Rapport Hijackthis de retour!

gydhja · le 19 août 2007

Bonjour,

Après le succès de la désinfection de mon pc je voulais encore une fois vous remercier!!! et sans vouloir abuser, serait il possible d'examiner le rapport Hijackthis du pc de ma soeur que voici!! Il rame énormément et sur le sien aussi des fenêtres intempestives de spyware secure et aux s'ouvrent!!

Merci par avance!!!

Gydhja

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:01:44, on 19/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MessengerSkinner\MessengerSkinner.exe

C:\WINDOWS\system32\lxcycoms.exe

C:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe

C:\Program Files\eMule\emule.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Documents and Settings\morival cathy\Bureau\HJTInstall.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://accountservices.passport.net/reg.sr...c=1036&id=2

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MSN Messenger\MessengerSkinner\MessengerSkinner.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [dupesoap] D:\DOCUME~1\MORIVA~1\APPLIC~1\SHIMLI~1\ONLINE PROGRAM BALM.exe

O4 - HKCU\..\Run: [srvreg] C:\WINDOWS\system32\srvreg.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: WiFi Station pour Livebox.lnk = ?

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Baraka Casino Online - {5FC8323C-261D-47c1-83E4-4E91F9AF2B54} - C:\Casino\Baraka Casino Online\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Baraka Casino Online - {5FC8323C-261D-47c1-83E4-4E91F9AF2B54} - C:\Casino\Baraka Casino Online\casino.exe (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/DLHelper/ve...n7/DLHelper.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://fortunelounge.microgaming.com/generic/FlashAX.cab

O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://casinoclassic.microgaming.com/casin...ic/FlashAX2.cab

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe

O23 - Service: Modaservice - Unknown owner - C:\PROGRA~1\LECTRA~1\MODASE~1.1\modaserv.exe (file missing)

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--

End of file - 9320 bytes

gydhja · le 19 août 2007

rebonjour,

J'ai fais un Ccleaner maintenant je suppose que j'ai surement des choses à faire par rapport à mon rapport hijackthis, merci de votre aide...

Gydhja

Lien Rag · le 19 août 2007

Bonsoir

a.

Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip

Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.

Cela va créer un dossier clean.

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.

Un rapport Va etre généré, colle le contenu entier ici.

b.

Télécharge Navilog1.exe (Il Mafioso) sur ton bureau

Ensuite double clique sur [g]navilog1.exe[/g] pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis [g]1[/g] et valides.

/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\

Patiente jusqu'au message :

"*** Analyse Termine le ..... ***"

Appuie sur une touche comme demandé, le blocnote va s'ouvrir.

Copie-colle l'intégralité dans une réponse. Referme le blocnote.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Poste-nous son contenu de cette manière :

-> Edition / Sélectionner tout

-> Edition / Copier

-> Clique-Droit / Coller dans ta réponse

gydhja · le 19 août 2007

Voici les 2 rapports demandés :

19/08/2007 a 19:55:20,65

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

"D:\Documents and Settings\morival cathy\Application Data\MessengerSkinner\" FOUND

*** Recherche des fichiers dans C:\Program Files

"C:\Program Files\BitDownload" FOUND

"C:\Program Files\Viewpoint\" FOUND

*** Fin du rapport !

Navilog :

Search Navipromo version 2.0.8 commencé le 19/08/2007 à 19:58:57,32

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

MessengerSkinner

*** Recherche dossiers dans C:\WINDOWS ***

C:\WINDOWS\msskinner trouvé !

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans D:\Documents and Settings\morival cathy\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\xkwyeweaa.dat

C:\windows\system32\xkwyeweaa.exe

c:\WINDOWS\system32\xkwyeweaa_nav.dat

c:\WINDOWS\system32\xkwyeweaa_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\xkwyeweaa.exe

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-0870AF5E.pf trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-3645094501-2486864048-2391907729-1006\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

C:\WINDOWS\system32\qlgbefdwru.dat trouvé !

C:\WINDOWS\system32\xkwyeweaa.dat trouvé !

**

C:\WINDOWS\system32\qlgbefdwru.dat trouvé !

C:\WINDOWS\system32\xkwyeweaa.dat trouvé !

***

C:\WINDOWS\system32\qlgbefdwru_navup.dat trouvé !

****

C:\WINDOWS\system32\qlgbefdwru_navps.dat trouvé !

*****

C:\WINDOWS\system32\qlgbefdwru_nav.dat trouvé !

C:\WINDOWS\system32\xkwyeweaa_nav.dat trouvé !

C:\WINDOWS\system32\qlgbefdwru_navup.dat trouvé !

******

*******

C:\WINDOWS\system32\ekprlgvvj.exe trouvé !

********

C:\WINDOWS\system32\ekprlgvvj.exe trouvé !

C:\WINDOWS\system32\juozhar.exe trouvé !

C:\WINDOWS\system32\msuehauii.exe trouvé !

C:\WINDOWS\system32\vxiwojkw.exe trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Recherche avec GenericNaviSearch Beta ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

C:\WINDOWS\system32\asuuoa.exe trouvé !

C:\WINDOWS\system32\gwapapa.exe trouvé !

C:\WINDOWS\system32\xkwyeweaa.exe trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Analyse Terminé le 19/08/2007 à 20:07:59,53 ***

Lien Rag · le 19 août 2007

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC

Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :

"*** Nettoyage Termine le ..... ***"

Le bloc-notes va s'ouvrir.

Sauvegarde le rapport de manière à le retrouver

Referme le bloc-notes. Ton bureau va réapparaitre

Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

=> Supprime-les tous

Post le rapport cleannavi sauvegardé auparavant.

NOTES :

[*] Le rapport se trouve également ici : %root%\cleannavi.txt

[*]Si ton Bureau ne réapparaît pas, fais ceci :

-> Clique simultanément sur Ctrl + Alt + Suppr.

Clique sur l'onglet Fichier puis choisis Nouvelle tâche.

Tape Explorer puis valide.

-> Choisis Exécuter..., tape Explorer puis valide.

Modifié le 19 août 2007 par Lien Rag

gydhja · le 19 août 2007

Je n'ai pas trouvé les fichiers en gras malheureusement...

Voici le rapport cleanavi :

Clean Navipromo version 2.0.8 commencé le 19/08/2007 à 20:35:51,14

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

*** Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\xkwyeweaa.dat supprimé !

C:\windows\system32\xkwyeweaa.exe supprimé !

c:\WINDOWS\system32\xkwyeweaa_nav.dat supprimé !

c:\WINDOWS\system32\xkwyeweaa_navps.dat supprimé !

** 2ème passage **

C:\WINDOWS\system32\xkwyeweaa.exe absent !

C:\WINDOWS\system32\xkwyeweaa.dat absent !

C:\WINDOWS\system32\xkwyeweaa_nav.dat absent !

C:\WINDOWS\system32\xkwyeweaa_navps.dat absent !

C:\WINDOWS\system32\xkwyeweaa_navup.dat absent !

C:\WINDOWS\system32\xkwyeweaa_navtmp.dat absent !

C:\WINDOWS\system32\xkwyeweaa_m2s.xml absent !

C:\WINDOWS\prefetch\xkwyeweaa*.pf trouvé !

Copie C:\WINDOWS\prefetch\xkwyeweaa*.pf réalise avec succes !

C:\WINDOWS\prefetch\xkwyeweaa*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

C:\WINDOWS\msskinner ...suppression...

C:\WINDOWS\msskinner supprimé !

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans D:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans D:\Documents and Settings\morival cathy\Application Data ***

...\Application Data\MessengerSkinner ...suppression...

...\Application Data\MessengerSkinner supprimé !

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-0870AF5E.pf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu D:\Documents and Settings\morival cathy\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*

C:\WINDOWS\System32\qlgbefdwru.dat trouvé !

Copie C:\WINDOWS\system32\qlgbefdwru.dat réalise avec succes !

C:\WINDOWS\system32\qlgbefdwru.dat supprimé !

**

***

C:\WINDOWS\System32\qlgbefdwru_navup.dat trouvé !

Copie C:\WINDOWS\system32\qlgbefdwru_navup.dat réalise avec succes !

C:\WINDOWS\system32\qlgbefdwru_navup.dat supprimé !

****

C:\WINDOWS\System32\qlgbefdwru_navps.dat trouvé !

Copie C:\WINDOWS\system32\qlgbefdwru_navps.dat réalise avec succes !

C:\WINDOWS\system32\qlgbefdwru_navps.dat supprimé !

*****

C:\WINDOWS\System32\qlgbefdwru_nav.dat trouvé !

Copie C:\WINDOWS\system32\qlgbefdwru_nav.dat réalise avec succes !

C:\WINDOWS\system32\qlgbefdwru_nav.dat supprimé !

******

*******

C:\WINDOWS\System32\ekprlgvvj.exe trouvé !

Copie C:\WINDOWS\system32\ekprlgvvj.exe réalise avec succes !

C:\WINDOWS\system32\ekprlgvvj.exe supprimé !

********

C:\WINDOWS\system32\juozhar.exe trouvé !

Copie C:\WINDOWS\system32\juozhar.exe réalise avec succes !

C:\WINDOWS\system32\juozhar.exe supprimé !

C:\WINDOWS\system32\msuehauii.exe trouvé !

Copie C:\WINDOWS\system32\msuehauii.exe réalise avec succes !

C:\WINDOWS\system32\msuehauii.exe supprimé !

C:\WINDOWS\system32\vxiwojkw.exe trouvé !

Copie C:\WINDOWS\system32\vxiwojkw.exe réalise avec succes !

C:\WINDOWS\system32\vxiwojkw.exe supprimé !

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Recherche avec GenericNaviSearch Beta ***

!!! Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

C:\WINDOWS\System32\asuuoa.exe trouvé !

Copie C:\WINDOWS\system32\asuuoa.exe réalise avec succes !

C:\WINDOWS\system32\asuuoa.exe supprimé !

C:\WINDOWS\System32\gwapapa.exe trouvé !

Copie C:\WINDOWS\system32\gwapapa.exe réalise avec succes !

C:\WINDOWS\system32\gwapapa.exe supprimé !

Fichiers suspects non supprimés :

Aucun Fichier suspect trouvé !

*** Nettoyage termine le 19/08/2007 à 20:44:56,86 ***

Lien Rag · le 19 août 2007

1.Redémarre ton PC en mode sans échec :

Click here

2.Double-click sur clean.

apparition de : une fenêtre noire.

puis : Un menu va apparaître

selectionne l'option 2 en appuyant sur la touche 2 de ton clavier.

un rapport sera créé(*)

3. post ds ton prochain message le rapport generé(*)

ensuite

scan panda en ligne

préalablement , desactive antivirus actuel

Une fois sur le site Panda

décoche la case "me tenir au courant des dernières nouvelles ..." avant de lancer le scan, pour ne pas reçevoir de mails de leur part.

accepte de renseigner les champs, effectue le scan , poste le rapport de scan dans prochain message

details Panda use:

"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup

post moi le rapport ainsi qu'un nouveau Hijack tp

gydhja · le 21 août 2007

Bonsoir, désolée je n'ai pas pu accéder au pc avant...

J'ai fais la démarche demandée, seulement pas moyen de faire un scan avec Panda en ligne... donc je ne poste que le rapport clean en mode sans échec et le nouveau rapport hijackthis, est-il possible d'utiliser un autre scan en ligne ?

rapport clean :

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 21/08/2007 a 19:39:54,01

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

tentative de suppression de "C:\Program Files\BitDownload"

tentative de suppression de "C:\Program Files\Viewpoint\"

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

Rapport hijack :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:34:08, on 21/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\Explorer.EXE

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\lxcycoms.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Hercules\WiFi Station pour Livebox\WifiStationLB.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://accountservices.passport.net/reg.sr...c=1036&id=2

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)