PC infécté - Rapport HijackThis

phildard · le 20 septembre 2007

Bonjour tout le monde, mon PC infecté par des pywares je pense, j'ai des popup qui s'ouvre sans arrêt.

Voici mon rapport HijackThis, merci d'avance pour votre aide.

++

Logfile of HijackThis v1.99.1

Scan saved at 15:35:29, on 20/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\Systray\SystrayApp.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\AlertModule.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\MessengerSkinner\MessengerSkinner.exe

C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe

C:\Program Files\OrangeHSS\Deskboard\deskboard.exe

C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe

C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe

C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe

C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\FTCOMModule.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

C:\Documents and Settings\Compaq_Propriétaire\Mes documents\programmes\Antispywares\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dvd.starwars.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [rmqlploknj] c:\windows\system32\rmqlploknj.exe rmqlploknj

O4 - HKLM\..\Run: [NI.UWAS6V_0001_N91M2208] "C:\Documents and Settings\Compaq_Propriétaire\Mes documents\Denis MIQUEL\WinAntiSpyware2006FreeInstall_fr.exe" -nag

O4 - HKLM\..\Run: [ORAHSSStartup] "C:\Program Files\OrangeHSS\Launcher\Launcher.exe" -appid connectivityapp

O4 - HKLM\..\Run: [systrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe

O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe

O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://www.sexequalite.com/39220/StarsAmatrik.exe

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

wong · le 20 septembre 2007

RE phildard

Télécharge Navilog1 ( de IL-MAFIOSO et lazzzi ) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistre la cible ( du lien ) sous... et enregistre-le sur ton bureau.
Ferme toutes les fenêtres y compris celle de ton navigateur.
Double-clique sur le fichier Navilog1.exe ( il se peut que ".exe" n'apparaisse pas et que tu n'ais que Navilog1 ) pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement ( Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau ).
Après le choix de la langue et les messages, tu arrives au menu principal.
Choisis l'Option 1, pour cela, tape sur la touche 1 de ton clavier, puis appuie sur la touche Entrée du clavier ( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ).
La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes ( de 5 à 10min ), ne touche à rien.
Patiente jusqu'au message : *** Analyse Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir avec le rapport.
Si ce dernier ne s'ouvre pas : Ouvre le Poste de travail, puis Disque C: et enfin double-clique sur fixnavi.txt
Copie/Colle le contenu complet de ce rapport dans ta prochaine réponse

Pour t'aider voici un tuto en images : http://www.malekal.com/Adware.Magic_Control.html

Pour la première étape > "Téléchargement et installation de navilog1". Ne lance pas d'autre option pour le moment.

@ +

phildard · le 20 septembre 2007

Voila le rapport complet de Navilog1:

---------------------------------------------------------------------------------------

Search Navipromo version 3.0.4 commencé le 20/09/2007 à 16:52:29,78

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 19.09.2007 a 15h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

*** Recherche Programmes installes ***

MessengerSkinner

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !

C:\Program Files\Montorgueil trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Compaq_Propri‚taire\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\pjzqwexy.dat

C:\windows\system32\pjzqwexy.exe

c:\WINDOWS\system32\pjzqwexy_nav.dat

c:\WINDOWS\system32\pjzqwexy_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\pjzqwexy.exe

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers trouvés :

jnsrmsm.exe trouvé !

pjexghjrrv.exe trouvé !

vsqxldpagc.exe trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-546337778-368592523-1148303026-1008\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\pjzqwexy.dat trouvé !

--------------------------------------------------------------------------------------------------------------

Quelle est la suite de la marche à suivre???

Merci d'avance.

wong · le 20 septembre 2007

RE phildard

1°) Lance Navilg1

Double clique sur le raccourci navilog1 sur ton bureau.
Une fenêtre noire va s'ouvrir.
Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.
Dans la fenêtre de choix qui s'ouvre : Choisis l'option 2 ( Désinfection automatique avec prise en charge des résultats de Blacklight ), pour celà Tape sur la touche 2 de ton clavier et Valide en appuyant sur Entrée
Laisse le fix faire son travail cela peut durer un certain temps.
Le fix va t'informer qu'il va alors redémarrer ton PC ( Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts ).
Appuie sur une touche de ton clavier comme demandé ( si ton Pc ne redémarre pas automatiquement, fais le toi même ).
Au redémarrage de ton PC, choisis ta session habituelle. Navilog1 terminera la désinfection.
Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
Le bloc-note va s'ouvrir. Sauvegarde le rapport ( sur ton bureau par exemple ) de manière à le retrouver.
Referme le bloc-note. Ton bureau va réapparaitre
Copie/Colle ce rapport dans ta prochaine réponse

NOTE :

Le rapport se trouve également ici : C\cleannavi.txt

Si ton Bureau ne réapparaît pas, fais ceci :

Clique simultanément sur Ctrl + Alt + Suppr : le Gestionnaire de tâches va s'ouvrir.
Rends-toi à l'onglet "processus".
Dans la barre des menus, Clique sur Fichier, et dans le menu déroulant Clique sur Nouvelle tâche ( Exécuter.. )
Dns la fenêtre qui s'ouvre, TapeExplorer puis valide.

2°) Suppression des certificats

Cliques sur Démarrer
Cliques sur Panneau de configuration
Cliques sur Options internet
Cliques sur Onglet "Contenu"
Cliques sur Onglet "Certificats"
Si tu trouves ceci, en particulier dans "éditeurs approuvés":
electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd
Supprimes les

@ +

phildard · le 20 septembre 2007

Voici le dernier rapport de Navilog1:

-----------------------------------------------------------------------------------------------------

Clean Navipromo version 3.0.4 commencé le 20/09/2007 à 17:41:45,92

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 19.09.2007 a 15h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Mode suppression automatique

sans prise en charge résultats Blacklight et GNS

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression...

C:\Program Files\MessengerSkinner supprimé !

C:\Program Files\Montorgueil ...suppression...

C:\Program Files\Montorgueil supprimé !

C:\Program Files\HotTVPlayer ...suppression...

C:\Program Files\HotTVPlayer supprimé !

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Compaq_Propri‚taire\Application Data ***

...\Application Data\MessengerSkinner ...suppression...

...\Application Data\MessengerSkinner supprimé !

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Compaq_Propri‚taire\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

C:\WINDOWS\System32\pjzqwexy.dat trouvé !

Copie C:\WINDOWS\system32\pjzqwexy.dat réalise avec succes !

C:\WINDOWS\system32\pjzqwexy.dat supprimé !

C:\WINDOWS\System32\pjzqwexy_nav.dat trouvé !

Copie C:\WINDOWS\system32\pjzqwexy_nav.dat réalise avec succes !

C:\WINDOWS\system32\pjzqwexy_nav.dat supprimé !

C:\WINDOWS\system32\cwsbvet.exe trouvé !

Copie C:\WINDOWS\system32\cwsbvet.exe réalise avec succes !

C:\WINDOWS\system32\cwsbvet.exe supprimé !

C:\WINDOWS\system32\glnamleihg.exe trouvé !

Copie C:\WINDOWS\system32\glnamleihg.exe réalise avec succes !

C:\WINDOWS\system32\glnamleihg.exe supprimé !

C:\WINDOWS\system32\knpudub.exe trouvé !

Copie C:\WINDOWS\system32\knpudub.exe réalise avec succes !

C:\WINDOWS\system32\knpudub.exe supprimé !

C:\WINDOWS\system32\liqyutj.exe trouvé !

Copie C:\WINDOWS\system32\liqyutj.exe réalise avec succes !

C:\WINDOWS\system32\liqyutj.exe supprimé !

C:\WINDOWS\system32\sxrjkrv.exe trouvé !

Copie C:\WINDOWS\system32\sxrjkrv.exe réalise avec succes !

C:\WINDOWS\system32\sxrjkrv.exe supprimé !

C:\WINDOWS\system32\szhvskd.exe trouvé !

Copie C:\WINDOWS\system32\szhvskd.exe réalise avec succes !

C:\WINDOWS\system32\szhvskd.exe supprimé !

C:\WINDOWS\system32\tvczbmjey.exe trouvé !

Copie C:\WINDOWS\system32\tvczbmjey.exe réalise avec succes !

C:\WINDOWS\system32\tvczbmjey.exe supprimé !

C:\WINDOWS\system32\pjzqwexy.exe trouvé !

Copie C:\WINDOWS\system32\pjzqwexy.exe réalise avec succes !

C:\WINDOWS\system32\pjzqwexy.exe supprimé !

C:\WINDOWS\system32\pjzqwexy_navps.dat trouvé !

Copie C:\WINDOWS\system32\pjzqwexy_navps.dat réalise avec succes !

C:\WINDOWS\system32\pjzqwexy_navps.dat supprimé !

*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Erreur application fixreg

Le registre n'a pas été nettoyé !

*** Certificats ***

Certificat Egroup absent !

*** Fichiers suspects non supprimés par Navilog1 ***

!! Fichiers légitimes possibles, à contrôler avant suppression !!

C:\WINDOWS\system32\jnsrmsm.exe trouvé !

C:\WINDOWS\system32\pjexghjrrv.exe trouvé !

C:\WINDOWS\system32\vsqxldpagc.exe trouvé !

*** Nettoyage termine le 20/09/2007 à 17:47:27,01 ***

-------------------------------------------------------------------------------------

Y'a t'il encore des choses à faire??

Merci

wong · le 20 septembre 2007

RE phildard

1°) Téléchargement d'utilitaires :

1-1 Télécharge ATF Cleaner de Atribune : http://www.atribune.org/ccount/click.php?id=1

1-2 Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/

Lance le depuis l'icône presente sur ton bureau.
Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions.
Clique sur mise à jour, commencer la mise à jour.
Clique sur analyse puis sur paramètres.
Clique sur actions recommandées puis sur quarantaine.
Ferme le programme.

1-3 Télécharge Clean de Malekal : http://www.malekal.com/download/clean.zip

Enregistre-le sur ton bureau.
Tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu cliques sur extrait tout ou extraire ici.
Cela va créer un dossier clean.

2°) Redémarre en mode sans échec

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

Clique sur Démarrer
Clique sur Arrêter l'ordinateur
Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
Appui dur la touche " ENTRÉE "
Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
Clique sur ta session normale : ton nom (Administrateur )
Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

2-1 Lance Clean

Double-clic sur le dossier Clean tu trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport va etre génèré.
Copie/Colle le contenu entier du rapport dans ta prochaine réponse.

2-2 AVG Anti-Spyware

Nettoyage pour utiliser AVG Anti-Spyware

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

Double-clique ATF Cleaner.exe afin de lancer le programme.

Main correspond à IE
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Lance AVG Anti-Spyware

Clique sur scanner, puis sur scan complet du système.

Si des fichiers malveillants sont trouvés :

Clique sur Appliquer toutes les actions
Clique sur enregistrer le rapport d'analyse.
Colle le rapport dans ton prochain message

Pour t'aider tu as deux tutos à ta disposition:

ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html

3°) Redémarre en mode normal

Lance HijackThis

Copie/Colle un nouveau rapport HijackThis dans ta réponse

J'attends 3 rapports ( celui de Clean, celui de AVG AS et celui de HijackThis ).

@+

Modifié le 20 septembre 2007 par wong

phildard · le 20 septembre 2007

Voici les 3 rapports:

- Clean:

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 20/09/2007 a 18:25:27,76

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de C:\WINDOWS\system32\stera.job

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

- AVG AS:

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

+ Créé à: 21:40:25 20/09/2007

+ Résultat de l'analyse:

C:\Program Files\Common Files\Companion Wizard\WapCHK.dll -> Adware.Companion : Nettoyé et sauvegardé (mise en quarantaine).

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP404\A0030802.exe -> Adware.NaviPromo : Nettoyé et sauvegardé (mise en quarantaine).

HKLM\SOFTWARE\WinAntiSpyware 2006 Scanner -> Adware.WinAntiSpyware : Nettoyé et sauvegardé (mise en quarantaine).

C:\Documents and Settings\Compaq_Propriétaire\Mes documents\programmes\Nero 7 Premium -GEFIXT- incl. KeyGen - shared by DastaflexX for [www.torrent.to]\KeyGen\Nero7Keygen.exe -> Backdoor.Hupigon : Nettoyé et sauvegardé (mise en quarantaine).

Fin du rapport

- HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 21:48:01, on 20/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\FTRTSVC.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP\HP Software Update\HPwuSchd2.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\OrangeHSS\Launcher\Launcher.exe

C:\Program Files\OrangeHSS\Systray\SystrayApp.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe