rapport hijackthis

[kokeline]

Bonjour,

 

Ci joint le rapport hijackthis pour analyse

en ouvrant internet à l'instant, j'ai encore des pages de publicité intempestives du style xxxl et spyware pour virus et un cheval de troie détecté par macafee!!!!! pourtant j'ai bien fait une analyse avec antivir en mode sans echec qui a détecté des fichiers infectés que j'ai supprimé pendant l'analyse. je suis désespérée, car visablement infection il y a encore!!!!

par ailleurs, j'aimerai desinstaller macafee pour le remplacer par antivir car mcafee est périmé depuis quelques mois. faut il desintaller avant ou apres l'intallation d'antivir?

merci pour ta réponse et ton aide très précieuse

kokeline

 

 

Source : http://forum.zebulon.fr/index.php?act=ST&a...=40&t=69176

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:44:08, on 22/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\vso\mcshield.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\McAfee.com\VSO\mcvsshld.exe

C:\Program Files\McAfee.com\VSO\oasclnt.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

c:\program files\mcafee.com\agent\mcagent.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\PROGRA~1\mcafee.com\mps\mscifapp.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\Hotbar\bin\10.0.368.0\OEAddOn.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

c:\progra~1\mcafee.com\vso\mcvsftsn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\MSN Messenger\livecall.exe

c:\program files\mcafee.com\agent\mcupdate.exe

C:\Documents and Settings\LUCILE\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://resultsmaster.com/SmartOffers/Servi...omeLeftPane.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Hotbar /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Program Files\Hotbar\bin\10.0.368.0\HostIE.dll

O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program files\mcafee.com\mps\mcbrhlpr.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: McAfee Privacy Service Popup Blocker - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com\mps\popupkiller.dll

O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Hotbar - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Program Files\Hotbar\bin\10.0.368.0\HostIE.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask

O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe

O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding

O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HotbarOE] C:\Program Files\Hotbar\bin\10.0.368.0\OEAddOn.exe

O4 - HKLM\..\Run: [HotbarSA] "C:\Program Files\Hotbar\bin\10.0.368.0\HotbarSA.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://shanna972.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1165861155859

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1166054276484

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/egacc..._1073_em_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{58314509-EE08-4400-9EA1-C341582CD737}: NameServer = 217.175.160.11 217.175.160.12

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

 

--

End of file - 11209 bytes

[Diamondz]

Bonsoir,

 

-Relance Hijackthis

-Clique sur « do a system scan only »

-Coche ces lignes :

O2 - BHO: Hotbar /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499803B2A2303766A - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Program Files\Hotbar\bin\10.0.368.0\HostIE.dll

O3 - Toolbar: Hotbar - {07AA283A-43D7-4CBE-A064-32A21112D94D} - C:\Program Files\Hotbar\bin\10.0.368.0\HostIE.dll

O4 - HKLM\..\Run: [HotbarOE] C:\Program Files\Hotbar\bin\10.0.368.0\OEAddOn.exe

O4 - HKLM\..\Run: [HotbarSA] "C:\Program Files\Hotbar\bin\10.0.368.0\HotbarSA.exe"

O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://es6-scripts.dlv4.com/binaries/egacc..._1073_em_XP.cab

-Et clique sur « Fix Checked »

 

PUIS

 

Télécharge sur le bureau: Otmoveit

 

= Copie ce texte en gras

 

C:\Program Files\Hotbar

 

-Double-clic sur OTMoveIt.exe

-Dans le cadre de Gauche, fais un clic-droit, puis coller

-Assure toi que la case unregister dll’s and ocx’s est cochée.

-Clique sur MoveIt!

-si un redémarrage est demandé, clique sur YES

-Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour, cherche-le et copie-colle-le dans la réponse suivante

 

PUIS

 

Si tu es sous Vista, l’UAC doit être désactivée Comment désactiver l’UAC (on la réactivera après) -

-Télécharge navilog1 sur ton bureau

-Désactive ton antivirus, double-clique dessus et installe-le.

-Sous vista : Fais un clic droit sur l’icône Navilog1, et choisis « exécuter en tant qu’administrateur »

-Sous XP : Double-clique sur l’icône Navilog1.

-Choisis la langue en tapant f puis entrée et fais ce qui est demandé jusqu'à arriver au menu.

-De là, choisis l'option 1, et laisse-toi guider jusqu’au bout.

-Un rapport s'ouvre alors, poste-le dans ton prochain message (s'il ne s'ouvre pas, il est ici : %systemdrive%\fixnavi.txt)

-Réactive ton antivirus

 

DONC

 

Tu as trois étapes à suivre dans l’ordre (signale-moi si tu as sauté une étape puis fais la suite) :

-Fixer les lignes Hijackthis

-OTMoveIt! +rapport

-Navilog1 +rapport

Modifié le 22 novembre 2007 par Diamondz

[kokeline]

bonjour

 

j'ai effectué les trois étapes et voila les rapports demandés :

merci encore

kokeline

 

 

 

 

C:\Program Files\Hotbar\bin moved successfully.

C:\Program Files\Hotbar moved successfully.

 

Created on 11/23/2007 08:19:08

 

et :

 

Search Navipromo version 3.3.6 commencé le 23/11/2007 à 8:34:08,54

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

 

 

*** Recherche Programmes installés ***

 

 

MessengerSkinner

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

C:\Program Files\MessengerSkinner trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\LUCILE\Application Data ***

 

...\Application Data\MessengerSkinner trouvé !

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun fichier trouvé dans :

 

- C:\WINDOWS\system32

- C:\DOCUME~1\LUCILE\LOCALS~1\APPLIC~1

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans C:\DOCUME~1\LUCILE\LOCALS~1\APPLIC~1 *

 

Fichiers trouvés :

 

fdtrqhgwvt.exe trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

2)Recherche Heuristique :

 

 

C:\DOCUME~1\LUCILE\LOCALS~1\APPLIC~1\fdtrqhgwvt.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse terminée le 23/11/2007 à 8:34:44,57 ***

[Diamondz]

Tu as installé un programme piégé.. qui ouvre des popups de pubs.

Je te conseille d'éviter d'installer des programmes depuis des sites inconnus (Site Web inconnu, Emule etc..).

Ne prendre que des programmes depuis des sources sûres comme telecharger.com, clubic.com, zebulon.fr etc..

Surtout éviter les programmes qui se disent gratuits, via des bannières de publicités : http://forum.malekal.com/ftopic3412.php

 

Si tu es sous Vista, l’UAC doit être désactivée Comment désactiver l’UAC (on la réactivera après) -

L’antivirus doit être également désactivé

-Sous vista : Fais un clic droit sur l’icône Navilog1, et choisis « exécuter en tant qu’administrateur »

-Sous XP : Double-clique sur l’icône Navilog1.

-Arrivé au menu, choisis l’option 2 et laisse-toi guider.

-A la fin, tu vas être informé que ton PC va redémarrer, ferme tes fenêtres et enregistre tes documents personnels ouverts.

NB : s’il ne redémarre pas, fais-le manuellement

-Une fois revenu sur ta session, patiente jusqu’à voir « nettoyage terminé le… »

-Le bloc-note va s’ouvrir, sauvegarde le rapport de manière à le retrouver.

NB : Si ton bureau n’a pas reparu, fais ctrl+alt+suppr pour ouvrir le gestionnaire des tâches, clique en-haut sur fichiers, puis « nouvelle tâche » et entre explorer.

-Réactive l’UAC (manip inverse de ce qui est dit au début) et ton antivirus.

-Poste le rapport dans ton prochain message.

 

PUIS

 

-Télécharge Clean, décompresse-le sur ton bureau (bouton droit, extraire tout)

-Ouvre le dossier clean et ouvre le fichier clean.cmd (le .cmd peut ne pas apparaître)

-Choisis l'option 1 et fais entrée

 

-A la fin, il va t’être demandé d’uploader un fichier sur cette page : http://upload.malekal.com, sélectionne le fichier suivant : C:\upload_moi.tar.gz, et clique sur envoyer le fichier.

Si ca fonctionne, tu verras s'afficher Upload réussi.

Si tu es perdu, rends-toi sur cette page : Tuto pour upload.malekal.com

 

Si par contre l'upload n'a pas fonctionné, rends-toi sur cette page : http://www.sendspace.com

-Clique sur Parcourir pour chercher le même fichier que ci-dessus et ouvre-le

-Coche la case "I have read and agree to the terms of service."

-Clique sur le bouton Upload File.

Quand ce sera terminé, un lien te sera donné, copie-colle-le et envoie-le moi par message privé.

-Une fois l'envoi par MP terminé, ferme la page internet, un rapport devrait s'ouvrir, colle son contenu dans un prochain message.

Si vraiment tu ne parviens pas à aucune des deux solutions que je t'ai données, ferme simplement la page internet le rapport s'ouvrira alors.

On reviendra après sur ce fichier.

 

DONC

 

Tu as deux étapes à suivre dans l’ordre (signale-moi si tu as sauté une étape puis fais la suite) :

-Navilog1 +rapport

-Clean +rapport

[kokeline]

bonjour

 

je te renvoie les deux rapport

 

 

Clean Navipromo version 3.3.6 commencé le 23/11/2007 à 16:17:59,62

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

 

Mode suppression automatique

 

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans C:\DOCUME~1\LUCILE\LOCALS~1\APPLIC~1 *

 

fdtrqhgwvt.exe trouvé !

Copie fdtrqhgwvt.exe réalisé avec succès !

fdtrqhgwvt.exe supprimé !

 

fdtrqhgwvt.dat trouvé !

Copie fdtrqhgwvt.dat réalisé avec succès !

fdtrqhgwvt.dat supprimé !

 

fdtrqhgwvt_nav.dat trouvé !

Copie fdtrqhgwvt_nav.dat réalisé avec succès !

fdtrqhgwvt_nav.dat supprimé !

 

fdtrqhgwvt_navps.dat trouvé !

Copie fdtrqhgwvt_navps.dat réalisé avec succès !

fdtrqhgwvt_navps.dat supprimé !

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\Instant Access ...suppression...

C:\Program Files\Instant Access supprimé !

 

C:\Program Files\MessengerSkinner ...suppression...

C:\Program Files\MessengerSkinner supprimé !

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\LUCILE\Application Data ***

 

...\Application Data\MessengerSkinner ...suppression...

...\Application Data\MessengerSkinner supprimé !

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\LUCILE\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisé avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Nettoyage terminé le 23/11/2007 à 16:21:21,12 ***

 

 

et :

 

23/11/2007 a 16:31:34,84

 

*** Recherche des fichiers dans C:

 

*** Recherche des fichiers dans C:\WINDOWS\

C:\WINDOWS\sys???????????.exe FOUND

 

*** Recherche des fichiers dans C:\WINDOWS\system32

"C:\Documents and Settings\LUCILE\Application Data\DriveCleaner Free\" FOUND

 

*** Recherche des fichiers dans C:\Program Files

"C:\Program Files\mozilla firefox\components\npclntax.xpt" FOUND

*** Fin du rapport !

 

a bientot

kokeline

[Diamondz]

Bonjour, désolé je n'étais pas là hier...

 

Enregistre la manipulation qui suit dans un fichier texte sur ton bureau, tu y feras référence quand tu seras en sans échec

-Redémarre en mode sans échec : Guide pour redémarrer en mode sans échec

-Relance clean.cmd

-Cette fois, arrive au menu, choisis l’option 2 et fais entrée.

-Laisse le s’effectuer jusqu’au bout, à la fin, un rapport va s’afficher, colle son contenu dans un prochain message

 

PUIS

 

-Télécharge Smitfraudfix sur ton bureau.

-Double-clique sur smitfraudfix.exe (le exe peut ne pas apparaître)

-Choisis l'option 1.

-A la fin, un rapport s’afficher, poste-le dans ton prochain message.

S’il ne s’affiche pas il se trouve dans %systemdrive%

 

DONC

 

Tu as deux étapes à suivre dans l’ordre (signale-moi si tu as sauté une étape puis fais la suite) :

-Clean +rapport

-SmitfraudFix +rapport

[kokeline]

bonjour Diamondz

 

je t'envoie les 2 rapports demandés :

 

1) rapport cleannavi

 

Script execute en mode sans echec

Rapport clean par Malekal_morte - http://www.malekal.com

Script execute en mode sans echec 27/11/2007 a 6:29:39,12

 

Microsoft Windows XP [version 5.1.2600]

 

*** Suppression des fichiers dans C:

 

*** Suppression des fichiers dans C:\WINDOWS\

tentative de suppression de C:\WINDOWS\sys???????????.exe

tentative de suppression de C:\WINDOWS\temp\mc???.tmp

Impossible de supprimer C:\WINDOWS\temp\mc???.tmp

 

*** Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de "C:\Documents and Settings\LUCILE\Application Data\DriveCleaner Free\"

 

*** Suppression des fichiers dans C:\Program Files

tentative de suppression de "C:\Program Files\mozilla firefox\components\npclntax.xpt"

 

*** Suppression des clefs du registre effectuee..

*** Fin du rapport !

 

2) rapport fraudfix

SmitFraudFix v2.256

 

Rapport fait à 6:49:23,10, 27/11/2007

Executé à partir de C:\Documents and Settings\LUCILE\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LUCILE

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\LUCILE\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LUCILE\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

a bientot

kokeline

[Diamondz]

C'est bon tu n'es plus infectée en suivant ces dernières manipulations :

 

-Télécharge et installe CCleaner, si ce n'est pas déjà fait : http://www.malekal.com/tutorial_CCleaner.html

A l'installation, n'oublie pas de décocher "ajouter la barre d'outils yahoo".

-Une fois l’installation terminée, exécute CCleaner puis fais un nettoyage de ton ordinateur dans l'onglet "nettoyeur".

Attention, tu dois avoir décoché toute la partie "avancé", ainsi que "Antivir PE classic" dans "utilitaires" dans l'onglet "applications"

-Laisse-le s'effectuer, ça peut être très long

>>>Un nettoyage par semaine par la suite t'est recommandé

 

Tu peux aussi nettoyer ta base de registre avec Regcleaner : Tutorial RegCleaner

 

PUIS

 

- Désactive puis réactive la restauration du système :

-Mode d'emploi pour Windows XP

-Mode d’emploi pour Windows Vista

 

PUIS

 

-Télécharge ToolsCleaner sur ton bureau

-Double-clique sur « Toolscleaner.exe »

-Clique sur "restauration" pour créer un point de restauration.

-Puis clique sur « recherche »

-Quand la recherche sera terminée, clique sur "suppression".

-A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter" et poste le rapport qui se trouve dans %systemdrive%\Tcleaner.txt

 

PUIS

 

Maintiens ton ordinateur à jour.

Regarde ce sujet pour savoir pourquoi mettre à jour :

Les mises à jour sous Windows

N'écoute pas ceux qui te disent que ça fait tout planter, un ordinateur pas à jour est beaucoup plus en danger.

Tu peux aussi regarder ce lien pour mettre à jour tes applications :

http://www.malekal.com/scan_vulnerabilite.php

Si tu utilises une fausse version de Windows, sache que sache que Windows cracké = danger

Il serait conseillé que tu achètes Windows ou que tu passes à un autre OS...

Par contre, si tu veux rester sur cet ordi, sans bénéficier des mises à jour, le mieux est que tu t'informes sur le danger des cracks :

Le danger des cracks

et que tu maintiennes, à défaut de windows, tes applications à jour.

Surfe également avec Mozilla Firefox :

Pourquoi utiliser Firefox au lieu d’Internet Explorer

Sécuriser le navigateur Firefox

et surtout évite le p2p.

 

PUIS

 

Jette un coup d'œil à ces liens dans la mesure du possible :

-Pourquoi et comment me fais-je infecter ?

-Sécuriser son ordinateur et connaître les menaces

-Tout savoir sur la sécurité de son ordinateur

-Optimiser son système et comprendre pourquoi il est ralenti

 

PUIS

 

Essaye de rapporter ton infection sur le site qui t’est donné ci-dessous, ce serait super cool

Ton infection : magic control

 

Faire bouger les choses :

 

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapporte ton infection :

- Voir les règles de Malware-Complaints

- Enregistre sur le forum à partir du bouton register en haut :

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforu...e115fda8cee41a4

 

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

 

Pour poster un message, clique sur le bouton "post reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.

 

Pour toutes aides pour poster ton message, tu peux consulter ce lien : http://www.malekal.com/malwarecomplaints.html

 

DONC

 

Tu as six étapes à suivre dans l’ordre :

-CCleaner + RegCleaner

-Restauration

-Toolscleaner +rapport

-Mettre à jour Windows

-Liens à regarder

-Rapporter ton infection

Tu ajouteras ensuite à ton titre "[résolu]"

[kokeline]

bonjour

 

voici le dernier rapport

je n'ai pas reussi a faire la derniere étape, ompossible de m'enregistré, on me dit sans cesse antispambot incorrect! whats?

 

 

-->- Recherche:

 

C:\_OtMoveIt: trouvé !

C:\BFU\EGDACCESS.bfu: trouvé !

C:\BFU\Bfu.exe: trouvé !

C:\HJT\HijackThis.exe: trouvé !

C:\Program Files\HijackThis: trouvé !

C:\Program Files\Navilog1: trouvé !

C:\Program Files\Hijackthis\HijackThis: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\BFU\EGDACCESS.bfu: supprimé !

C:\BFU\Bfu.exe: supprimé !

C:\HJT\HijackThis.exe: supprimé !

C:\_OtMoveIt: supprimé !

C:\Program Files\HijackThis: supprimé !

C:\Program Files\Navilog1: supprimé !