DRIVERS\kbdclass.sys

FA828000 - \SystemRoot\System32\DRIVERS\SynTP.sys

FB0ED000 - \SystemRoot\System32\DRIVERS\USBD.SYS

FAEF9000 - \SystemRoot\System32\DRIVERS\mouclass.sys

FAF01000 - \SystemRoot\System32\DRIVERS\fdc.sys

FA815000 - \SystemRoot\System32\DRIVERS\parport.sys

FADA1000 - \SystemRoot\System32\DRIVERS\serial.sys

FB089000 - \SystemRoot\System32\DRIVERS\serenum.sys

FB0EF000 - \SystemRoot\System32\DRIVERS\hpci.sys

FA7F3000 - \SystemRoot\System32\DRIVERS\HSFHWALI.sys

FA6E9000 - \SystemRoot\System32\DRIVERS\HSF_DP.sys

FA65F000 - \SystemRoot\System32\DRIVERS\HSF_CNXT.sys

FAF09000 - \SystemRoot\System32\Drivers\Modem.SYS

FADB1000 - \SystemRoot\System32\DRIVERS\imapi.sys

FADC1000 - \SystemRoot\System32\Drivers\AFS2K.SYS

FADD1000 - \SystemRoot\System32\DRIVERS\cdrom.sys

FADE1000 - \SystemRoot\System32\DRIVERS\redbook.sys

FA641000 - \SystemRoot\System32\Drivers\pwd_2k.SYS

FAF11000 - \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys

FAF19000 - \SystemRoot\System32\DRIVERS\DP83815.SYS

FB091000 - \SystemRoot\System32\DRIVERS\CmBatt.sys

FB2F8000 - \SystemRoot\System32\DRIVERS\audstub.sys

FADF1000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys

FB095000 - \SystemRoot\System32\DRIVERS\ndistapi.sys

FA62B000 - \SystemRoot\System32\DRIVERS\ndiswan.sys

FAE01000 - \SystemRoot\System32\DRIVERS\raspppoe.sys

FAE11000 - \SystemRoot\System32\DRIVERS\raspptp.sys

FB099000 - \SystemRoot\System32\DRIVERS\TDI.SYS

FA57A000 - \SystemRoot\System32\DRIVERS\psched.sys

FAE21000 - \SystemRoot\System32\DRIVERS\msgpc.sys

FAF21000 - \SystemRoot\System32\DRIVERS\ptilink.sys

FAF29000 - \SystemRoot\System32\DRIVERS\raspti.sys

FA509000 - \SystemRoot\System32\DRIVERS\rdpdr.sys

FAE31000 - \SystemRoot\System32\DRIVERS\termdd.sys

FB302000 - \SystemRoot\System32\DRIVERS\swenum.sys

FA4E7000 - \SystemRoot\System32\DRIVERS\update.sys

FAF31000 - \SystemRoot\System32\Drivers\mmc_2K.SYS

FAC81000 - \SystemRoot\System32\Drivers\NDProxy.SYS

FACC1000 - \SystemRoot\System32\DRIVERS\usbhub.sys

FA9EC000 - \SystemRoot\system32\drivers\MODEMCSA.sys

FAF49000 - \SystemRoot\System32\DRIVERS\flpydisk.sys

FB22A000 - \SystemRoot\System32\Drivers\Cdr4_xp.SYS

FB24D000 - \SystemRoot\System32\Drivers\Cdralw2k.SYS

FA9E8000 - \SystemRoot\System32\DRIVERS\hidusb.sys

FACE1000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS

FAF61000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS

FB103000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

FB24E000 - \SystemRoot\System32\Drivers\Null.SYS

FB105000 - \SystemRoot\System32\Drivers\Beep.SYS

FB24F000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys

FAF69000 - \SystemRoot\System32\drivers\vga.sys

FB107000 - \SystemRoot\System32\Drivers\mnmdd.SYS

FB109000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys

B8EC9000 - \SystemRoot\System32\Drivers\cdudf_xp.SYS

FAF71000 - \SystemRoot\System32\Drivers\Msfs.SYS

FAF79000 - \SystemRoot\System32\Drivers\Npfs.SYS

B8E84000 - \SystemRoot\System32\Drivers\UdfReadr_xp.SYS

FB069000 - \SystemRoot\System32\DRIVERS\rasacd.sys

FACF1000 - \SystemRoot\System32\DRIVERS\ipsec.sys

B8DF8000 - \SystemRoot\System32\DRIVERS\tcpip.sys

FAD01000 - \SystemRoot\System32\Drivers\aswTdi.SYS

B8DD1000 - \SystemRoot\System32\DRIVERS\netbt.sys

FAD11000 - \SystemRoot\System32\DRIVERS\netbios.sys

B8DA9000 - \SystemRoot\System32\DRIVERS\rdbss.sys

B8D45000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys

B8D12000 - \SystemRoot\System32\Drivers\MDFSYSNT.SYS

FAD31000 - \SystemRoot\System32\Drivers\Fips.SYS

FAD41000 - \SystemRoot\System32\DRIVERS\wanarp.sys

FAD51000 - \SystemRoot\System32\DRIVERS\arp1394.sys

FAF81000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS

FA55A000 - \SystemRoot\System32\DRIVERS\mouhid.sys

FB26C000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys

FAF91000 - \SystemRoot\System32\Drivers\Aavmker4.SYS

B8CC6000 - \SystemRoot\System32\Drivers\Fastfat.SYS

B8CB0000 - \SystemRoot\System32\Drivers\dump_atapi.sys

FB12D000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BF800000 - \SystemRoot\System32\win32k.sys

FB079000 - \SystemRoot\System32\watchdog.sys

FB07D000 - \SystemRoot\System32\drivers\Dxapi.sys

BFF80000 - \SystemRoot\System32\drivers\dxg.sys

FB24A000 - \SystemRoot\System32\drivers\dxgthk.sys

BF9BB000 - \SystemRoot\System32\ati2dvag.dll

BF9ED000 - \SystemRoot\System32\ati3d1ag.dll

B8AFA000 - \SystemRoot\System32\drivers\afd.sys

B8B87000 - \SystemRoot\System32\DRIVERS\ndisuio.sys

B89F4000 - \SystemRoot\System32\Drivers\aswMon2.SYS

B8799000 - \SystemRoot\System32\DRIVERS\mrxdav.sys

FB11F000 - \SystemRoot\System32\Drivers\ParVdm.SYS

FB145000 - \SystemRoot\System32\Drivers\MASPINT.SYS

B88C8000 - \SystemRoot\System32\DRIVERS\mdmxsdk.sys

FAFA1000 - \SystemRoot\System32\DRIVERS\strmdisp.sys

B8608000 - \SystemRoot\System32\DRIVERS\srv.sys

B8661000 - \SystemRoot\System32\Drivers\aswRdr.SYS

B8F64000 - \SystemRoot\system32\drivers\sysaudio.sys

B83A2000 - \SystemRoot\system32\drivers\wdmaud.sys

B8538000 - \SystemRoot\System32\Drivers\Cdfs.SYS

FB293000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 146

 

Liste des programmes installes

 

AC3Filter (remove only)

Ad-Aware SE Personal

Adobe Acrobat 5.0

Adobe Flash Player ActiveX

Adobe SVG Viewer

ATI Display Driver

avast! Antivirus

AVG Anti-Spyware 7.5

BSPlayer

CDex extraction audio

Conexant 56K ACLink Modem

Conexant AC-Link Audio

Correctif Windows XP - KB823980

Correctif Windows XP - KB824146

Correctif Windows XP - KB835732

Disque de souvenirs HP

DivX Codec 3.1alpha release

DivX Player

DivX Pro Codec Adware

Easy CD Creator 5 Basic

Google Earth

Gordian Knot Rip Pack 0.28.6

HijackThis 2.0.0

hp psc 1100 series

Huffyuv AVI lossless video codec (Remove Only)

Inactive HP Printer Drivers (Remove only)

Installation de la C-BOX

InterVideo WinDVD

iPod for Windows 2005-03-23

iPod for Windows 2005-03-23

iTunes

iTunes

Java SE Runtime Environment 6 Update 1

Lecteur Windows Media 10

LiveUpdate 1.90 (Symantec Corporation)

MacDrive 6 Test Drive

Microsoft .NET Framework (French)

Microsoft .NET Framework (French) v1.0.3705

Microsoft Baseline Security Analyzer 1.2

Microsoft Office 2000 Premium

Microsoft Office XP Professional avec FrontPage

MicroStaff WINASPI

Navilog1 Version 2.0.5

Nero - Burning Rom

Notebook Utilities

One-Touch Buttons

Outil de suppression du ver Windows Blaster (KB833330)

Photo et imagerie HP 2.0 - All-in-One

Photo et imagerie HP 2.0 - All-in-One Pilote

Photo et imagerie HP 2.0 - hp psc 1100 series

Picasa 2

PIF DESIGNER2.1

QuickTime

ScanToWeb

Spybot - Search & Destroy 1.4

Synaptics Pointing Device Driver

VideoLAN VLC media player 0.8.6a

VobSub v2.23 (Remove Only)

WebFldrs XP

Windows Live Messenger

Windows Live Sign-in Assistant

Windows Media Format Runtime

WinRAR Archiveur

XviD Video Codec 24062003-1 (Koepi's developer build)

 

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 60D0-90AB

 

Répertoire de C:\Program Files

 

21/07/2007 09:57 <REP> .

21/07/2007 09:57 <REP> ..

04/12/2003 18:28 <REP> AC3Filter

05/09/2006 10:52 <REP> Adobe

17/10/2004 19:06 <REP> Ahead

05/09/2006 11:24 <REP> Alwil Software

23/09/2005 14:59 <REP> Bayo

22/12/2004 19:35 <REP> BinaryBiz

11/10/2004 22:55 <REP> BSPlayer

04/12/2003 18:26 <REP> CDex_150

05/09/2006 11:03 <REP> Cegetel

05/09/2006 10:55 <REP> Claris Corp

02/12/2003 20:46 <REP> ComPlus Applications

02/12/2003 20:46 <REP> CONEXANT

04/12/2003 18:27 <REP> DivX

18/04/2007 19:26 <REP> DriveCleaner Free

21/02/2006 10:01 <REP> EPSON

02/04/2007 20:39 1 396 ffdsasetts.reg

01/04/2007 18:21 <REP> ffdshow

02/04/2007 20:39 16 870 ffdssetts.reg

01/05/2007 11:34 <REP> Fichiers communs

22/12/2004 18:58 <REP> FILERECOVERY DEMO

12/10/2006 16:10 <REP> Fnacmusic

04/12/2003 18:26 <REP> Gabest

10/05/2007 14:38 <REP> Google

04/12/2003 18:26 <REP> Gordian Knot

21/07/2007 09:57 <REP> Grisoft

15/08/2005 19:20 <REP> Hewlett-Packard

02/12/2003 20:46 <REP> HPQ

02/12/2003 20:46 <REP> Internet Explorer

02/12/2003 12:00 <REP> InterVideo

08/08/2005 19:47 <REP> iPod

08/08/2005 19:49 <REP> iTunes

01/05/2007 11:37 <REP> Java

18/07/2007 11:32 <REP> Lavasoft

02/11/2005 20:19 <REP> Mediafour

02/12/2003 20:46 <REP> Messenger

09/07/2004 16:18 <REP> Microsoft Baseline Security Analyzer

11/03/2006 18:17 <REP> microsoft frontpage

11/03/2006 18:17 <REP> Microsoft Office

11/03/2006 18:20 <REP> Microsoft Visual Studio

02/12/2003 20:46 <REP> Movie Maker

02/04/2007 20:39 596 mpc1.reg

02/04/2007 20:39 680 mpc2.reg

02/04/2007 20:39 3 026 mpc3.reg

02/04/2007 20:39 236 mpc4.reg

02/04/2007 20:39 16 278 mpc5.reg

02/04/2007 20:39 18 156 mpc6.reg

02/04/2007 20:39 3 476 mpc7.reg

02/12/2003 20:46 <REP> MSN

02/12/2003 20:46 <REP> MSN Gaming Zone

06/03/2007 11:32 <REP> MSN Messenger

20/07/2007 18:47 <REP> Navilog1

23/06/2004 19:52 <REP> NetMeeting

22/12/2004 17:45 <REP> Ontrack

02/12/2003 20:46 <REP> Outlook Express

14/08/2004 14:32 <REP> PIXELA

08/08/2005 19:50 <REP> QuickTime

02/12/2003 20:46 <REP> Roxio

02/04/2007 20:40 119 satsukidecodersettings.ini

02/12/2003 20:46 <REP> Services en ligne

04/06/2007 12:18 <REP> Spybot - Search & Destroy

28/06/2005 19:08 <REP> Symantec

02/12/2003 20:46 <REP> Synaptics

02/04/2007 17:51 <REP> Winamp

12/10/2006 17:25 <REP> Windows Media Player

02/12/2003 20:46 <REP> Windows NT

12/12/2003 20:42 <REP> WinRAR

02/12/2003 20:46 <REP> xerox

04/12/2003 18:28 <REP> XviD

19/05/2005 10:42 <REP> Zone Labs

10 fichier(s) 60 833 octets

61 Rép(s) 20 450 201 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 60D0-90AB

 

Répertoire de C:\Program Files\fichiers communs

 

01/05/2007 11:34 <REP> .

01/05/2007 11:34 <REP> ..

02/12/2003 20:46 <REP> Adaptec Shared

02/11/2005 12:48 <REP> Adobe

12/12/2003 20:14 <REP> Designer

17/07/2007 15:25 <REP> DriveCleaner Free

05/06/2005 20:03 <REP> EPSON

15/08/2005 19:15 <REP> Hewlett-Packard

05/09/2006 11:52 <REP> InstallShield

01/05/2007 11:34 <REP> Java

02/11/2005 20:19 <REP> Mediafour

05/09/2006 19:34 <REP> Microsoft Shared

02/12/2003 20:46 <REP> MSSoap

05/09/2006 10:56 <REP> ODBC

02/12/2003 20:46 <REP> Services

02/12/2003 20:46 <REP> SpeechEngines

05/09/2006 11:17 <REP> Symantec Shared

11/03/2006 18:20 <REP> System

0 fichier(s) 0 octets

18 Rép(s) 20 450 201 600 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 60D0-90AB

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

12/12/2003 20:14 <REP> .

12/12/2003 20:14 <REP> ..

12/12/2003 20:14 <REP> 1033

12/12/2003 20:14 <REP> 1036

15/02/2001 06:45 1 318 912 MSONSEXT.DLL

13/02/2001 09:23 58 784 MSOSV.DLL

03/06/1999 09:09 122 937 MSOWS409.DLL

07/03/2001 04:00 127 033 MSOWS40c.DLL

06/08/2000 10:04 401 462 MSVCP60.DLL

22/01/2001 04:25 69 632 PKMAXCTL.DLL

22/01/2001 04:25 872 448 PKMCDO.DLL

22/01/2001 04:25 159 744 PKMCORE.DLL

07/02/2001 10:59 106 496 PKMFORMS.DLL

12/02/2001 05:03 684 032 PKMRES.DLL

22/01/2001 04:25 28 672 PKMSSTLB.DLL

22/01/2001 04:25 40 960 PKMTEMPL.DLL

22/01/2001 04:25 24 576 PKMTRACE.DLL

22/01/2001 04:25 86 016 PKMWS.DLL

22/01/2001 04:25 237 568 PROMDEMO.DLL

18/03/1999 06:37 593 977 RAGENT.DLL

22/01/2001 04:25 184 320 SECMGR.DLL

22/01/2001 04:25 323 584 VAIDDMGR.DLL

22/01/2001 04:25 32 768 VAIMEM.DLL

19 fichier(s) 5 473 921 octets

4 Rép(s) 20 450 197 504 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 60D0-90AB

 

Répertoire de C:\

 

18/07/2007 11:30 2 855 080 aawsepersonal.exe

18/11/2003 14:07 2 000 324 cdex_151.exe

12/05/2007 18:22 68 096 diff.exe

10/05/2007 14:35 15 714 552 Google_Earth_BZXE.exe

12/11/2003 14:18 7 926 525 GordianKnot.CodecPack.1.5.exe

12/11/2003 14:16 8 200 166 GordianKnot.RipPack.0.28.6.Setup.exe

12/05/2007 18:22 103 424 grep.exe

19/07/2007 10:06 1 308 216 HiJackThis_v2.exe

10/10/2006 10:03 36 656 704 iTunesSetup.exe

18/07/2007 10:36 27 383 448 sdsetup.exe

10/05/2007 11:28 5 037 072 spybotsd14.exe

24/05/2001 13:59 162 304 UNWISE.EXE

15/05/2007 10:18 7 121 880 Windows-KB890830-V1.29.exe

13 fichier(s) 114 537 791 octets

0 Rép(s) 20 450 197 504 octets libres

c:\Documents and Settings\julie\Bureau\setupfre.exe

c:\Documents and Settings\julie\Mes documents\FixWelch.exe

c:\Documents and Settings\julie\Mes documents\zonealarm_zone_alarm_version_gratuite_7.0.337.000_francais_10494.exe

c:\Documents and Settings\Yann\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\ARPPRODUCTICON.exe

c:\Documents and Settings\Yann\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe_407B9B5CDAC54F44A756B57CAB4E6A8B.exe

c:\Documents and Settings\Yann\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\googleearth.exe1_407B9B5CDAC54F44A756B57CAB4E6A8B.exe

c:\Documents and Settings\Yann\Application Data\Microsoft\Installer\{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B}\UNINST_Uninstall_G_3DE5E7D47B88403CA3FD2017A8240C5B.exe

c:\Documents and Settings\Yann\Bureau\ATF-Cleaner.exe

c:\Documents and Settings\Yann\Bureau\avgas-setup-7.5.1.36.exe

c:\Documents and Settings\Yann\Bureau\Install_Messenger.exe

c:\Documents and Settings\Yann\Bureau\Navilog1.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\catchme.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\diff.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\dumphive.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\find2.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\Fport.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\grep.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\KProcCheck.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\LFiles.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\pslist.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\streams.exe

c:\Documents and Settings\Yann\Bureau\DiagHelp\DiagHelp\swreg.exe

c:\Documents and Settings\Yann\Mes documents\setupfre.exe

c:\Documents and Settings\Yann\Mes documents\Picasa2\PicasaMediaDetector.exe

c:\Documents and Settings\Yann\Mes documents\Picasa2\setup.exe

c:\Documents and Settings\All Users\Application Data\Grisoft\AVG Anti-Spyware 7.5\Downloads\help.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

 

****** Fin du rapport DiagHelp

 

 

Voilà...j'espère que tout est normal

Merci

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut :P

 

Les rapports sont bons et l'infection a été éliminée : n'oublie pas de communiquer à ta soeur le nom des logiciels à ne pas installer afin d'éviter cette infection à l'avenir.

 

Elimine les deux dossiers suivants >

 

C:\Program Files\Fichiers communs\DriveCleaner Free

C:\Program Files\DriveCleaner Free

 

Deux remarques primordiales pour éviter la réinfection >

 

1) Il n'y a pas de parefeu sur ce pc : installe en un de suite! >

 

Voila quelques liens pour des pare-feux gratuits

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://dl2.zonelabs.com/bin/free/3301_fr/z..._737_000_fr.exe

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/outpost.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Je te conseille Zone Alarme en version gratuite ou Kério pour commencer, tu pourras en changer par la suite pour un pare-feu plus élaboré quand tu auras le temps de t'y plonger. Un pare-feu bien configuré, est garant de la sécurité du pc et de ta tranquilité .

 

2) Le pc n'est pas du tout à jour!! Il est très vulnérable en l'état....

Passe par Windows Update et installe le Service Pack 2 et les mises à jour de sécurité qui te seront proposées. Il y avait une trace du ver Sasser sur ce pc!! visible sous cette ligne 04 dans le rapport hijackthis que tu avais posté >

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

D'après le rapport DiagHelp et AVG AS, le(s) fichiers(s) incriminés ne sont plus présents : on voit juste son lancement au démarrage de Windows (éliminé lorsque tu as fixé la ligne en question)

Voilà pourquoi je te demande de faire les mises à jour, car ce ver exploite une faille de sécurité : cette faille a été corrigée il y a déjà 3 ans!! !voilà le correctif en question > http://www.microsoft.com/downloads/details...;displaylang=fr

 

On va finir par un scan en ligne >

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

En cas de souci >

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur bouton-scann1.jpg
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

@+

  • Tonton a modifié le titre en Pop-Up à l'ouverture d'Internet Explorer

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...