Nettoyage svp

djibril15 · le 20 juillet 2007

Bonjour, voila tout est dans le titre

Logfile of HijackThis v1.99.1

Scan saved at 13:12:40, on 20/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Alwil Software\Avast4\aswUpdSv.exe

C:\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\Arcade\PCMService.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\sistray.exe

C:\Alwil Software\Avast4\ashMaiSv.exe

C:\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

C:\Program Files\uTorrent\utorrent.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll

O2 - BHO: BHOAd - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [avast!] C:\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - Startup: Xinek.lnk = C:\Program Files\Xinek\Xinek.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F795B75D-D1EB-4C2E-B27D-D2215983EB87}: NameServer = 193.252.19.3,193.252.19.4

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

Merci d'avance

regis56 · le 20 juillet 2007

Bonjour djibril15 !

Ton rapport montre des signes d'infections !

Fais ceci :

Télécharge AVG Anti-Spyware

http://free3.grisoft.cz/softw/70free/setup...up-7.5.0.50.exe

Lance AVG Anti-Spyware et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Du mode Sans Échec, lance AVG Anti-Spyware et clique sur le bouton Scanner (de la barre d'outils) et ensuite clique sur Complete System Scan. Le scan prendra un certain temps, donc sois patient.
AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement. Clique sur le bouton Apply all actions. AVG Anti-Spyware affichera "All actions have been applied" du côté droit.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).
Redémarre ton ordi en mode Normal.

.

Je te fais passer un autre outil :

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique fsbl.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

Prière de poster les rapports suivant dans ta prochaine réponse :

1) AVG Anti-Spyware

2) BlackLight

3) Nouveau rapport HijackThis!

Bon courage, et @+

djibril15 · le 20 juillet 2007

Voila

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 15:20:10 20/07/2007

+ Résultat de l'analyse:

C:\Documents and Settings\XAVIER\Cookies\xavier@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@2.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@3.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@www.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@3.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@ads.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@advertising[2].txt -> TrackingCookie.Advertising : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@burstnet[2].txt -> TrackingCookie.Burstnet : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@www.casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@ad1.clickhype[1].txt -> TrackingCookie.Clickhype : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@ad1.clickhype[2].txt -> TrackingCookie.Clickhype : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@cz4.clickzs[1].txt -> TrackingCookie.Clickzs : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@cz6.clickzs[2].txt -> TrackingCookie.Clickzs : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@connextra[1].txt -> TrackingCookie.Connextra : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@cpvfeed[1].txt -> TrackingCookie.Cpvfeed : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@fastclick[2].txt -> TrackingCookie.Fastclick : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@mediaplex[2].txt -> TrackingCookie.Mediaplex : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@ie.search.msn[2].txt -> TrackingCookie.Msn : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@overture[1].txt -> TrackingCookie.Overture : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@overture[1].txt -> TrackingCookie.Overture : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@edge.ru4[1].txt -> TrackingCookie.Ru4 : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@h.starware[2].txt -> TrackingCookie.Starware : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@try.starware[1].txt -> TrackingCookie.Starware : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@h.starware[1].txt -> TrackingCookie.Starware : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@try.starware[1].txt -> TrackingCookie.Starware : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@m.webtrends[1].txt -> TrackingCookie.Webtrends : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@yadro[1].txt -> TrackingCookie.Yadro : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@yadro[3].txt -> TrackingCookie.Yadro : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.

C:\Documents and Settings\XAVIER\Local Settings\Temp\Cookies\xavier@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Nettoyé.

C:\Documents and Settings\XAVIER\Cookies\xavier@zedo[2].txt -> TrackingCookie.Zedo : Nettoyé.

Fin du rapport

07/20/07 15:25:13 [info]: BlackLight Engine 1.0.64 initialized

07/20/07 15:25:13 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/20/07 15:25:13 [Note]: 7019 4

07/20/07 15:25:13 [Note]: 7005 0

07/20/07 15:25:31 [Note]: 7006 0

07/20/07 15:25:31 [Note]: 7011 1660

07/20/07 15:25:33 [Note]: 7026 0

07/20/07 15:25:33 [Note]: 7024 3

07/20/07 15:25:33 [info]: Hidden process: C:\windows\system32\dbylnno.exe

07/20/07 15:25:35 [Note]: FSRAW library version 1.7.1022

07/20/07 15:25:57 [info]: Hidden file: C:\windows\system32\dbylnno.exe

07/20/07 15:25:58 [info]: Hidden file: c:\WINDOWS\SYSTEM32\DBYLNNO.DAT

07/20/07 15:25:59 [info]: Hidden file: c:\WINDOWS\SYSTEM32\DBYLNN~1.DAT

07/20/07 15:26:00 [info]: Hidden file: c:\WINDOWS\SYSTEM32\DBYLNN~2.DAT

07/20/07 15:26:02 [Note]: 2000 1012

07/20/07 15:26:20 [Note]: 7007 0

regis56 · le 20 juillet 2007

SAlut !

Fais ceci :

Télécharge Navilog1 de IL-MAFIOSO

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Installe le programme et lance le !

A l'invite de commande choisit l'option 4

Rentre ces lettres quand ce sera demandé : dbylnno

Et poste le rapport

A plus.

djibril15 · le 20 juillet 2007

Clean Navipromo version 2.0.5 commencé le 20/07/2007 à 15:36:57,92

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression par méthode manuelle

Nom du fichier saisi : dbylnno

*** Recherche, Creation backups et suppression ***

C:\WINDOWS\system32\dbylnno_navup.dat absent !

C:\WINDOWS\system32\dbylnno_navtmp.dat absent !

C:\WINDOWS\system32\dbylnno_m2s.xml absent !

C:\WINDOWS\System32\dbylnno.exe trouvé !

Copie C:\WINDOWS\system32\dbylnno.exe réalise avec succes !

C:\WINDOWS\system32\dbylnno.exe supprimé !

C:\WINDOWS\System32\dbylnno.dat trouvé !

Copie C:\WINDOWS\system32\dbylnno.dat réalise avec succes !

C:\WINDOWS\system32\dbylnno.dat supprimé !

C:\WINDOWS\System32\dbylnno_nav.dat trouvé !

Copie C:\WINDOWS\system32\dbylnno_nav.dat réalise avec succes !

C:\WINDOWS\system32\dbylnno_nav.dat supprimé !

C:\WINDOWS\System32\dbylnno_navps.dat trouvé !

Copie C:\WINDOWS\system32\dbylnno_navps.dat réalise avec succes !

C:\WINDOWS\system32\dbylnno_navps.dat supprimé !

C:\WINDOWS\prefetch\dbylnno*.pf trouvé !

Copie C:\WINDOWS\prefetch\dbylnno*.pf réalise avec succes !

C:\WINDOWS\prefetch\dbylnno*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression...

C:\Program Files\WebMediaPlayer supprimé !

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\XAVIER\Application Data ***

*** Suppression fichiers ***

C:\DOCUME~1\XAVIER\Bureau\WebMediaPlayer.lnk supprimé !

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\XAVIER\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*

**

***

****

*****

******

*******

********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 20/07/2007 à 15:40:17,98 ***

J'avais oublié le nouveau rapport hijack