Pc infecté... (beusoin d'aide) [resolu]

[pipion]

Salut les Zébuloniens

 

J'ai encore un ami qui m'a apporté son pc plein de petites bétes (je pense).

Voici les sympthomes, quand on surf sur le net il y a des pages casino qui s'ouvre, des pages de site XXX & des pages d'horoscope.

En plus je me suis aperçu que son firewall windows n'été pas activé, et j'ai voulu le faire fonctionner, mais impossible !! (et bien sur avast n'été pas à jour)

voici ce que sa ma marqué !!

Et des fois, il y a d'autre messages de ce type voir ici plus des messages de spyware secure en me disant de nettoyer le pc.

 

Donc je pense qu'effectivement ces infecté, j'ai déja nettoyé avec ccleaner,beclean,aft cleaner,l'outil avast (qui na rien trouvé),spyboot et la je suis entrain de le faire avec avg anti virus.

Voici mon rapport hijacthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:29:20, on 22/08/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\PROGRA~1\Grisoft\AVG7\avgwb.dat

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 5036 bytes

 

voici le rapport d'avg anti virus qui n'a rien trouvé ici

 

Dans l'attente de vos réponses, merci d'avance

Modifié le 25 août 2007 par pipion

[bruce lee]

Bonjou pipion,

 

Ton probleme est du a l'installation de Webmediaplayer.

 

Fais un clic droit sur ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.

Fais un clic droit sur navilog1.zip et choisis "tout extraire"

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

 

Laisse-toi guider. Au menu principal, choisis 1 et valides.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

 

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le blocnote va s'ouvrir.

Copie-colle l'intégralité dans une réponse. Referme le blocnote.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

[pipion]

Voici le rapport

 

Search Navipromo version 2.0.9 commencé le 22/08/2007 à 11:06:00,79

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

WebMediaPlayer

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

C:\Program Files\WebMediaPlayer trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Utilisateur\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\tjtwyd.dat

C:\windows\system32\tjtwyd.exe

c:\WINDOWS\system32\tjtwyd_nav.dat

c:\WINDOWS\system32\tjtwyd_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\tjtwyd.exe

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés :

 

C:\WINDOWS\system32\tjtwyd.exe trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-1547161642-1606980848-839522115-1004\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\tjtwyd.dat trouvé !

**

C:\WINDOWS\system32\tjtwyd.dat trouvé !

***

****

C:\WINDOWS\system32\tjtwyd_navps.dat trouvé !

*****

******

*******

********

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse Terminé le 22/08/2007 à 11:10:54,71 ***

[pipion]

En attente de vos réponse ....................

[bruce lee]

re,

 

Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

Je te conseille d'enregistrer la page web compléte sous Internet Explorer comme ceci :

 

* Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau,comme cela tu retrouvera la mise en forme ou imprime cette réponse. Une partie de la désinfection se déroulera en mode sans échec.

 

Tu as avast! et AVG comme antivirus. Il te faut en désinstaller un des deux.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/Démarre en mode sans échec http://cybersecurite.xooit.com/t88-Demarre...s-echec.htm#665

 

 

3/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier infecté est détecté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

4/Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.

 

Le fix va t'informer qu'il va alors redémarrer ton PC

Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

 

Patiente jusqu'au message :

*** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.

Sauvegarde le rapport de manière à le retrouver

Referme le blocnote. Ton bureau va réapparaitre

 

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

 

Poste le rapport cleanavi.txt

 

 

5/Poste le rapport d'AVG Anti spyware 7.5.

 

6/Tu n'as pas de firewall, c'est pourtant indispensable, prends en un tel kerio:

 

_kerio que tu peux télecharger ici http://www.inoculer.com/firewall5.php3

-tuto pour kerio http://www.vulgarisation-informatique.com/kerio.php

 

Telecharge et installe le puis mets le à jour si necessaire.

 

 

Bon courage, et si tu as la moindre question n'hésite surtout pas

 

@+

[pipion]

ok merci,

déja je ne peu pas ouvrir "ajout/supression de programme" pour désinstaller avast, sa ne marche pas comment pui je faire ?

[bruce lee]

Re,

 

Télécharge et execute ce fichier:

http://files.avast.com/files/eng/aswclear.exe

[pipion]

Ok bruce lee,

 

J'ai fais ce que tu ma recommandé a la lettre

Te voici les rapport :

 

Clean Navipromo version 2.0.9 commencé le 23/08/2007 à 7:57:43,90

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

 

Mode suppression automatique avec prise en charge résultats Blacklight

 

 

*** Creation backups fichiers trouvés par Blacklight ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

 

*** Suppression des fichiers trouvés avec Blacklight ***

 

c:\WINDOWS\system32\tjtwyd.dat supprimé !

C:\windows\system32\tjtwyd.exe supprimé !

c:\WINDOWS\system32\tjtwyd_nav.dat supprimé !

c:\WINDOWS\system32\tjtwyd_navps.dat supprimé !

 

** 2ème passage **

 

C:\WINDOWS\system32\tjtwyd.exe absent !

C:\WINDOWS\system32\tjtwyd.dat absent !

C:\WINDOWS\system32\tjtwyd_nav.dat absent !

C:\WINDOWS\system32\tjtwyd_navps.dat absent !

C:\WINDOWS\system32\tjtwyd_navup.dat absent !

C:\WINDOWS\system32\tjtwyd_navtmp.dat absent !

C:\WINDOWS\system32\tjtwyd_m2s.xml absent !

 

 

C:\WINDOWS\prefetch\tjtwyd*.pf trouvé !

Copie C:\WINDOWS\prefetch\tjtwyd*.pf réalise avec succes !

C:\WINDOWS\prefetch\tjtwyd*.pf supprimé !

 

 

*** Recherche avec GenericNaviSearch ***

!!! Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés supprimés avec backups :

 

Aucun Fichier trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\WebMediaPlayer ...suppression...

C:\Program Files\WebMediaPlayer supprimé !

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Utilisateur\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Utilisateur\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

**

***

****

*****

******

*******

********

 

3)Certificats :

 

Certificat Egroup supprimé !

 

*** Sauvegarde du registre vers dossier Backupnavi ***

 

sauvegarde du registre réalise avec succes !

 

 

*** Nettoyage registre ***

 

Nettoyage registre Ok

 

 

*** Nettoyage termine le 23/08/2007 à 8:00:11,89 ***

 

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 07:55:48 23/08/2007

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\Utilisateur\Cookies\utilisateur@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.

 

 

Fin du rapport

 

 

 

Par contre voici les soucis que je rencontre à l'utilisation du pc :

ici la et la et en plus de sa, il m'est impossible d'ouvrir le fichier ajout/suppression de programme

 

Merci pour ton aide

En attente de ta réponse

[bruce lee]

Bonjour pipion,

 

Par contre voici les soucis que je rencontre à l'utilisation du pc :

ici la et la et en plus de sa, il m'est impossible d'ouvrir le fichier ajout/suppression de programme

 

Télécharge la dll: http://www.dll-files.com/dllindex/dll-files.shtml?vbscript . Fais un clique droit sur le dossier puis choisis "extraire tout" et, copie/colle ensuite vbscript.dll dans c:\windows\system32\

 

 

Télécharge la dll: http://www.dll-files.com/dllindex/dll-files.shtml?newdev . Fais un clique droit sur le dossier puis choisis "extraire tout" et, copie/colle ensuite newdev.dll dans c:\windows\system32\

 

 

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=>

 

http://cybersecurite.xooit.com/t123-Les-co...les-ActiveX.htm

 

Fais un scan en ligne avec http://webscanner.kaspersky.fr/kavwebscan.html

 

dans la nouvelle fenetre qui s'affiche clique sur J'accepte

 

On va te demander de télécharger un ou deux contôle active x, accepte . Laisse le faire les mises à jour puis quand il aura finit clique sur Suivant

 

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .

Le scan va commencer.Poste le rapport qui sera généré stp.

 

 

aide en cas de problème : http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

 

NOTE: le scan est à faire avec Internet Explorer

[pipion]

Bonjour pipion,

Télécharge la dll: http://www.dll-files.com/dllindex/dll-files.shtml?vbscript . Fais un clique droit sur le dossier puis choisis "extraire tout" et, copie/colle ensuite vbscript.dll dans c:\windows\system32\

Télécharge la dll: http://www.dll-files.com/dllindex/dll-files.shtml?newdev . Fais un clique droit sur le dossier puis choisis "extraire tout" et, copie/colle ensuite newdev.dll dans c:\windows\system32\

 

 

Salut bruce lee

Escuse moi , mais sur les deux premiers lien , je ne vois pas sur quoi il fau que je clic ???