Infection tenace non résolue....Aidez moi ;)

[Zonk]

Zonk : Ça serait préférable de poser tes questions dans un autre topic ou par MP, car tu pourrais mélanger krystel09 ou d'autres personnes qui suivent ce topic . S'ils s'excitent, le mieux est de complètement les désactiver plutôt que d'ignorer les alertes qui peuvent être nombreuses.

.ok....je me retire...mais demeure que les questions étaient surtout pour que krystel09 sache quoi faire...

[krystel09]

bonjour,

 

J'ai oublier de répondre à la question du pare-feu,oui j'en ai un c'est celui de windows

 

merci beaucoup

[bibi26]

Le pare-feu de Windows n'est malheureusement pas très efficace, même si c'est mieux que rien du tout. Nous allons tout de suite en installer un vrai pour éviter que tu sois réinfecté tout de suite après la désinfection. Installe ZoneAlarm en suivant ce tutoriel de Malekal_morte. Une fois ceci fait, dis-le-moi pour que je t'envoie la procédure de nettoyage.

[krystel09]

bonjour,

 

J'ai installé zonealarm mais étant peu expérimenté tout à bogué,zonk ma dit que c'étais un programe compliquer,j'ai été obligé de restaurer mon système car même mon internet ne fonctionnais plus.Ensuite j'ai recommencer au début et réinstaller clean et navilog1 mais je ne suis plus capable d'ouvrir clean comme la premiere fois donc je suis revenu à la case départ....les joies de l'informatique ....alors que puis-je faire?

 

merci beaucoup

[bibi26]

Bien, alors on va tout simplement utiliser Navilog1 et AVG Anti-Spyware.

 

Il est conseillé d'imprimer ou de sauvegarder les instructions ci-dessous puisque tu n'auras pas accès à Internet pendant le nettoyage.

 

Ouvre AVG Anti-Spyware. Clique sur Mise à jour, décoche la case Télécharger et installer les mises à jour automatiquement et clique sur Commencer la mise à jour.

Une fois la mise à jour terminée, ne fais aucune analyse et ferme le logiciel.

 

Redémarre ton ordinateur.

Dès que ton ordinateur redémarre, appuie plusieurs fois sur la touche F8 (sur certains ordinateurs, c'est la touche F5) jusqu'à ce qu'un menu à choix multiples apparaisse.

Choisis Mode sans échec (ne prends pas Mode sans échec avec prise en charge réseau).

Choisis ton compte habituel. Un message va apparaître en demandant si tu es sûr de vouloir continuer dans ce mode. Confirme.

 

Ouvre Navilog1 et laisse-toi guider par les instructions.

Au menu principal, choisis l'option 2 et patiente jusqu'à la fin de l'analyse.

Un rapport va apparaître, assure-toi de bien le sauvegarder, car tu devras poster son contenu à la fin de la procédure.

 

Ouvre AVG Anti-Spyware.

Clique sur Analyse et sur Analyse complète du système.

Une fois l'analyse terminée, clique sur Action recommandée et sur Quarantaine.

Clique sur Appliquer toutes les actions, Enregistrer le rapport et sur Enregistrer le rapport sous. Assure-toi de bien le sauvegarder, car tu devras poster son contenu à la fin de la procédure.

 

Redémarre ton ordinateur normalement (pas en mode sans échec). Poste un nouveau rapport HijackThis avec celui de Navilog1 et AVG Anti-Spyware.

[krystel09]

bonjour,

 

J'ai tout fais comme demander:

 

RAPPORT NAVILOG1:

 

Clean Navipromo version 3.4.0 commencé le 2008-01-12 à 22:09:43,06

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Système de fichiers : FAT32

 

Mode suppression automatique

 

 

Executé en mode sans échec

 

*** Creation backups fichiers trouvés par Catchme ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

Copie C:\WINDOWS\SYSTEM32\ntkhthbjm.exe 327680 bytes réalisée avec succès !

Copie C:\WINDOWS\SYSTEM32\ntkhthbjm.dat 32768 bytes réalisée avec succès !

Copie C:\WINDOWS\SYSTEM32\ntkhthbjm_navps.dat 32768 bytes réalisée avec succès !

Copie C:\WINDOWS\SYSTEM32\ntkhthbjm_nav.dat 393216 bytes réalisée avec succès !

 

*** Suppression des fichiers trouvés avec Catchme ***

 

 

** 2ème passage avec résultats Catchme **

 

* Dans C:\WINDOWS\system32 *

 

 

ntkhthbjm.exe trouvé !

Copie ntkhthbjm.exe réalisée avec succès !

ntkhthbjm.exe supprimé !

 

ntkhthbjm.dat trouvé !

Copie ntkhthbjm.dat réalisée avec succès !

ntkhthbjm.dat supprimé !

 

ntkhthbjm_nav.dat trouvé !

Copie ntkhthbjm_nav.dat réalisée avec succès !

ntkhthbjm_nav.dat supprimé !

 

ntkhthbjm_navps.dat trouvé !

Copie ntkhthbjm_navps.dat réalisée avec succès !

ntkhthbjm_navps.dat supprimé !

 

C:\WINDOWS\prefetch\ntkhthbjm*.pf trouvé !

Copie C:\WINDOWS\prefetch\ntkhthbjm*.pf réalisée avec succès !

C:\WINDOWS\prefetch\ntkhthbjm*.pf supprimé !

 

* Dans "C:\Documents and Settings\Client\local settings\application data" *

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans "C:\Documents and Settings\Client\local settings\application data" *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Client\application data" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Client\MENUD?~1\PROGRA~1" ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Client\local settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\Client\local settings\application data" *

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Nettoyage terminé le 2008-01-12 à 22:11:33,57 ***

 

 

RAPPORT AVG:

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 23:03:14 2008-01-12

 

+ Résultat de l'analyse:

 

 

 

C:\Documents and Settings\Client\Cookies\client@login.tracking101[2].txt -> TrackingCookie.Tracking101 : Nettoyé.

 

 

Fin du rapport

 

RAPPORT HIJACKTHIS:

 

Logfile of HijackThis v1.99.0

Scan saved at 23:11:13, on 2008-01-12

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\Client\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\fr-ca\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE

O4 - HKLM\..\Run: [ntkhthbjm] c:\windows\system32\ntkhthbjm.exe ntkhthbjm

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - Global Startup: Adobe Reader Speed Launch.lnk.disabled

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://klacasse09.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Sony SPTI Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media - Unknown - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

 

merci beaucoup

[bibi26]

Bonjour,

 

C'est déjà beaucoup mieux (et désolé pour les frayeurs que tu aurais pu avoir avec ZoneAlarm) .

Maintenant, arrives-tu à décompresser Clean pour ensuite l'exécuter ?

 

EDIT : HijackThis doit être décompressé sur le Bureau (clique droit -> extraire tout) et pas tout simplement ouvert. Ça s'applique aussi à Clean.

Modifié le 13 janvier 2008 par bibi26

[krystel09]

bonjour,

 

Non clean ne veux pas s'ouvrir et est-ce que c'est le rapport hijackthis de hier que tu veux?

 

merci

[krystel09]

bonjour,

 

j'ai réussi avec clean est-ce que je fais un rapport?

[bibi26]

Oui, option #1. À la fin, tu dois appuyer trois fois sur Entrée pour avoir le bon rapport.