[Résolu] correction de mon HijackThis

Gof · le 4 août 2007

Bonjour thebestgalerien,

C'est bien pour le pc. Mais je ne suis pas trop content, tu ne m'as donné quasiment aucun des rapports que je t'avais demandé, et tu n'as pas suivi à la lettre la procédure que je t'avais indiquée.

On fait quoi maintenant ? Tu me donnes ta procédure ?

EDIT : Je ne suis pas content parce que je ne sais pas ce qu'ont détecté les outils, et s'ils ont réussi à tout neutraliser. Les rapports m'auraient indiqué du succès de chacun d'eux et m'aurait indiqué dans quelle direction axer le traitement.

Maintenant on est coincé.

Gof · le 4 août 2007

Bon, ignore l'alerte Antivir pour Navilog1.

Comme tous les outils proposés dans le cadre de la désinfection, ces outils mal utilisés pourraient occasionner quelques soucis sur le pc. Le Packer également utilisé pour sa compilation, peut induire un doute chez Antivir.

Mais tu n'as pas à t'en inquiéter, Navilog1 est un outil sain et très efficace.

Donc renouvelle la démarche avec Navilog en option 1. Et poste le rapport généré à la suite. Tu m'attends avant de faire autre chose.

thebestgalerien · le 4 août 2007

je t'es mis furaxe :P

bon j'ai ignoré antivir comme tu m'as dis et voici donc le rapport 1 :

Search Navipromo version 2.0.5 commencé le 04/08/2007 à 19:10:44,17

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

WebMediaPlayer

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Fabien\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

[+] Started on 08/04/07 at 19:11:10.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items .................................................................................................................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 08/04/07 at 19:28:55 (return code = 0).

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

C:\WINDOWS\system32\eqpphtli.exe trouvé !

C:\WINDOWS\system32\iiykuteq.exe trouvé !

C:\WINDOWS\system32\isahbbhv.exe trouvé !

C:\WINDOWS\system32\prmuwxhb.exe trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse Terminé le 04/08/2007 à 19:37:38,20 ***

Gof · le 4 août 2007

Bon, au travail.

Télécharge CFScript.txt. Si en cliquant sur le lien le téléchargement ne se lance pas, fais un clic-droit dessus et sélectionne enregistrer sous, puis sauvegarde le sur le bureau.

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Double-clique sur le raccourci Navilog1 présent sur le bureau

Laisse-toi guider. Au menu principal, choisis 2 et valide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Ensuite ferme Internet explorer s'il est ouvert. Rends toi dans ton Menu démarrer, Paramètres, Panneau de configuration, Options Internet.

Clique sur l'onglet Contenu, puis Certificats.
Dans tous les onglets, Personnel, Autres personnes, etc. cherche et supprime si tu les trouves :
- electronic-group
- egroup
- Montorgueil
- VIP
- "Sunny Day Design Ltd"

Relance un scan HijackThis

Clique sur Do a system scan only et coche les lignes ci-dessous (si présentes. Si elles ne le sont pas, me le préciser) :

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P] Supreme Commander
O4 - HKLM\..\Run: [nmbkzyje] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\nmbkzyje.dll"
O4 - Global Startup: .protected
O8 - Extra context menu item: &Search -

http://bar.mywebsearch.com/menusearch.html?p=ZNxmk045YYFR
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O21 - SSODL: syshelps - {7B01BF05-A15E-485F-AF48-8BB95EDB2CED} - syshelps.dll (file missing)

Ferme toutes les fenêtres sauf HijackThis et Fix Checked.

Télécharge AVG AS

Mets le à jour.
Ferme AVG AS. Ne pas le lancer tout de suite.
Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php

Télécharge ATF Cleaner par Atribune.

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusquâ€™à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Pour internet explorer
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Pour Firefox
Sous l'onglet Firefox, choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

Lance AVG AS et clique sur Analyse

Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau

Redémarre.

Télécharge SmitfraudFix sur ton bureau.

Décompresse totalité de l'archive smitfraudfix.zip dans un dossier dédié sur ton bureau.
Double-clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport sur le forum dans ta prochaine réponse.
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Poste dans l'ordre les rapports :

Le rapport Combofix.
Le rapport Navilog en option 2.
Le résultat de la suppression ou non de certificats que tu aurais trouvé.
Le rapport d'analyse AVG AS
Un nouveau log Hijackthis et si tu as trouvé des lignes à corriger ou non.
Le rapport Smitfraudfix en option 1

A plus.

thebestgalerien · le 5 août 2007

hello Gof !!

bon cette fois si j'ai suivi t'es instruction a la lettre

- voila le rapport combofix pour commencer :

ComboFix 07-08-03.4 - "Fabien" 2007-08-05 1:17:36.3 [GMT 2:00] - NTFS

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.Vrai

Command switches used :: C:\Documents and Settings\Fabien\Bureau\CFScript.txt

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Program Files\Everest Poker.net

C:\Program Files\Lxatlht

C:\Program Files\PartyGaming.Net

C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\6421.atc

C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\6425.atc

C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\7.html

C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\8317.atc

C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\8319.atc

C:\Program Files\PartyGaming.Net\PartyPokerNet\Language\en_US\articles\9.html

C:\Program Files\PartyGaming.Net\PartyPokerNet\Notes.txt

C:\Program Files\PartyGaming.Net\PartyPokerNet\Temp\pop17a.htm

C:\Program Files\PartyGaming.Net\PartyPokerNet\Temp\pop17A.tmp

C:\Program Files\PartyGaming.Net\PartyPokerNet\Temp\pop17d.htm

C:\Program Files\PartyGaming.Net\PartyPokerNet\Temp\pop17D.tmp

C:\Program Files\PartyGaming.Net\PartyPokerNet\Uninstall.exe

C:\Program Files\PartyGaming.Net\PartyPokerNet\usertab.txt

C:\Program Files\WebMediaPlayer

C:\Program Files\WebMediaPlayer\resources\languages.xml

C:\Program Files\WebMediaPlayer\resources\webmedias

C:\Program Files\WebMediaPlayer\skins\classic.skn

C:\Program Files\WebMediaPlayer\sqlite3.dll

C:\Program Files\WebMediaPlayer\uninst.exe

C:\Program Files\WebMediaPlayer\updates\webmediasDB.upd

C:\Program Files\WebMediaPlayer\WebMediaPlayer.url

C:\WINDOWS\SYSTEM32\axjyjpvp.dll

C:\WINDOWS\SYSTEM32\cbxuttr.exe

C:\WINDOWS\SYSTEM32\ddcyxyw.exe

C:\WINDOWS\SYSTEM32\eqpphtli.exe

C:\WINDOWS\System32\hwbqujxp.exe

C:\WINDOWS\SYSTEM32\iiykuteq.exe

C:\WINDOWS\SYSTEM32\isahbbhv.exe

C:\WINDOWS\SYSTEM32\mljjkig.exe

C:\WINDOWS\SYSTEM32\prmuwxhb.exe

C:\WINDOWS\Tasks\At1.job

C:\WINDOWS\Tasks\At2.job

C:\WINDOWS\Tasks\At3.job

C:\WINDOWS\Tasks\At4.job

C:\WINDOWS\Tasks\At5.job

C:\WINDOWS\Tasks\At6.job

C:\WINDOWS\Tasks\At7.job

C:\WINDOWS\Tasks\At8.job

C:\WINDOWS\Tasks\At9.job

((((((((((((((((((((((((( Files Created from 2007-07-04 to 2007-08-04 )))))))))))))))))))))))))))))))

2007-08-04 23:36 <REP> d-------- C:\Program Files\SpywareBlaster

2007-08-04 19:09 <REP> d-------- C:\Program Files\Navilog1

2007-08-04 19:07 53,248 --a------ C:\WINDOWS\SYSTEM32\Process.exe

2007-08-03 17:33 <REP> d-------- C:\Program Files\CCleaner

2007-08-03 17:28 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic

2007-08-03 02:43 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-08-02 13:11 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise

2007-07-27 01:06 524,288 --a------ C:\WINDOWS\SYSTEM32\DivXsm.exe

2007-07-27 01:06 3,596,288 --a------ C:\WINDOWS\SYSTEM32\qt-dx331.dll

2007-07-27 01:06 200,704 --a------ C:\WINDOWS\SYSTEM32\ssldivx.dll

2007-07-27 01:06 144,704 --a------ C:\WINDOWS\SYSTEM32\DivXCodecVersionChecker.exe

2007-07-27 01:06 1,044,480 --a------ C:\WINDOWS\SYSTEM32\libdivx.dll

2007-07-27 01:03 823,296 --a------ C:\WINDOWS\SYSTEM32\divx_xx0c.dll

2007-07-27 01:03 823,296 --a------ C:\WINDOWS\SYSTEM32\divx_xx07.dll

2007-07-27 01:03 81,920 --a------ C:\WINDOWS\SYSTEM32\dpl100.dll

2007-07-27 01:03 802,816 --a------ C:\WINDOWS\SYSTEM32\divx_xx11.dll

2007-07-27 01:03 740,442 --a------ C:\WINDOWS\SYSTEM32\DivX.dll

2007-07-27 01:03 593,920 --a------ C:\WINDOWS\SYSTEM32\dpuGUI11.dll

2007-07-27 01:03 57,344 --a------ C:\WINDOWS\SYSTEM32\dpv11.dll

2007-07-27 01:03 53,248 --a------ C:\WINDOWS\SYSTEM32\dpuGUI10.dll

2007-07-27 01:03 344,064 --a------ C:\WINDOWS\SYSTEM32\dpus11.dll

2007-07-27 01:03 294,912 --a------ C:\WINDOWS\SYSTEM32\dpu11.dll

2007-07-27 01:03 294,912 --a------ C:\WINDOWS\SYSTEM32\dpu10.dll

2007-07-27 01:03 196,608 --a------ C:\WINDOWS\SYSTEM32\dtu100.dll

2007-07-27 01:03 12,288 --a------ C:\WINDOWS\SYSTEM32\DivXWMPExtType.dll

2007-07-20 01:55 <REP> d-------- C:\Program Files\Alwil Software

2007-07-19 17:21 76,560 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\tmcomm.sys

2007-07-19 14:49 <REP> d-------- C:\DOCUME~1\Fabien\.housecall6.6

2007-07-18 19:06 <REP> d-------- C:\kav

2007-07-17 15:05 <REP> d-------- C:\WINDOWS\SYSTEM32\Kaspersky Lab

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-05 00:37 --------- d-------- C:\Program Files\eMule

2007-08-04 23:32 --------- d-------- C:\Program Files\DivX

2007-08-04 19:51 --------- d-------- C:\Program Files\a-squared Free

2007-08-04 03:05 72516 --a------ C:\WINDOWS\system32\perfc00C.dat

2007-08-04 03:05 461554 --a------ C:\WINDOWS\system32\perfh00C.dat

2007-08-03 02:58 --------- d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment

2007-08-02 00:21 --------- d-------- C:\Program Files\Starcraft

2007-07-27 01:06 43528 --------- C:\WINDOWS\system32\drivers\pxhelp20.sys

2007-07-27 01:06 129784 --------- C:\WINDOWS\system32\pxafs.dll

2007-07-27 01:06 120056 --------- C:\WINDOWS\system32\pxcpyi64.exe

2007-07-27 01:06 118520 --------- C:\WINDOWS\system32\pxinsi64.exe

2007-07-24 12:12 34304 --a--c--- C:\DOCUME~1\Fabien\APPLIC~1\GDIPFONTCACHEV1.DAT

2007-07-15 17:52 --------- d-------- C:\Program Files\DAEMON Tools

2007-07-10 10:30 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2007-06-29 13:23 28672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys

2007-06-29 13:16 --------- d-------- C:\Program Files\Microsoft ActiveSync

2007-06-29 13:16 --------- d-------- C:\Program Files\Fichiers communs\Teleca Shared

2007-06-29 08:46 51733 --a------ C:\WINDOWS\system32\plugin1.dat

2007-06-29 02:06 --------- d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-06-28 21:56 --------- d-------- C:\DOCUME~1\Fabien\APPLIC~1\Command & Conquer 3 Les guerres du Tiberium

2007-06-27 12:54 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2007-06-27 04:09 --------- d-------- C:\Program Files\Electronic Arts

2007-06-26 20:30 --------- d-------- C:\Program Files\THQ

2007-06-16 12:16 --------- d--h----- C:\Program Files\InstallShield Installation Information

2007-06-15 11:18 --------- d-------- C:\Program Files\Lavasoft

2007-05-16 17:13 86528 --------- C:\WINDOWS\system32\dllcache\directdb.dll

2007-05-16 17:13 85504 --a------ C:\WINDOWS\system32\dllcache\wabimp.dll

2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll

2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\dllcache\inetcomm.dll

2007-05-16 17:13 510976 --------- C:\WINDOWS\system32\dllcache\wab32.dll

2007-05-16 17:13 1314816 --------- C:\WINDOWS\system32\dllcache\msoe.dll

2007-05-04 14:36 3079680 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll

2006-10-07 20:54 390023 -rahs---- C:\Program Files\wunauclt.zip

2006-10-07 20:54 390023 -rahs---- C:\Program Files\wunauclt.tbe

2006-08-27 15:38 1015973 -rahs---- C:\Program Files\serial.tde

2006-08-27 15:19 56239 --a------ C:\Program Files\svchosts.tbe

2006-07-30 20:45 278528 --a--c--- C:\Program Files\Fichiers communs\FDEUnInstaller.exe

2003-03-20 20:49 266 --ahs---- C:\Program Files\desktop.ini

2003-03-20 20:49 11208 --ah-c--- C:\Program Files\folder.htt

--------- C:\Program Files\Hijackthis Version Française

2004-08-19 23:09:19 65,024 --sha-w C:\WINDOWS\SYSTEM32\asycfilt.dll

2004-08-19 23:09:30 1,028,096 --sha-w C:\WINDOWS\SYSTEM32\mfc42.dll

2001-08-28 11:00:00 57,344 --sha-w C:\WINDOWS\SYSTEM32\mfc42loc.dll

2004-08-19 23:09:34 413,696 --sha-w C:\WINDOWS\SYSTEM32\msvcp60.dll

2004-08-19 23:09:34 343,040 --sha-w C:\WINDOWS\SYSTEM32\msvcrt.dll

2001-08-28 11:00:00 253,952 -csha-w C:\WINDOWS\SYSTEM32\msvcrt20.dll

2004-08-19 23:09:36 553,472 --sha-w C:\WINDOWS\SYSTEM32\oleaut32.dll

2004-08-19 23:09:36 83,456 --sha-w C:\WINDOWS\SYSTEM32\olepro32.dll

2004-08-19 23:09:46 30,749 --sha-w C:\WINDOWS\SYSTEM32\vbajet32.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{67bd4290-1dd2-11b2-adbf-c1cab77e6f46}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cc2c1f72-1dd1-11b2-be70-ca8667d831d7}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" []

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-10-25 19:58]

"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 23:32]

"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 18:17]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-04 11:38]

"nwiz"="nwiz.exe" [2005-11-04 11:38 C:\WINDOWS\SYSTEM32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-11-04 11:38]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]

"Orange Desktop Search"="C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" [2006-11-02 16:08]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 00:29]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

.protected [2007-05-27 19:58:19]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk

backup=C:\WINDOWS\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk

backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Assistant d'Acrobat.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Assistant d'Acrobat.lnk

backup=C:\WINDOWS\pss\Assistant d'Acrobat.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk

backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinScheduler.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinScheduler.lnk

backup=C:\WINDOWS\pss\InterVideo WinScheduler.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^MyWebSearch Email Plugin.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MyWebSearch Email Plugin.lnk

backup=C:\WINDOWS\pss\MyWebSearch Email Plugin.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy]

C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]

"C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

"C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]

C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]

"C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]

C:\Program Files\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

"C:\Program Files\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lycosInside]

C:\Program Files\lycos\Lyc_SysTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]

"C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

C:\WINDOWS\System32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]

C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Audio Engine]

mmrtkrnl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]

C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemTray]

SysTray.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

"C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TopSearch]

C:\Program Files\TopSearch\TopSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wanadoo Messager.exe]

"C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

"C:\Program Files\Winamp3\winampa.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]

C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]

"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys

R0 MMRTKRNL;MMRTKRNL;C:\WINDOWS\system32\drivers\mmrtkrnl.sys

R0 PrecSim;PrecSim;C:\WINDOWS\system32\DRIVERS\precsim.sys

R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\system32\drivers\prohlp02.sys

R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\system32\drivers\prosync1.sys

R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\system32\drivers\sfhlp01.sys

R0 sfsync02;StarForce Protection Synchronization Driver (version 2.x);C:\WINDOWS\system32\drivers\sfsync02.sys

R1 avgio;avgio;\??\C:\Program Files\AntiVir PersonalEdition Classic\avgio.sys

R1 avipbb;avipbb;C:\WINDOWS\system32\DRIVERS\avipbb.sys

R1 PQNTDrv;PQNTDrv;C:\WINDOWS\system32\drivers\PQNTDrv.sys

R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\system32\drivers\prodrv06.sys

R1 ssmdrv;ssmdrv;C:\WINDOWS\system32\DRIVERS\ssmdrv.sys

R2 aslm75;aslm75;\??\C:\WINDOWS\system32\drivers\aslm75.sys

R2 enodpl;enodpl;C:\WINDOWS\system32\drivers\enodpl.sys

R2 NetFxUpdate_v1.1.4322;Microsoft .NET Framework v1.1.4322 Update;C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe

R2 tandpl;tandpl;C:\WINDOWS\system32\drivers\tandpl.sys

R3 avgntflt;avgntflt;\??\C:\Program Files\AntiVir PersonalEdition Classic\avgntflt.sys

R3 itchfltr;iTouch Keyboard Filter;C:\WINDOWS\system32\DRIVERS\itchfltr.sys

R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft;C:\WINDOWS\system32\drivers\msmpu401.sys

R3 nvax;Service for NVIDIA® nForce Audio Enumerator;C:\WINDOWS\system32\drivers\nvax.sys

R3 NVENET;NVIDIA nForce MCP Networking Adapter Driver;C:\WINDOWS\system32\DRIVERS\NVENET.sys

R3 nvnforce;Service for NVIDIA® nForce Audio;C:\WINDOWS\system32\drivers\nvapu.sys

S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys

S3 CO_Mon;CO_Mon;\??\C:\WINDOWS\system32\Drivers\CO_Mon.sys

S3 GcKernel;Pilote de filtre Microsoft SideWinder Value Add;C:\WINDOWS\system32\DRIVERS\GcKernel.sys

S3 HIDSwvd;Minipilote de p‚riph‚rique Microsoft SideWinder HID virtuel;C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys

S3 LCcfltr;Logitech USB Filter Driver;C:\WINDOWS\system32\drivers\lccfltr.sys

S3 MSIRCOMM;Microsoft IR Communications Driver;C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys

S3 musbehco;musbehco;\??\C:\DOCUME~1\Fabien\LOCALS~1\Temp\musbehco.sys

S3 PCAMPR5;PCAMPR5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PCAMPR5.SYS

S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys

S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\SE2Emdfl.sys

S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\SE2Emdm.sys

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys

S3 STIrUsb;STIrUsb.sys USB-IrDA Adapter;C:\WINDOWS\system32\DRIVERS\irstusb.sys

S3 vaxscsi;vaxscsi;C:\WINDOWS\system32\Drivers\vaxscsi.sys

S3 wanatw;WAN Miniport (ATW);C:\WINDOWS\system32\DRIVERS\wanatw4.sys

S3 wceusbsh;Windows CE USB Serial Host Driver;C:\WINDOWS\system32\DRIVERS\wceusbsh.sys

S3 zlportio;zlportio;\??\C:\DOCUME~1\Fabien\LOCALS~1\Temp\ir_ext_temp_1\AutoPlay\Docs\starfuck_de\starfuck_de\program\zlportio.sys

S4 ATMsrvc;ATM Service;C:\WINDOWS\System32\ATMsrvc.exe

S4 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{39631872-d11b-11da-94a8-00e018f78029}]

AutoRun\command- J:\OblivionLauncher.exe

*Newly Created Service* - SSMDRV

Contents of the 'Scheduled Tasks' folder

2007-07-30 18:42:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-05 01:33:58

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

"TracesProcessed"=dword:000010af

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-08-05 1:35:57

C:\ComboFix-quarantined-files.txt ... 2007-08-05 01:35

C:\ComboFix2.txt ... 2007-08-04 11:31

C:\ComboFix3.txt ... 2007-08-03 03:02

--- E O F ---

- le rapport navilog 2 :

Clean Navipromo version 2.0.5 commencé le 05/08/2007 à 1:43:50,03

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Fabien\Application Data ***

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Fabien\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*

**

***

****

*****

******

*******

********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 05/08/2007 à 1:52:30,31 ***

- au niveau des certificats je n'en es trouvé aucun donc je ne sais pas si c'est normal ou pas

- mon rapport AVG :

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 05:14:33 05/08/2007

+ Résultat de l'analyse:

C:\QooBox\Quarantine\C\Program Files\Everest Poker.net.vir\CStart.exe -> Adware.Casino : Nettoyé et sauvegardé (mise en quarantaine).

C:\QooBox\Quarantine\C\Program Files\Everest Poker.net.vir\Everest Poker.net.exe -> Adware.Casino : Nettoyé et sauvegardé (mise en quarantaine).

C:\QooBox\Quarantine\C\Program Files\Everest Poker.net.vir\cstart-tmp.exe -> Adware.Casino : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Maman\Application Data\ShopperReports -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Maman\Application Data\ShopperReports\cs -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Maman\Application Data\ShopperReports\cs\dwld -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Maman\Application Data\ShopperReports\cs\persist.dbs -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Maman\Application Data\ShopperReports\shprrprt.log -> Adware.HotBar : Nettoyé et sauvegardé (mise en quarantaine).

C:\WINDOWS\SYSTEM32\vkfcimqm\vkfcimqm3.exe -> Adware.UltimateDefender : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\a-squared Free\Quarantine\3B443F593B3A5B848858E0734C2407BE62338520.a2q/program files/fichiers communs/drivecleaner free/udcsdr.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\a-squared Free\Quarantine\3B443F593B3A5B848858E0734C2407BE62338520.a2q/program files/fichiers communs/drivecleaner free/udcwap.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\a-squared Free\Quarantine\8F65A229659ED8450F42CFB0C4E0885C3D9CDB2A.a2q/program files/fichiers communs/drivecleaner free/udcsdr.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).

C:\Program Files\a-squared Free\Quarantine\8F65A229659ED8450F42CFB0C4E0885C3D9CDB2A.a2q/program files/fichiers communs/drivecleaner free/udcwap.exe -> Adware.WinFixer : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Fabien\Bureau\EliBaglA.exe -> Heuristic.Win32.AVKiller : Nettoyé et sauvegardé (mise en quarantaine).

C:\QooBox\Quarantine\C\WINDOWS\SYSTEM32\hwbqujxp.exe.vir -> Not-A-Virus.Downloader.Win32.Casino : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Maman\Cookies\maman@www.adobe[2].txt -> TrackingCookie.Adobe : Nettoyé.

:mozilla.15:C:\Documents and Settings\Fabien\Application Data\Mozilla\Firefox\Profiles\zi27gu0s.Utilisateur par défaut\cookies.txt -> TrackingCookie.Netflame : Nettoyé.

:mozilla.16:C:\Documents and Settings\Fabien\Application Data\Mozilla\Firefox\Profiles\zi27gu0s.Utilisateur par défaut\cookies.txt -> TrackingCookie.Netflame : Nettoyé.

Fin du rapport

- mon log Hijackthis sachant que je n'es pas trouvé ces 2 lignes

O4 - HKLM\..\Run: [i downloaded pirated Software from P2P] Supreme Commander

O4 - HKLM\..\Run: [nmbkzyje] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\nmbkzyje.dll"

et que celle la je ne peux pas la supprimer, le message d'erreur me dit qu'elle est en cour d'utilisation :

O4 - Global Startup: .protected

voila aprés la suite du log :

Logfile of HijackThis v1.99.1

Scan saved at 05:22:38, on 05/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {67bd4290-1dd2-11b2-adbf-c1cab77e6f46} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {cc2c1f72-1dd1-11b2-be70-ca8667d831d7} - (no file)

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [REGSHAVE] "C:\Program Files\REGSHAVE\REGSHAVE.EXE" /AUTORUN

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - Global Startup: .protected

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/...ivex/hcImpl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Automatic LiveUpdate Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

- et pour finir rapport smitfraudfix :

SmitFraudFix v2.208

Rapport fait à 5:20:36,42, 05/08/2007

Executé à partir de C:\Documents and Settings\Fabien\Bureau\smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\migicons.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fabien

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Fabien\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Fabien\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="http://images.google.fr/images?q=tbn:RwC522I54tIJ:images-eu.amazon.com/images/P/B00009LW76.02.LZZZZZZZ.jpg"'>http://images.google.fr/images?q=tbn:RwC522I54tIJ:images-eu.amazon.com/images/P/B00009LW76.02.LZZZZZZZ.jpg"

"SubscribedURL"="http://images.google.fr/images?q=tbn:RwC522I54tIJ:images-eu.amazon.com/images/P/B00009LW76.02.LZZZZZZZ.jpg"

"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce MCP Networking Adapter

DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{DA319E23-C35C-461E-903C-3E48B5C5C802}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DA319E23-C35C-461E-903C-3E48B5C5C802}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{DA319E23-C35C-461E-903C-3E48B5C5C802}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Voila mainant a toi de jouer

Gof · le 6 août 2007

Bonsoir thebestgalerien

Me revoila.

Bon, je me suis trompé sur l'option de Navilog1, je t'ai écrit 2 en pensant 1. Ce n'est pas grave. Génère un rapport en option 1 je te prie.

Suivi d'un passage de l'outil smitfraudfix en option 2.

Utilisation ----- option 2-Nettoyage :

Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage

ou tuto Symantec).

Double cliquer sur smitfraudfix.cmd

Sélectionner 2[ pour supprimer les fichiers responsables de l'infection.

A la question Voulez-vous nettoyer le registre ? répondre O[ (oui) afin de débloquer le fond d'écran

et supprimer les clés de démarrage automatique de l'infection.

Le fix déterminera si le fichier wininet.dll] est infecté.

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

Redémarrer en mode normal et poster le rapport sur le forum.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Attention : l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Enfin, assure toi que ces répertoires n'existent plus. Si tu les trouves, supprime les :

C:\Documents and Settings\Maman\Application Data\ShopperReport

C:\WINDOWS\SYSTEM32\vkfcimqm.

Tu auras sans doute besoin d'avoir accès aux fichiers et dossiers cachés pour vérifier de leur présence ou non :

Pour afficher les fichiers et dossiers cachés du systéme :
Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation
---> Répondre OUI à la demande de confirmation

Cliquer Appliquer puis OK

Pense à vider la quarantaine de a-squared Free. Je t'attends avec les rapports Navilog option 1, Smitfraudfix en option 2, et si tu as pu supprimé les répertoires malveillants et la quarantaine d'a-squared Free. A plus tard.

thebestgalerien · le 7 août 2007

bonsoir Gof

bon j'ai fais tout ce que tu m'as dis

j'ai vidé a-squared Free , j'ai supprimé les repertoires :

C:\Documents and Settings\Maman\Application Data\ShopperReport

C:\WINDOWS\SYSTEM32\vkfcimqm

donc pour cela niquel

aprés voici mon rapport navilog en option 1 :

1)

Search Navipromo version 2.0.5 commencé le 07/08/2007 à 20:02:25,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Fabien\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

[+] Started on 08/07/07 at 20:02:27.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ..........................................................................................................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 08/07/07 at 20:19:17 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

3)Recherche Certificats :

*** Analyse Terminé le 07/08/2007 à 20:19:39,96 ***

2) et voici smitfraudfix en option 2 :

SmitFraudFix v2.208

Rapport fait à 20:29:03,67, 07/08/2007

Executé à partir de C:\Documents and Settings\Fabien\Bureau\smitfraud\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bon dis moi ce que tu en pense mais je sens déjà de net amélioration au niveau de l'ordi, plus de page Internet qui s’ouvre en permanence pour me dire que mon ordi est contaminé , le démarrage de l'ordi ce fait très rapidement , etc...

Seul bémole, je joué avant au poker en ligne sur eversetpoker et depuis quelques jours je ne peux plus rien faire avec le logiciel, est ce normal ??

Cordialement thebestgalerien

Gof · le 7 août 2007

Bonsoir thebestgalerien

Seul bémole, je joué avant au poker en ligne sur eversetpoker et depuis quelques jours je ne peux plus rien faire avec le logiciel, est ce normal ??

Oui, le script exécuté par combofix t'a fait supprimer une partie du soft. Je ne t'ai pas encore tout fait supprimer. Regarde ce qui suit, cela justifie pourquoi je te l'ai fait supprimer :

C:\Logiciels\Everest Poker.exe -> Adware.Casino
C:\Program Files\Everest Poker\Everest Poker.exe -> Adware.Casino

C:\Program Files\Everest Poker\cstart-tmp.exe -> Adware.Casino

C:\Program Files\Everest Poker\cstart.exe -> Adware.Casino

Le rapport Smitfraudfix n'a pas révélé de restes. C'est bien. Le rapport Navilog1 non plus ; cependant l'outil a eu une grosse mise à jour récemment. Je souhaiterais donc que tu désinstalles la version que tu as sur ton pc (via le panneau Ajout/Suppression de programmes et que tu retélécharges une version à jour pour l'exécuter à nouveau en option 1.

Pour rappel :

Fais un clic droit sur ce lien : Navilog1
Enregistre la cible (du lien) sous... et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.

Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

thebestgalerien · le 8 août 2007

salut Gof ,

bon oki pour everestpoker mais tu crois que je pourrais le réinstaller aprés ou pas ??

et voici le rapport de navilog en option 1 :

Search Navipromo version 2.0.6 commencé le 08/08/2007 à 13:22:50,75

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 06.08.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Fabien\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

[+] Started on 08/08/07 at 13:22:54.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ......................................................................................................................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 08/08/07 at 13:41:16 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

3)Recherche Certificats :

*** Recherche avec GenericNaviSearch Beta ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés - Malware Packer :

Aucun Fichier trouvé :

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Analyse Terminé le 08/08/2007 à 13:41:46,34 ***

il n'y a plus rien donc de suspect sur mon ordi , niquel !!!! :P

tu veux que je te poste un dernier rapport hijackthis ??!! bon je te le poste étant donné que ce soir je ne serais pas chez moi :

Logfile of HijackThis v1.99.1

Scan saved at 13:47:45, on 08/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Windows Media Player\wmplayer.exe