[ résolu] infection virus aide analyse log hijacktis

[crumble44]

Bonjour,

 

je suis infecté par un virus (origine msn : ouverture message avec photos) que je ne sais pas enlever complètement.

je colle ci dessous mon log fait avec msn fix et celui fait avec hijackthis

merci de votre aide compétente pour m'aider au nettoyage

 

mon Log msn fix :

 

MSNFix 1.651

 

C:\Documents and Settings\Propri‚taire\Bureau\MSNFix\MSNFix

Fix exécuté le 02/02/2008 - 16:20:33,27 By Propri‚taire

mode normal

 

************************ Recherche les fichiers présents

 

... C:\Program Files\Insider\Insider.exe

... C:\Program Files\Insider\UnInstall.exe

... C:\Program Files\Dot1XCfg\Dot1XCfg.exe

... C:\DOCUME~1\ALLUSE~1\MENUDM~1\carlton

... C:\Program Files\Insider\Insider.exe

... C:\Program Files\Insider\UnInstall.exe

... C:\Program Files\WinAble\winable.exe

... C:\*-1-1148.exe

... C:\3d3t4t8n7l.exe

... C:\f6i2n4r9g1l2.exe

... C:\i-1-1148.exe

... C:\i1-1148.exe

... C:\i2n4r9g1l2.exe

... C:\ir-1-1148.exe

... C:\p6g7j3w2g3f5.exe

... C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\MBDownloader_*.exe

... C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\MBDownloader_876923.exe

... C:\WINDOWS\b???.exe

... C:\WINDOWS\b122.exe

... C:\WINDOWS\ccSvcHst.exe

... C:\WINDOWS\Dance_dec_jpg.zip

... C:\WINDOWS\mrofinu*.exe

... C:\WINDOWS\msimn.exe

... C:\WINDOWS\system32\microsoft\backup.ftp

... C:\WINDOWS\system32\microsoft\backup.tftp

... C:\WINDOWS\Britney_Spears_jpg.zip

... C:\WINDOWS\Dance_dec_jpg.zip

... C:\WINDOWS\party_jpg.zip

 

************************ Recherche les dossiers présents

 

... C:\Program Files\Insider\

... C:\Program Files\Dot1XCfg\

... C:\Program Files\InetGet2\

... C:\Program Files\Insider\

... C:\Program Files\Temporary\

... C:\Program Files\WinAble\

... C:\Program Files\WinAble\

... C:\Temp\

 

 

 

 

************************ Suppression des fichiers

 

.. OK ... C:\Program Files\Insider\Insider.exe

.. OK ... C:\Program Files\Insider\UnInstall.exe

.. OK ... C:\Program Files\Dot1XCfg\Dot1XCfg.exe

.. OK ... C:\DOCUME~1\ALLUSE~1\MENUDM~1\carlton

.. OK ... C:\Program Files\Insider\Insider.exe

.. OK ... C:\Program Files\Insider\UnInstall.exe

.. OK ... C:\Program Files\WinAble\winable.exe

.. OK ... C:\*-1-1148.exe

.. OK ... C:\3d3t4t8n7l.exe

.. OK ... C:\f6i2n4r9g1l2.exe

.. OK ... C:\i-1-1148.exe

.. OK ... C:\i1-1148.exe

.. OK ... C:\i2n4r9g1l2.exe

.. OK ... C:\ir-1-1148.exe

.. OK ... C:\p6g7j3w2g3f5.exe

.. OK ... C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\MBDownloader_*.exe

.. OK ... C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\MBDownloader_876923.exe

.. OK ... C:\WINDOWS\b???.exe

.. OK ... C:\WINDOWS\b122.exe

.. OK ... C:\WINDOWS\ccSvcHst.exe

.. OK ... C:\WINDOWS\Dance_dec_jpg.zip

.. OK ... C:\WINDOWS\mrofinu*.exe

.. OK ... C:\WINDOWS\msimn.exe

.. OK ... C:\WINDOWS\system32\microsoft\backup.ftp

.. OK ... C:\WINDOWS\system32\microsoft\backup.tftp

.. OK ... C:\WINDOWS\Britney_Spears_jpg.zip

.. OK ... C:\WINDOWS\Dance_dec_jpg.zip

.. OK ... C:\WINDOWS\party_jpg.zip

 

 

************************ Suppression des dossiers

 

/!\ ... C:\Program Files\Insider\

.. OK ... C:\Program Files\Dot1XCfg\

/!\ ... C:\Program Files\InetGet2\

/!\ ... C:\Program Files\Insider\

.. OK ... C:\Program Files\Temporary\

/!\ ... C:\Program Files\WinAble\

/!\ ... C:\Program Files\WinAble\

.. OK ... C:\Temp\

 

 

************************ Nettoyage du registre

 

 

 

Les fichiers encore présents seront supprimés au prochain redémarrage

 

 

Aucun Fichier trouvé

 

 

 

************************ Fichiers suspects

 

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

 

[C:\1-1148.exe] 9243672A7C5F846FF4D3C8798AE94081

[C:\1148.exe] C6D19F4D277A74831C70194865F24CEA

 

==>/b/color SVP merci d'envoyer le fichier C:\DOCUME~1\PROPRI~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 

 

 

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 02022008_16240079.zip

 

 

Information ...... Information ...... Information ......

 

/!\ /!\ MSNFix n'est pas affilié a livekill CleanMessenger /!\ /!\

 

/!\ /!\ MSNFix is not affiliated with Livekill CleanMessenger /!\ /!\

 

------------------------------------------------------------------------

Auteur : !aur3n7 Contact: http://changelog.fr

------------------------------------------------------------------------

 

--------------------------------------------- END ---------------------------------------------

 

 

mon log HIJACKTHIS

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:50:38, on 02/02/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Router\Router.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Club-Internet\Le Compagnon Club\bin\mpbtn.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZENG09.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\wuauclt.exe

C:\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {C48DAD65-638D-4B2E-D85B-3EE600F30EE0} - C:\WINDOWS\System32\oqrh.dll (file missing)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReboot.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [megebipu] C:\Program Files\Windows Media Player\megebipu77798.exe

O4 - HKLM\..\Run: [zomrtdnlb] c:\windows\system32\zomrtdnlb.exe zomrtdnlb

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [Heth] "C:\PROGRA~1\COMMON~1\MANTEC~1\spoolsv.exe" -vt yazb

O4 - HKCU\..\Run: [Fssyuk] "C:\Program Files\?ystem32\n?pdb.exe"

O4 - HKCU\..\Run: [instant Access] C:\WINDOWS\System32\lnaccess.exe /res

O4 - HKCU\..\Run: [Router] C:\Program Files\Router\Router.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - S-1-5-18 Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - .DEFAULT User Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/R...rod/DownMan.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4..._1073_em_XP.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

End of file - 10446 bytes

 

 

merci pour votre aide !

Configuration: Windows XP

Internet Explorer 6.0

Modifié le 2 mars 2008 par crumble44

[WawaSeb]

Bonsoir crumble44,

 

*** Je te souhaite la bienvenue sur le forum sécurité de Zebulon ! ***

----> Tu es infecté par d'autres malware's que MSN...

 

 

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

 

 

1) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

 

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser à la racine de ton disque dur.

 

2) Démarre en mode sans échec sur ta session comme indiqué ici (utilise la première méthode !)

• Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.bat pour lancer le script
  
• Appuie sur Y pour démarrer le nettoyage
  
• SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
  
• Appuie donc sur une touche pour redémarrer la machine
  
• Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
  
• Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
  
• Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
  
• Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
  

 

3) Télécharge Navilog1 de IL-MAFIOSO

• Enregistre-le sur ton bureau
  
• Double-clique sur navilog1.exe pour lancer l'installation
  
• Dans le dossier qui vient de se créer, exécute navilog1.exe
  ---> Une fois l'installation terminée, le fix s'exécutera automatiquement (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau)
  
• Après l'installation, le fix se lance normalement (sinon, clique sur Navilog1 pour démarrer manuellement)
  
• Choisis l'option 1 (PAS les autres !!!!)
  
• Attends jusqu'à l'apparition du message *** Analyse Terminée le ..... ***
  
• Presse une touche pour faire apparaître le rapport
  
• Copie-colle tout ce rapport dans ta prochaine réponse
  
• Ferme le bloc-note (le rapport est enregistré à l'emplacement <RACINE>\fixnavi.txt)
  

Pour terminer, poste un rapport HijackThis...

 

 

En résumé, j'attends 3 rapports dans ton prochain post :

• SDFix
  
• Navilog
  
• Nouveau rapport HijackThis
  

Bon travail à toi !

[crumble44]

Bonsoir crumble44,

 

*** Je te souhaite la bienvenue sur le forum sécurité de Zebulon ! ***

----> Tu es infecté par d'autres malware's que MSN...

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

1) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

 

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser à la racine de ton disque dur.

 

2) Démarre en mode sans échec sur ta session comme indiqué ici (utilise la première méthode !)

• Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.bat pour lancer le script
  
• Appuie sur Y pour démarrer le nettoyage
  
• SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
  
• Appuie donc sur une touche pour redémarrer la machine
  
• Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
  
• Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
  
• Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
  
• Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
  

3) Télécharge Navilog1 de IL-MAFIOSO

• Enregistre-le sur ton bureau
  
• Double-clique sur navilog1.exe pour lancer l'installation
  
• Dans le dossier qui vient de se créer, exécute navilog1.exe
  ---> Une fois l'installation terminée, le fix s'exécutera automatiquement (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau)
  
• Après l'installation, le fix se lance normalement (sinon, clique sur Navilog1 pour démarrer manuellement)
  
• Choisis l'option 1 (PAS les autres !!!!)
  
• Attends jusqu'à l'apparition du message *** Analyse Terminée le ..... ***
  
• Presse une touche pour faire apparaître le rapport
  
• Copie-colle tout ce rapport dans ta prochaine réponse
  
• Ferme le bloc-note (le rapport est enregistré à l'emplacement <RACINE>\fixnavi.txt)
  

Pour terminer, poste un rapport HijackThis...

En résumé, j'attends 3 rapports dans ton prochain post :

• SDFix
  
• Navilog
  
• Nouveau rapport HijackThis
  

Bon travail à toi !

 

 

bonjour et merci à toi Wawaseb

 

je te soumets donc mes 3 rapports :

 

mon log SDFix :

 

SDFix: Version 1.136

 

Run by Administrateur on 03/02/2008 at 11:08

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Trojan Files Found:

 

C:\WINDOWS\SYSTEM32\IALMCOIN.DLL - Deleted

C:\Program Files\InetGet2\WinTouchInstaller_channel1.exe - Deleted

C:\Program Files\Insider\Insider.MSNFix - Deleted

C:\Program Files\Router\Router.exe - Deleted

C:\Program Files\Router\UnInstall.exe - Deleted

C:\Program Files\WinAble\winable.MSNFix - Deleted

C:\Program Files\Fichiers communs\Yazzle1560OinUninstaller.exe - Deleted

C:\Program Files\Fichiers communs\Carlson\carlton - Deleted

 

 

 

Folder C:\Documents and Settings\Propri‚taire\Application Data\WinTouch - Removed

Folder C:\Program Files\InetGet2 - Removed

Folder C:\Program Files\Insider - Removed

Folder C:\Program Files\Router - Removed

Folder C:\Program Files\WinAble - Removed

Folder C:\Program Files\Fichiers communs\Carlson - Removed

 

 

Removing Temp Files...

 

ADS Check:

 

 

 

Final Check:

 

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-03 11:14:01

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Reporting\EventCache\7971f918-a847-4430-9279-4a52d1efe18d]

"CurrentCacheFile"="C:\WINDOWS\SoftwareDistribution\EventCache\{828408E2-B787-48AC-A812-725337007B91}.bin"

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 32

 

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

Remaining Files:

---------------

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes:

 

Fri 26 Dec 2003 196 A.SHR --- "C:\BOOT.BAK"

Mon 30 Jul 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 13 May 2007 2,837 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti1F.tmp"

Tue 24 Jul 2007 264,192 ...H. --- "C:\Documents and Settings\Propri‚taire\Application Data\Microsoft\ModŠles\~WRL3368.tmp"

Mon 30 Jul 2007 4,348 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\PATRICK\CD 2 titres\Sauvegarde de la licence\drmv1key.bak"

Mon 30 Jul 2007 20 A..H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\PATRICK\CD 2 titres\Sauvegarde de la licence\drmv1lic.bak"

Mon 30 Jul 2007 400 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\PATRICK\CD 2 titres\Sauvegarde de la licence\drmv2key.bak"

Mon 30 Jul 2007 13,312 A..H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\PATRICK\CD 2 titres\Sauvegarde de la licence\drmv2lic.bak"

 

Finished!

 

 

MON LOG NAVILOG :

 

 

Search Navipromo version 3.4.2 commencé le 03/02/2008 à 11:28:29,31

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2800.1106

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

Instant Access

InternetGameBox

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

C:\Program Files\Instant Access trouvé !

C:\Program Files\InternetGameBox trouvé !

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\application data" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\local settings\application data" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\MENUDM~1\PROGRA~1" ***

 

...\InternetGameBox trouvé !

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Fichier(s) caché(s) :

 

C:\WINDOWS\system32\vzzbea.dat

C:\WINDOWS\system32\vzzbea.exe

C:\WINDOWS\system32\vzzbea_nav.dat

C:\WINDOWS\system32\vzzbea_navps.dat

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

Fichiers trouvés :

 

ogdwzq.exe trouvé !

ogdwzq.dat trouvé !

ogdwzq_nav.dat trouvé !

ogdwzq_navps.dat trouvé !

 

* Recherche dans "C:\Documents and Settings\Propriétaire\local settings\application data" *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche clés spécifiques dans le Registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

C:\WINDOWS\system32\lnaccess.exe trouvé !

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

vzzbea.dat trouvé !

ogdwzq_nav.dat trouvé !

vzzbea_nav.dat trouvé !

lnaccess.exe trouvé !

 

* Dans "C:\Documents and Settings\Propriétaire\local settings\application data" :

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 03/02/2008 à 11:33:56,57 ***

 

 

et evfin MON LOG HIJACKTHIS

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:39:15, on 03/02/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Club-Internet\Le Compagnon Club\bin\mpbtn.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {C48DAD65-638D-4B2E-D85B-3EE600F30EE0} - C:\WINDOWS\System32\oqrh.dll (file missing)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReboot.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [megebipu] C:\Program Files\Windows Media Player\megebipu77798.exe

O4 - HKLM\..\Run: [zomrtdnlb] c:\windows\system32\zomrtdnlb.exe zomrtdnlb

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [Heth] "C:\PROGRA~1\COMMON~1\MANTEC~1\spoolsv.exe" -vt yazb

O4 - HKCU\..\Run: [Fssyuk] "C:\Program Files\?ystem32\n?pdb.exe"

O4 - HKCU\..\Run: [instant Access] C:\WINDOWS\System32\lnaccess.exe /res

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - S-1-5-18 Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - .DEFAULT User Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/R...rod/DownMan.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {DF1C8E21-4045-4D67-B528-335F1A4F0DE9} - http://scripts.dlv4.com/binaries/egaccess4..._1073_em_XP.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

--

End of file - 10257 bytes

 

 

 

bon analyse à toi !

[WawaSeb]

Bonsoir crumble44,

 

*** SDFix a fait du bon nettoyage... et Navilog a trouvé de quoi se mettre sous la dent ! ***

 

 

1) Double-clique sur le raccourci de Navilog1 !

• Choisis ta langue...
  
• Presse une touche lorsque le programme t'affiche "Appuyez sur une touche pour continuer..."
  
• Choisis maintenant l'option 2 (Désinfection automatique)
  
• Ton PC va redémarrer (ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts)
  ----> S'il ne le fait pas, redémarre manuellement...
  ----> Choisis ta session habituelle
  
• Poste le rapport cleanavi.txt créé sur ton bureau en fin de procédure (il faudra attendre un peu)...
  

Si ton bureau reste vide après le redémarrage :

--> Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

--> Ensuite ferme Internet explorer s'il est ouvert.

* Rend toi dans ton Menu démarrer, Paramètres, Panneau de configuration, Options Internet

* Clique sur l'onglet Contenu, puis Certificats.

* Dans tous les onglets, Personnel, Autres personnes, etc. cherche et supprime (si tu les trouves) :

• electronic-group
  
• egroup
  
• Montorgueil
  
• VIP
  
• "Sunny Day Design Ltd"
  

 

2) Reposte également un nouveau rapport HijackThis...

 

@ très vite !

[crumble44]

Bonsoir crumble44,

 

*** SDFix a fait du bon nettoyage... et Navilog a trouvé de quoi se mettre sous la dent ! ***

1) Double-clique sur le raccourci de Navilog1 !

• Choisis ta langue...
  
• Presse une touche lorsque le programme t'affiche "Appuyez sur une touche pour continuer..."
  
• Choisis maintenant l'option 2 (Désinfection automatique)
  
• Ton PC va redémarrer (ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts)
  ----> S'il ne le fait pas, redémarre manuellement...
  ----> Choisis ta session habituelle
  
• Poste le rapport cleanavi.txt créé sur ton bureau en fin de procédure (il faudra attendre un peu)...
  

Si ton bureau reste vide après le redémarrage :

--> Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

--> Ensuite ferme Internet explorer s'il est ouvert.

* Rend toi dans ton Menu démarrer, Paramètres, Panneau de configuration, Options Internet

* Clique sur l'onglet Contenu, puis Certificats.

* Dans tous les onglets, Personnel, Autres personnes, etc. cherche et supprime (si tu les trouves) :

• electronic-group
  
• egroup
  
• Montorgueil
  
• VIP
  
• "Sunny Day Design Ltd"
  

2) Reposte également un nouveau rapport HijackThis...

 

@ très vite !

 

 

bonsoir WawaSeb

 

désolé c'est un peu long mais après exécution de navilog1, le fichier cleanavi.txt a bien été créé mais ne s'est pas sauvegerder sur le bureau, ni ailleurs ...

je l'avais imprimé, mais après de nombreux essais divers et variés, je n'arrive pas à coller le scan de mon impression (formant jpeg) sur cette page !

sauf si tu as un autre moyen, je le scan demain au bureau en format txt que je pourrai alors coller. on pourra alors reprendre la procédure dans de bonnes conditions !

 

sinon je n'ai trouvé que un "electronic group" dans l'onglet Editeurs Approuvés, que j'ai supprimé, néanmoins j'ai vu sur la ligne juste en dessous un "cousin" (?) nommé OOO"favour". Je dis cousin car indiqué comme provenant du même éditeur dans la colonne délivré par, à savoir : Thawte Code Signing CA

 

PS : question subsidiaire de novice non sachant :

1/ lorsque je fais les scan hijackthis que tu demandes, je ne les fais pas en mode sans échec, c'est bien ça ?

2/comment savoir si d'autres malwares ne m'infectent pas entre 2 séances de nettoyage que noous échangeons ?

3/ en général vaut il mieux suivre les porcédures que tu m'indiques en "continu" (sans éteindre et rallumer l'ordi entre nos contacts) ou bien cela ne change rien ?

 

merci de ton aide et de ta patience

 

@ bientot

[WawaSeb]

Bonsoir crumble44,

 

*** Tu poses des questions, c'est super ! ***

--> Lorsque tu réponds à un message sur le forum, clique sur le bouton "Répondre" et efface tout le contenu du message précédent. C'est beaucoup plus lisible ! Merci d'avance...

 

1/ lorsque je fais les scan hijackthis que tu demandes, je ne les fais pas en mode sans échec, c'est bien ça ?

--> Exactement !

 

 

2/comment savoir si d'autres malwares ne m'infectent pas entre 2 séances de nettoyage que noous échangeons ?

--> Si tu n'as pas de comportement à risque pendant la période de désinfection (ni même après d'ailleurs), les malware's ne reviennent que dans le cas où ils sont codés pour... et le rapport d'après nous l'indiquera !

 

 

3/ en général vaut il mieux suivre les porcédures que tu m'indiques en "continu" (sans éteindre et rallumer l'ordi entre nos contacts) ou bien cela ne change rien ?

--> En général, tu peux éteindre ton PC entre différents posts, nous t'indiquons les cas où tu dois le faire ainsi que ceux où tu ne peux pas !

 

 

Le rapport de Navilog doit se trouver ici :: C:\fixnavi.txt

Tu ne le vois pas ?

 

Bonne nuit à toi !

[crumble44]

bonsoir WawaSeb

 

c'est bon je l'ai retrouvé ! voici donc :

 

mon log cleannavi :

 

Clean Navipromo version 3.4.2 commencé le 03/02/2008 à 20:34:22,42

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2800.1106

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

*** Creation backups fichiers trouvés par Catchme ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

Copie C:\WINDOWS\system32\vzzbea.dat réalisée avec succès !

Copie C:\WINDOWS\system32\vzzbea.exe réalisée avec succès !

Copie C:\WINDOWS\system32\vzzbea_nav.dat réalisée avec succès !

Copie C:\WINDOWS\system32\vzzbea_navps.dat réalisée avec succès !

 

*** Suppression des fichiers trouvés avec Catchme ***

 

C:\WINDOWS\system32\vzzbea.dat supprimé !

C:\WINDOWS\system32\vzzbea.exe supprimé !

C:\WINDOWS\system32\vzzbea_nav.dat supprimé !

C:\WINDOWS\system32\vzzbea_navps.dat supprimé !

 

** 2ème passage avec résultats Catchme **

 

* Dans C:\WINDOWS\system32 *

 

 

C:\WINDOWS\prefetch\vzzbea*.pf trouvé !

Copie C:\WINDOWS\prefetch\vzzbea*.pf réalisée avec succès !

C:\WINDOWS\prefetch\vzzbea*.pf supprimé !

 

* Dans "C:\Documents and Settings\Propriétaire\local settings\application data" *

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

ogdwzq.exe trouvé !

Copie ogdwzq.exe réalisée avec succès !

ogdwzq.exe supprimé !

 

ogdwzq.dat trouvé !

Copie ogdwzq.dat réalisée avec succès !

ogdwzq.dat supprimé !

 

ogdwzq_nav.dat trouvé !

Copie ogdwzq_nav.dat réalisée avec succès !

ogdwzq_nav.dat supprimé !

 

ogdwzq_navps.dat trouvé !

Copie ogdwzq_navps.dat réalisée avec succès !

ogdwzq_navps.dat supprimé !

 

 

* Suppression dans "C:\Documents and Settings\Propriétaire\local settings\application data" *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\Instant Access ...suppression...

C:\Program Files\Instant Access supprimé !

 

C:\Program Files\InternetGameBox ...suppression...

C:\Program Files\InternetGameBox supprimé !

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\application data" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\local settings\application data" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\MENUDM~1\PROGRA~1" ***

 

...\InternetGamebox ...suppression...

...\InternetGamebox supprimé !

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé !

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Propri‚taire\local settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

C:\WINDOWS\system32\lnaccess.exe trouvé !

Copie C:\WINDOWS\system32\lnaccess.exe réalisée avec succès !

C:\WINDOWS\system32\lnaccess.exe supprimé !

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\Propriétaire\local settings\application data" *

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Nettoyage terminé le 03/02/2008 à 20:37:17,84 ***

 

 

et mon log hijackthis (fait ce soir)

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:45:33, on 04/02/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Club-Internet\Le Compagnon Club\bin\mpbtn.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {C48DAD65-638D-4B2E-D85B-3EE600F30EE0} - C:\WINDOWS\System32\oqrh.dll (file missing)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReboot.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [megebipu] C:\Program Files\Windows Media Player\megebipu77798.exe

O4 - HKLM\..\Run: [zomrtdnlb] c:\windows\system32\zomrtdnlb.exe zomrtdnlb

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [Heth] "C:\PROGRA~1\COMMON~1\MANTEC~1\spoolsv.exe" -vt yazb

O4 - HKCU\..\Run: [Fssyuk] "C:\Program Files\?ystem32\n?pdb.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - S-1-5-18 Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - .DEFAULT User Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/R...rod/DownMan.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

--

End of file - 10094 bytes

 

 

bon ben quelques questions, puisqu'elles sont les bienvenues :

 

1/ je suis équipé antivirus (avast, avant j'avais norton qui apparement a laissé passer les choses), mais pas pare feu (j'ai désinsatllé zone alarm car activé je n'avais plus aucun accès internet, et je n'ai jamais réussi à le configurer pour) , ni pare spy, pare trucs et machins et que sais je encore ...

que me conseilles tu (gratuit, ou payant). Je souhaite être mieux équipé dorénavant !

 

2/ heureusement qu'il existe des gens comme toi, experts et volontaires pour donner du temps aux autres.

Mais pourquoi les outils qu'on utilise ensemble pour le nettoyage sont ils "inaccessibles" : ils devraient dans un 1er temps nous permettre de scanner notre ordi et produire un rapport nous disant simplement "vous avez un pb, infection, veuillez consulter un spécialiste". A ce moment la on transmet effectivement a un spécialiste via le forum.

Nous serions plus en sécurité, car un scan régulier nous avertirais plus tot de l'infection (pour ma part l'infection n'avais apparemment pas d'effet visible sauf sur msn, que je n'utilise que très rarement)

 

3/ j'ai vu les 2 fichiers 1148 et 1-1148 détecté par msnfix sur la racine c: , défini comme application dans la colonne type de l'explorateur windows, et avec comme icone un rectangle blanc bordé d'un trait belu sur le haut conteant 3 petits boutons sur la droite (comme un four ou un lave vaisselle quoi ...). est ce grave docteur ?

 

Merci

@ bientôt

[WawaSeb]

Bonsoir crumble44,

 

*** Le nettoyage avance, mais il n'est pas fini ! ***

 

 

** Une petite note concernant ton antivirus, si Avast! était reconnu performant il y a quelques années, il est actuellement décrié par plusieurs experts :

Je t'encourage à lire ces deux topics et à prendre la décision qui te convient le mieux :

• Avast! vs AntiVir
  
• Abandonner Avast! pour AntiVir !
  

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

 

1) Rends-toi sur ce site-ci

• Clique sur "Parcourir" (comme indiqué sur le dessin)
  
• Recherche le fichier suivant : C:\Program Files\Windows Media Player\megebipu77798.exe
  
• Clique sur "Submit"
  
• Copie-colle le rapport dans ta prochaine réponse...
  

*** Si le site est trop surchargé, tu peux refaire la même opération ici ("Send" à la place de "Submit")

 

 

2) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes (si encore présentes) :

 

O2 - BHO: (no name) - {C48DAD65-638D-4B2E-D85B-3EE600F30EE0} - C:\WINDOWS\System32\oqrh.dll (file missing)

 

O4 - HKLM\..\Run: [zomrtdnlb] c:\windows\system32\zomrtdnlb.exe zomrtdnlb

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k <-- Erreur probablement provoquée à la suite d'un écran bleu ou d'un reboot du pc à cause d'une défaillance matérielle !

 

04 - HKCU\..\Run: [Heth] "C:\PROGRA~1\COMMON~1\MANTEC~1\spoolsv.exe" -vt yazb

 

O4 - HKCU\..\Run: [Fssyuk] "C:\Program Files\?ystem32\n?pdb.exe"

 

O4 - S-1-5-18 Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'SYSTEM') <-- A proprement pas parler une infection, mais clairement inutile et à fixer !

 

O4 - .DEFAULT Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user') <-- A proprement pas parler une infection, mais clairement inutile et à fixer !

 

O4 - .DEFAULT User Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe (User 'Default user') <-- A proprement pas parler une infection, mais clairement inutile et à fixer !

 

O4 - Startup: PowerReg Scheduler V3.exe <-- Sans doute pas une infection, mais clairement inutile et à fixer !

 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm <-- A proprement pas parlé une infection, mais clairement inutile et à fixer !

 

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm <-- A proprement pas parlé une infection, mais clairement inutile et à fixer !

 

 

3) Supprime les fichiers suivants (si présents) :

• C:\WINDOWS\System32\oqrh.dll
  
• c:\windows\system32\zomrtdnlb.exe
  
• C:\PROGRA~1\COMMON~1\MANTEC~1\spoolsv.exe
  
• C:\Program Files\?ystem32\n?pdb.exe
  

 

4) Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse-le sur ton bureau
  
• Un nouveau dossier va être créé (DiagHelp)
  
• Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame
  
• Copie/colle le rapport qui s'ouvre sur ce forum (tu pourras retrouver ce rapport sur C:\Resultat.txt)
  

N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !!

 

 

5) Reposte également un nouveau rapport HijackThis, il est très possible que certaines lignes ne se soient pas supprimées !

 

 

que me conseilles tu (gratuit, ou payant). Je souhaite être mieux équipé dorénavant

--> Je te propose de répondre à cette question en fin de procédure, une fois que ton PC sera propre !

 

 

Mais pourquoi les outils qu'on utilise ensemble pour le nettoyage sont ils "inaccessibles"

--> Il y a différentes explications qui, je pense, te donneront des éléments de réponses :

• Les virus évoluent très vite et ont tendance à devenir de plus en plus furtifs (cachés !)
  
• Les programmes que nous utilisons peuvent parfois être détournés de leur utilisation pour faire planter un système ou pour infecter davantage !
  
• Chaque outil de désinfection a un travail spécifique : il peut être dangereux de les utiliser sur une mauvaise infection
  
• Il y a énormément d'autres raisons...
  

 

avec comme icone un rectangle blanc bordé d'un trait belu sur le haut conteant 3 petits boutons sur la droite (comme un four ou un lave vaisselle quoi ...). est ce grave docteur ?

--> Serais-tu en mesure de m'en faire une capture d'écran et de la poster sur le forum ?

 

 

Au final, j'attends les rapports suivants :

1. Jotti ou VirusTotal
   
2. DiagHelp
   
3. Nouvel HijackThis
   

Bonne nuit à toi !

[crumble44]

bonsoir WawaSeb,

 

me voici de retour

je reprends la numérotation de ta dernière réponse, nous en étions a :

 

1/ rapport Jotti :

 

rien du tout car je n'ai pas trouver le fichier megebipu77798.exe dans C:\Program Files\Windows Media Player !

j'ai pourtant bien suivi la procédure pour afficher les fichiers cachés/protégés du système, et j'ai fait une recherche avec l'explorateur sur l'ensemble du poste : rien trouvé nulle part ...

(il semble pourtant toujours apparaitre sur mon dernier rapport hijackthis)

 

 

2/ fixation de lignes dans hijacthis :

 

ok c'est fait.

 

 

3/ suppression de certains fichiers

 

ils n'étatient pas présents : oqrh.dll et zomrtdnlb.exe

 

je n'ai pas trouvé le chemin : C:\PROGRA~1\COMMON~1\MANTEC~1\ (pas de PROGRA~1)

(remarque : si c'était C:\Program Files\common files\symantec le fichier spoolsv.exe n'était pas présent)

 

je n'ai pas trouvé le chemin : C:\Program Files\?ystem32\ (pas de ?ystem32)

(remarque : si c'était C:\Program Files\System32\n?pdb.exe n'était pas présent

 

4/ rapport DiagHelp :

 

Pour info : 1/ au démarrage du scan il m'a été demandé d'accepter une license "sigcheck", ce que j'ai fait sinon il ne se passait rien (non mentionné dans ta préconisation)

et 2/ je n'ai pas eu a appuyer sur une touche à la fin pour afficher le rapport vu qu'il m'a éteint direct l'ordi (j'ai essayé plusieurs fois, même résultat d'extinction automatique).

Je te colle le rapport que j'ai néanmoins trouvé dans C:\

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 07/02/2008 à 22:49:01,45

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->07/02/2008 22:47:53

C:\WINDOWS\prefetch\VERCLSID.EXE-28F52AD2.pf -->07/02/2008 22:47:15

C:\WINDOWS\prefetch\MSNTBUP.EXE-05EA1CAC.pf -->07/02/2008 22:47:00

C:\WINDOWS\prefetch\HPDARC.EXE-1091BBF2.pf -->07/02/2008 22:46:19

C:\WINDOWS\prefetch\WMIPRVSE.EXE-0D449B4F.pf -->07/02/2008 22:44:31

C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->07/02/2008 22:44:29

C:\WINDOWS\prefetch\EXPLORER.EXE-02121B1A.pf -->07/02/2008 22:44:24

C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->07/02/2008 22:44:14

C:\WINDOWS\prefetch\IPODSERVICE.EXE-37043579.pf -->07/02/2008 22:44:14

C:\WINDOWS\prefetch\IMAPI.EXE-201490BB.pf -->07/02/2008 22:44:14

 

C:\WINDOWS\System32\drivers\fidbox2.dat -->01/12/2007 10:49:27

C:\WINDOWS\System32\drivers\fidbox.dat -->01/12/2007 10:48:13

C:\WINDOWS\System32\drivers\klin.dat -->01/12/2007 10:44:35

C:\WINDOWS\System32\drivers\klick.dat -->01/12/2007 10:44:35

C:\WINDOWS\System32\drivers\fidbox2.idx -->01/12/2007 10:44:28

C:\WINDOWS\System32\drivers\fidbox.idx -->01/12/2007 10:44:28

C:\WINDOWS\System32\drivers\aswmon.sys -->06/09/2007 12:05:25

 

C:\WINDOWS\System32\wpa.dbl -->07/02/2008 18:08:19

C:\WINDOWS\System32\perfh00C.dat -->03/02/2008 11:14:36

C:\WINDOWS\System32\perfh009.dat -->03/02/2008 11:14:36

C:\WINDOWS\System32\perfc00C.dat -->03/02/2008 11:14:36

C:\WINDOWS\System32\perfc009.dat -->03/02/2008 11:14:36

C:\WINDOWS\System32\PerfStringBackup.INI -->03/02/2008 11:14:35

C:\WINDOWS\System32\CmdLineExt03.dll -->11/01/2008 20:02:05

C:\WINDOWS\System32\MRT.INI -->11/01/2008 20:01:53

C:\WINDOWS\System32\tftp.exe -->11/01/2008 19:56:01

C:\WINDOWS\System32\ftp.exe -->11/01/2008 19:56:00

C:\WINDOWS\System32\MRT.exe -->02/01/2008 19:21:36

C:\WINDOWS\System32\CONFIG.NT -->01/12/2007 13:23:40

C:\WINDOWS\System32\zllictbl.dat -->01/12/2007 10:47:42

C:\WINDOWS\System32\wnscpicom32.exe -->11/11/2007 15:22:36

C:\WINDOWS\System32\sfc_os.dll -->09/11/2007 20:30:32

C:\WINDOWS\System32\tmpBE924.FOT -->12/09/2007 15:51:26

C:\WINDOWS\System32\tmp86A24.FOT -->12/09/2007 15:51:26

C:\WINDOWS\System32\tmp6BA24.FOT -->12/09/2007 15:51:26

C:\WINDOWS\System32\tmp2B824.FOT -->12/09/2007 15:51:25

C:\WINDOWS\System32\aswBoot.exe -->06/09/2007 12:09:49

C:\WINDOWS\System32\AvastSS.scr -->06/09/2007 12:00:07

C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 18:20:06

C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 18:19:52

C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 18:19:42

C:\WINDOWS\System32\wuapi.dll -->30/07/2007 18:19:36

 

C:\WINDOWS.log -->07/02/2008 22:43:35

C:\WINDOWS\WindowsUpdate.log -->07/02/2008 22:43:29

C:\WINDOWS\wiadebug.log -->07/02/2008 22:43:22

C:\WINDOWS\wiaservc.log -->07/02/2008 22:43:16

C:\WINDOWS\bootstat.dat -->07/02/2008 22:42:38

C:\WINDOWS\SchedLgU.Txt -->07/02/2008 18:10:44

C:\WINDOWS\ntbtlog.txt -->03/02/2008 11:06:34

C:\WINDOWS\msnfix.txt -->02/02/2008 16:24:08

C:\WINDOWS\ModemLog_Conexant HSF V90 56K PCI Modem.txt -->10/01/2008 20:57:57

C:\WINDOWS\tmlpwin.exe -->27/12/2007 11:20:04

C:\WINDOWS\win.ini -->15/12/2007 14:58:03

C:\WINDOWS\cncscore.ini -->07/12/2007 18:53:09

C:\WINDOWS\ka.ini -->02/12/2007 13:44:11

C:\WINDOWS\wininit.ini -->02/12/2007 13:43:42

C:\WINDOWS\d3dx.dat -->06/11/2007 14:55:20

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1420

Command line: C:\WINDOWS\Explorer.EXE

 

Base Size Version Path

0x01000000 0xf9000 6.00.2800.1106 C:\WINDOWS\Explorer.EXE

0x77be0000 0x53000 7.00.2600.1106 C:\WINDOWS\system32\msvcrt.dll

0x77290000 0x66000 6.00.2800.1740 C:\WINDOWS\system32\SHLWAPI.dll

0x00260000 0x80a000 6.00.2800.1873 C:\WINDOWS\system32\SHELL32.dll

0x770e0000 0x8b000 3.50.5016.0000 C:\WINDOWS\system32\OLEAUT32.dll

0x4f0a0000 0xfe000 6.00.2800.1892 C:\WINDOWS\System32\BROWSEUI.dll

0x4ef40000 0x14d000 6.00.2800.1892 C:\WINDOWS\System32\SHDOCVW.dll

0x5b090000 0x34000 6.00.2800.1106 C:\WINDOWS\System32\UxTheme.dll

0x78090000 0xe5000 6.00.2800.1891 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1891_x-ww_7d3bbc01\comctl32.dll

0x77300000 0x8c000 5.82.2800.1891 C:\WINDOWS\system32\comctl32.dll

0x7a170000 0x80000 2001.12.4414.0062 C:\WINDOWS\System32\CLBCATQ.DLL

0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\System32\COMRes.dll

0x5b950000 0x72000 6.00.2800.1106 C:\WINDOWS\System32\themeui.dll

0x71ca0000 0x1b000 6.00.2600.0000 C:\WINDOWS\System32\actxprxy.dll

0x76ac0000 0x15000 3.00.9435.0000 C:\WINDOWS\System32\ATL.DLL

0x1a400000 0x7d000 6.00.2800.1572 C:\WINDOWS\system32\urlmon.dll

0x745e0000 0x2c6000 3.01.4000.2435 C:\WINDOWS\System32\msi.dll

0x63000000 0x96000 6.00.2800.1559 C:\WINDOWS\system32\WININET.dll

0x76250000 0x8d000 5.131.2600.1106 C:\WINDOWS\system32\CRYPT32.dll

0x74aa0000 0x43000 6.00.2800.1106 C:\WINDOWS\System32\webcheck.dll

0x74a60000 0x9000 6.00.2600.0000 C:\WINDOWS\System32\BatMeter.dll

0x74a40000 0x7000 6.00.2600.0000 C:\WINDOWS\System32\POWRPROF.dll

0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\System32\WINTRUST.dll

0x51080000 0x61000 5.03.0001.0904 C:\WINDOWS\System32\DSOUND.dll

0x5ef80000 0x4000 5.03.0000.0900 C:\WINDOWS\System32\KsUser.dll

0x69270000 0x8c000 5.02.1776.1023 C:\WINDOWS\System32\fxsst.dll

0x694a0000 0x70000 5.02.1776.1023 C:\WINDOWS\System32\FXSAPI.dll

0x10000000 0x20000 5.08.0022.6405 C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\SBHook.dll

0x76100000 0x8e000 6.00.2600.0000 C:\WINDOWS\System32\shdoclc.dll

0x76340000 0x46000 6.00.2800.1106 C:\WINDOWS\system32\comdlg32.dll

0x723a0000 0x13000 6.00.2800.1106 C:\WINDOWS\System32\browselc.dll

0x02d20000 0x8f000 6.00.2600.0000 C:\WINDOWS\System32\MLANG.dll

0x1f7b0000 0x31000 3.520.9030.0000 C:\WINDOWS\System32\ODBC32.dll

0x1f850000 0x18000 3.520.7713.0000 C:\WINDOWS\System32\odbcint.dll

0x732d0000 0x52000 6.00.2800.1106 C:\WINDOWS\System32\zipfldr.dll

0x019c0000 0x1a000 1.00.0000.0005 c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

0x73d20000 0xf2000 6.00.8665.0000 C:\WINDOWS\System32\MFC42.DLL

0x76010000 0x61000 6.00.8972.0000 C:\WINDOWS\System32\MSVCP60.dll

0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\System32\MFC42LOC.DLL

0x018c0000 0x8000 1.00.0000.0001 C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

0x02cb0000 0x29000 11.00.0000.0716 c:\Program Files\Microsoft Money\System\mnyside.dll

0x02ce0000 0x11000 11.00.0000.0716 c:\Program Files\Microsoft Money\System\misstub.dll

0x32520000 0x12000 10.00.2609.0000 C:\Program Files\Microsoft Office\Office10\msohev.dll

0x70ee0000 0x7000 1.01.0000.3917 C:\WINDOWS\System32\asfsipc.dll

0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\System32\MSISIP.DLL

0x74e10000 0x10000 5.06.0000.6626 C:\WINDOWS\System32\wshext.dll

0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\System32\wshFR.DLL

0x365a0000 0x16000 10.00.6313.0000 C:\PROGRA~1\MICROS~4\Office10\MCPS.DLL

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 684

Command line: winlogon.exe

 

Base Size Version Path

0x01000000 0x84000 \??\C:\WINDOWS\system32\winlogon.exe

0x77be0000 0x53000 7.00.2600.1106 C:\WINDOWS\system32\msvcrt.dll

0x76250000 0x8d000 5.131.2600.1106 C:\WINDOWS\system32\CRYPT32.dll

0x007a0000 0x80a000 6.00.2800.1873 C:\WINDOWS\system32\SHELL32.dll

0x77290000 0x66000 6.00.2800.1740 C:\WINDOWS\system32\SHLWAPI.dll

0x77300000 0x8c000 5.82.2800.1891 C:\WINDOWS\system32\COMCTL32.dll

0x1f7b0000 0x31000 3.520.9030.0000 C:\WINDOWS\system32\ODBC32.dll

0x76340000 0x46000 6.00.2800.1106 C:\WINDOWS\system32\comdlg32.dll

0x78090000 0xe5000 6.00.2800.1891 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1891_x-ww_7d3bbc01\comctl32.dll

0x1f850000 0x18000 3.520.7713.0000 C:\WINDOWS\system32\odbcint.dll

0x76b70000 0x20000 6.00.2800.1605 C:\WINDOWS\system32\SHSVCS.dll

0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\system32\WINTRUST.dll

0x5b090000 0x34000 6.00.2800.1106 C:\WINDOWS\system32\uxtheme.dll

0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\system32\COMRes.dll

0x770e0000 0x8b000 3.50.5016.0000 C:\WINDOWS\system32\OLEAUT32.dll

0x7a170000 0x80000 2001.12.4414.0062 C:\WINDOWS\system32\CLBCATQ.DLL

 

 

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 70EB-3350

 

Répertoire de C:\WINDOWS\system

 

07/05/1998 23:04 52 736 hpsysdrv.exe

1 fichier(s) 52 736 octets

0 Rép(s) 33 615 904 768 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 70EB-3350

 

Répertoire de C:\WINDOWS\system32

 

02/08/2003 21:40 4 096 csrss.exe

1 fichier(s) 4 096 octets

0 Rép(s) 33 615 904 768 octets libres

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 70EB-3350

 

Répertoire de C:\WINDOWS\system32

 

03/05/2003 06:19 1 323 008 dmcpl.exe

1 fichier(s) 1 323 008 octets

0 Rép(s) 33 615 904 768 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle HP_PAVILION

Le numéro de série du volume est 70EB-3350

 

Répertoire de C:\WINDOWS\Downloaded Program Files

 

03/02/2008 20:36 <REP> .

03/02/2008 20:36 <REP> ..

01/01/2003 14:48 65 desktop.ini

15/10/1997 08:52 697 DirectAnimation Java Classes.osd

20/01/2000 15:25 1 162 Microsoft XML Parser for Java.osd

08/03/2005 11:26 202 setup.inf

27/03/2007 15:00 5 021 swflash.inf

29/08/2006 13:17 161 976 zylomgamesplayer.dll

15/09/2006 09:53 244 ZylomGamesPlayer.inf

7 fichier(s) 169 367 octets

 

Total des fichiers listés :

7 fichier(s) 169 367 octets

2 Rép(s) 33 615 904 768 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

 

 

5/ Nouveau rapport Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:56:48, on 07/02/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\BroadJump\Client Foundation\CFD.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Club-Internet\Le Compagnon Club\bin\mpbtn.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HP\hpcoretech\comp\hpdarc.exe

C:\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [bJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe

O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReboot.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [megebipu] C:\Program Files\Windows Media Player\megebipu77798.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [MoneyAgent] "c:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/R...rod/DownMan.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

--

End of file - 9314 bytes

 

 

7/ capture d'écran :

 

merci de m'indiquer une marche à suivre je n'y arrive pas

 

 

 

Voila, j'espère que malgré tout c'est pas trop mal ...

merci pour ton aide

 

@ bientôt

[WawaSeb]

Bonjour crumble44,

 

*** L'infection est coriace, et bien cachée ! ***

--> Nous allons donc envoyer les fichiers pour que nos développeurs les ajoutent à leurs programmes !

 

 

au démarrage du scan il m'a été demandé d'accepter une license "sigcheck", ce que j'ai fait sinon il ne se passait rien (non mentionné dans ta préconisation)

--> Tu as bien fait d'accepter la license, j'ajoute l'avertissement immédiatement dans ma procédure...

 

 

*** Pour avoir plus facile, je te recommande de copier-coller les chemins d'accès de l'étape 1 dans un document texte sur ton bureau. ***

 

 

1) Télécharge Submit File Packer

• Démarre en mode sans échec (SANS prise en charge réseau !) sur ta session comme indiqué ici (utilise la première méthode !)
  
• Ouvre Submit File Packer puis copie-colle les chemins de fichiers suivants dans la fenêtre qui s'est ouverte:
   
  C:\WINDOWS\System32\oqrh.dll
  c:\windows\system32\zomrtdnlb.exe
  C:\PROGRA~1\COMMON~1\MANTEC~1\spoolsv.exe
  C:\Program Files\?ystem32\n?pdb.exe
  C:\Program Files\Windows Media Player\megebipu77798.exe
   
   
  
• Clique Continue
  
• Cela va créer une archive de ce fichier sur ton bureau nommée requested files[date].cab
  
• Renomme ce fichier en andy_laurent suivi de l'extension .cab
  

 

2) Rends-toi sur cette page

• Dans le rectangle Link to topic where this file was requested:, tu mets http://forum.zebulon.fr/index.php?showtopic=138579
  
• Dans le deuxième rectangle Browse to the file you want to submit:, choisis le fichier andy_laurent.cab
  
• Dans le dernier rectangle plus grand, ajoute "SDFix / MSNFix candidate ? Thanks you VERY MUCH !"
  

 

3) Télécharge OTMoveIt de OldTimer.

• Sauvegarde-le sur ton Bureau.
  
• Copie le texte en citation ci-dessous (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :

  C:\WINDOWS\System32\oqrh.dll
  c:\windows\system32\zomrtdnlb.exe
  C:\PROGRA~1\COMMON~1\MANTEC~1\spoolsv.exe
  C:\Program Files\?ystem32\n?pdb.exe
  C:\Program Files\Windows Media Player\megebipu77798.exe

  
   
  
• Double-clique sur OTMoveIt2.exe afin de lancer le programme
  
• Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée
  
• Fais un Clic-droit dans le cadre en haut à gauche puis choisis Coller
  
• Clique à présent sur le bouton "MoveIt!"
  
• Un rapport va être créé, il se trouve dans C:\_OTMoveIt\MovedFiles\ (Le nom du rapport est la date de sa création)
  
• Poste ce rapport stp...
  

 

4) Envoie-moi le fichier andy_laurent.cab à l'adresse que je te donne en privé stp...

 

==> Un immense MERCI à toi !

 

 

# Pour faire une capture d'écran :

1. Appuie sur la touche PrScr / Print Screen de ton clavier (au-dessus de Insert, la plupart du temps)
   
2. Clique sur Démarrer --> Exécuter --> Ok
   
3. Tape mspaint, puis OK
   
4. Lorsque PAINT est ouvert, clique sur Edition
   
5. Clique enfin sur Coller
   
6. Tu peux sélectionner alors la partie qui nous intéresse, la recopier-coller dans un nouveau document PAINT et renvoyer la capture
   

 

Bonne journée à toi !