PC infecté, help !

[Brisbee66]

Bonjour,

J'ai chargé Hijackthis 2 et voici le rapport. je ne sais plus quoi faire après et ne suis pas une pro de l'informatique. Merci pour votre aide.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:46:40, on 30/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~2\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~2\Wanadoo\ComComp.exe

C:\PROGRA~2\Wanadoo\Toaster.exe

C:\PROGRA~2\Wanadoo\Inactivity.exe

C:\PROGRA~2\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~2\Wanadoo\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~2\Wanadoo\SEARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~2\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~2\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~2\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [instant Access] C:\WINDOWS\system32\nsinet.exe /res

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~2\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~2\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4..._1073_em_XP.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~2\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

 

--

End of file - 6827 bytes

[Anthony#10]

Bonjour,

 

Etape 1 : Navilog1.

Ferme toutes les applications actives.

Télécharge Navilog1 par un clic droit sur le lien ci-dessous:

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistre le fichier sur le Bureau.

Fais un double clic sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, l'outil s'exécutera automatiquement.

(Si ce n'est pas le cas, fais un double clic sur le raccourci Navilog1 présent sur le Bureau).

 

Suis les indications affichées.

Sur le menu principal, choisis l'option 1 et valide.

(ne pas choisir les options 2,3 ou 4 sans mon avis/accord)

 

Attendre jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

Note: Dans le Bloc-notes, vérifie dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.

Enregistre ce fichier sous le nom navi1.txt

Ferme le Bloc-notes puis envoie ce rapport dans ta future réponse.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

 

Anthony.

[Brisbee66]

Bonjour Anthony et merci pour ton aide précieuse

J'ai suivi à la lettre tes instructions

Voici le rapport du bloc note

 

Search Navipromo version 3.3.8 commencé le 30/12/2007 à 17:07:47,64

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

Instant Access

InternetGameBox

 

 

*** Recherche dossiers dans C:\WINDOWS ***

[Anthony#10]

Bonsoir,

 

Le rapport n'est pas entier mais on fera avec.

 

Etape 1 : CleanUp!.

Télécharge et installe CleanUp! sur ton Bureau.

 

Lance CleanUp!

Clique sur le bouton "Option".

Sous "Quick Setup", vérifie que la flèche soit en face de Standard CleanUp! (Si ce n'est pas le cas, place-la devant.).

Décoche la case située devant Enable sounds.

Clique sur OK.

Clique sur le bouton CleanUp!

Lorsque le message Initial CleanUp! done. Now restart Windows to complete CleanUp! apparaît en-bas, clique sur le bouton Close.

A la fenêtre de redémarrage, clique sur Oui.

 

Etape 2 : AVG Anti-Spyware.

Télécharge et installe AVG Anti-Spyware 7.5

 

Lance AVG Anti-Spyware.

Clique sur l'onglet "Mise à jour".

Sous Mise à jour manuelle, clique sur Commencer la mise à jour.

Si besoin, sous Paramètres, insères les identifiants de ton proxy.

Attends la fin de la mise à jour et ferme AVG Anti-Spyware.

 

Etape 3 : Navilog1.

Redémarre en mode sans échec

 

Double-clique sur Navilog1.bat.

Choisis maintenant l'option 2 puis valide.

Laisse toi guider et réponds aux questions éventuelles.

 

Réponds aux questions éventuelles.

Ton Bureau va disparaître, c'est normal !

 

Patiente jusqu'à l'apparition de ce message :

"*** Nettoyage Termine le ..... ***"

 

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

Sauvegarde le rapport de manière à le retrouver en mode normal.

Referme le Bloc-notes. Ton Bureau va maintenant réapparaître.

 

NOTES :

Le rapport se trouve également ici : %root%\cleannavi.txt

Si ton Bureau ne réapparaît pas, fais ceci :

-> Clique simultanément sur Ctrl + Alt + Suppr.

Clique sur l'onglet Fichier puis choisis Nouvelle tâche.

Tape Explorer puis valide.

-> Choisis Exécuter..., tape Explorer puis valide.

 

Etape 4 : AVG Anti-Spyware.

Lance AVG Anti-Spyware.

Clique sur l"Analyse".

Clique sur l'onglet "Paramètres".

Sous "Comment réagir ?", clique sur Actions recommandées et choisis Quarantaine.

Sous "Comment faire l'analyse", vérifie que toutes la cases soient cochées (Si ce n'est pas le cas, coche-les).

Sous "Programmes potentiellement dangereux", vérifie que toutes les cases soient cochées (Si ce n'est pas le cas, coche-les).

Sous "Rapports", vérifie que Générer un rapport après chaque analyse soit coché (Si ce n'est pas le cas, coche-le).

Clique sur l'onglet "Analyser" et clique sur Analyse complète du système.

A la fin de l'analyse, clique sur Appliquer toutes les infections.

Par la suite, clique sur Enregistrer le rapport et clique sur Enregistrer le rapport sous.

Ferme AVG Anti-Spyware.

 

Etape 5 : Redémarrage et nouveau message.

Redémarre en mode normal.

Dans ta future réponse, envoie :

 

- Le rapport de Navilog1

- Le rapport de AVG Anti-Spyware (situé sur C:\Program Files\GrisoftAVG Anti Spyware 7.5\Reports)

- Indique si le souci initial est toujours présent.

 

 

A suivre,

Modifié le 30 décembre 2007 par Anthony#10