Ouverture intempestive de plein d'IE

[tiamat69fr]

Bonjour,

je dois avoir un soucis :

Depuis quelques temps, assez régulièrement, quand je suis sous IE, j'ai une multitude de fenètres ou d'onglets qui s'ouvrent.

A chaque fois, kill du processus pour arrèter ça.

C'est quoi la méchante bète qui s'est installé ?

 

Le rapport hijackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:39:25, on 27/03/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Acer\Empowering Technology\eDSMSNfix.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Windows\BR040286.exe

C:\Program Files\Orange\Systray\SystrayApp.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE

C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE

C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Windows Mail\WinMail.exe

C:\Program Files\Microsoft Games\Solitaire\Solitaire.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Users\Portable Maison\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll (file missing)

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [eDSMSNfix] C:\Acer\Empowering Technology\eDSMSNfix.exe

O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [bisonInst0402] C:\Windows\BR040286.exe

O4 - HKLM\..\Run: [systrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Empowering Technology Launcher.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)

O13 - Gopher Prefix:

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: eNetHook.dll

O23 - Service: ALaunch Service (ALaunchService) - Unknown owner - C:\Acer\ALaunch\ALaunchSvc.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 8633 bytes

[pear]

Bonsoir,

 

C'est quoi la méchante bète qui s'est installé ?

 

Rien en tous cas qui apparaisse dans votre rapport.

 

On va chercher plus loin.

 

Désactivez les protections.

Télécharger DiagHelp.zip de Malekal_morte sur le bureau.

http://www.malekal.com/download/DiagHelp.zip

ou là:

http://sosvirus.changelog.fr/diaghelp.zip

* Décompressez le, sur le bureau par exemple.

* Un nouveau dossier chercher va être créé DiagHelp.

* Ouvrez le et double-cliquez sur go.cmd (le .cmd peut ne pas apparaître)

* Une fenêtre va s'ouvrir, choisir l'option 1

* L'analyse va commencer, ceci peut durer quelques minutes,

appuyez sur une touche quand on le demande

* Copier/coller le contenu entier du bloc-note qui s'ouvre et le joindre à la prochaine réponse.

Sinon, il est là:C:\resultats.txt

 

[La détection par Antivir de "TR/inject.MF"

est en fait catchme ,un composant de diaghelp :c'est donc un faux positif./color]

[tiamat69fr]

Bonjour,

 

Le résultat :

 

DiagHelp version v1.4 - http://www.malekal.com

excute le 28/03/2008 à 7:24:29,58

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\Windows\prefetch\CONIME.EXE-9781FD5F.pf -->28/03/2008 07:24:20

C:\Windows\prefetch\CMD.EXE-4A81B364.pf -->28/03/2008 07:24:20

C:\Windows\prefetch\VERCLSID.EXE-7C52E31C.pf -->28/03/2008 07:23:34

C:\Windows\prefetch\CONTROL.EXE-817F8F1D.pf -->28/03/2008 07:23:33

C:\Windows\prefetch\DLLHOST.EXE-5E46FA0D.pf -->28/03/2008 07:23:10

C:\Windows\prefetch\SEARCHPROTOCOLHOST.EXE-0CB8CADE.pf -->28/03/2008 07:22:40

C:\Windows\prefetch\SEARCHFILTERHOST.EXE-77482212.pf -->28/03/2008 07:22:40

C:\Windows\prefetch\MPAS-D.EXE-40FE95BA.pf -->28/03/2008 07:20:28

C:\Windows\prefetch\WUAUCLT.EXE-70318591.pf -->28/03/2008 07:20:27

C:\Windows\prefetch\SVCHOST.EXE-7CFEDEA3.pf -->28/03/2008 07:20:22

 

C:\Windows\System32\drivers\mrxdav.sys -->14/02/2008 19:09:38

C:\Windows\System32\drivers\WdfLdr.sys -->14/02/2008 19:08:34

C:\Windows\System32\drivers\Wdf01000.sys -->14/02/2008 19:08:34

C:\Windows\System32\drivers\sermouse.sys -->14/02/2008 19:08:34

C:\Windows\System32\drivers\mouhid.sys -->14/02/2008 19:08:33

C:\Windows\System32\drivers\mouclass.sys -->14/02/2008 19:08:33

C:\Windows\System32\drivers\kbdclass.sys -->14/02/2008 19:08:33

 

C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 -->28/03/2008 07:12:04

C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 -->28/03/2008 07:12:04

C:\Windows\System32\PerfStringBackup.TMP -->27/03/2008 07:25:11

C:\Windows\System32\MRT.exe -->05/03/2008 08:30:56

C:\Windows\System32\FNTCACHE.DAT -->03/03/2008 07:04:11

C:\Windows\System32\atiicdxx.dat -->03/03/2008 07:03:40

C:\Windows\System32\ssldivx.dll -->21/02/2008 03:05:34

C:\Windows\System32\libdivx.dll -->21/02/2008 03:05:34

C:\Windows\System32\WebClnt.dll -->14/02/2008 19:09:38

C:\Windows\System32\wpd_ci.dll -->14/02/2008 19:08:37

C:\Windows\System32\clfs.sys -->14/02/2008 19:08:37

C:\Windows\System32\umpnpmgr.dll -->14/02/2008 19:08:36

C:\Windows\System32\kbd106n.dll -->14/02/2008 19:08:36

C:\Windows\System32\drvinst.exe -->14/02/2008 19:08:36

C:\Windows\System32\dpx.dll -->14/02/2008 19:08:36

C:\Windows\System32\cfgmgr32.dll -->14/02/2008 19:08:36

C:\Windows\System32\setupapi.dll -->14/02/2008 19:08:35

C:\Windows\System32\oleaut32.dll -->14/02/2008 19:08:35

C:\Windows\System32\f3ahvoas.dll -->14/02/2008 19:08:34

C:\Windows\System32\dispci.dll -->14/02/2008 19:08:34

C:\Windows\System32\batt.dll -->14/02/2008 19:08:34

C:\Windows\System32\winresume.exe -->14/02/2008 19:08:33

C:\Windows\System32\winload.exe -->14/02/2008 19:08:33

C:\Windows\System32\unlodctr.exe -->14/02/2008 19:08:32

C:\Windows\System32\prflbmsg.dll -->14/02/2008 19:08:32

 

C:\Windows\WindowsUpdate.log -->28/03/2008 07:20:30

C:\Windows\bootstat.dat -->28/03/2008 07:11:54

C:\Windows\DPINST.LOG -->16/03/2008 00:04:21

C:\Windows\setupact.log -->12/03/2008 17:18:52

C:\Windows\MEMORY.DMP -->08/03/2008 08:47:32

C:\Windows\win.ini -->06/03/2008 19:10:27

C:\Windows\PFRO.log -->04/03/2008 21:56:32

C:\Windows\NAVIGMA.INI -->04/03/2008 21:25:36

C:\Windows\setuperr.log -->03/03/2008 00:27:57

C:\Windows\WindowsShell.Manifest -->06/12/2007 20:07:39

C:\Windows\explorer.exe -->06/12/2007 19:59:15

C:\Windows\CLEANUP.CMD -->18/06/2007 07:38:41

C:\Windows\AFirst.cmd -->18/06/2007 07:38:39

C:\Windows\GridV.UNI -->17/06/2007 23:09:30

C:\Windows\DIFxAPI.dll -->17/06/2007 22:59:31

 

winlogon.exe

Verified: Signed

svchost.exe

Verified: Signed

ws2_32.dll

Verified: Signed

user32.dll

Verified: Signed

tcpip.sys

Verified: Signed

ndis.sys

Verified: Signed

null.sys

Verified: Signed

 

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

explorer.exe pid: 1852

Command line: C:\Windows\Explorer.EXE

 

Base Size Version Path

0x004c0000 0x2cd000 6.00.6000.16549 C:\Windows\Explorer.EXE

0x76e80000 0x11e000 6.00.6000.16386 C:\Windows\system32\ntdll.dll

0x76c30000 0xd8000 6.00.6000.16386 C:\Windows\system32\kernel32.dll

0x76420000 0xbf000 6.00.6000.16386 C:\Windows\system32\ADVAPI32.dll

0x76350000 0xc3000 6.00.6000.16525 C:\Windows\system32\RPCRT4.dll

0x76fc0000 0x4b000 6.00.6000.16386 C:\Windows\system32\GDI32.dll

0x76de0000 0x9e000 6.00.6000.16438 C:\Windows\system32\USER32.dll

0x76a20000 0xaa000 7.00.6000.16386 C:\Windows\system32\msvcrt.dll

0x764e0000 0x55000 6.00.6000.16386 C:\Windows\system32\SHLWAPI.dll

0x75740000 0xace000 6.00.6000.16513 C:\Windows\system32\SHELL32.dll

0x768d0000 0x144000 6.00.6000.16386 C:\Windows\system32\ole32.dll

0x76290000 0x8c000 6.00.6000.16609 C:\Windows\system32\OLEAUT32.dll

0x72790000 0x107000 6.00.6000.16386 C:\Windows\system32\SHDOCVW.dll

0x74450000 0x3f000 6.00.6000.16386 C:\Windows\system32\UxTheme.dll

0x748f0000 0x1a000 6.00.6000.16386 C:\Windows\system32\POWRPROF.dll

0x72d00000 0xc000 6.00.6000.16386 C:\Windows\system32\dwmapi.dll

0x740f0000 0x1aa000 5.02.6000.16386 C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9e

c96e7127\gdiplus.dll

0x74ec0000 0x39000 6.00.6000.16509 C:\Windows\system32\slc.dll

0x73f50000 0xb7000 6.00.6000.16386 C:\Windows\system32\PROPSYS.dll

0x72640000 0x145000 6.00.6000.16386 C:\Windows\system32\BROWSEUI.dll

0x76fa0000 0x1e000 6.00.6000.16386 C:\Windows\system32\IMM32.dll

0x76d10000 0xc7000 6.00.6000.16386 C:\Windows\system32\MSCTF.dll

0x74420000 0x30000 6.00.6000.16386 C:\Windows\system32\DUser.dll

0x77020000 0x9000 6.00.6000.16386 C:\Windows\system32\LPK.DLL

0x76850000 0x7d000 1.626.6000.16386 C:\Windows\system32\USP10.dll

0x10000000 0x18000 2.06.0003.0005 C:\Windows\system32\eNetHook.dll

0x751d0000 0x194000 6.10.6000.16386 C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll

0x73780000 0xb2000 6.00.6000.16493 C:\Windows\system32\WindowsCodecs.dll

0x72c50000 0x6000 6.00.6000.16386 C:\Windows\system32\IconCodecService.dll

0x755d0000 0x14000 6.00.6000.16386 C:\Windows\system32\Secur32.dll

0x76ba0000 0x84000 2001.12.6930.16386 C:\Windows\system32\CLBCatQ.DLL

0x749c0000 0x38000 6.00.6000.16386 C:\Windows\system32\rsaenh.dll

0x72050000 0xb2000 6.00.6000.16549 C:\Windows\system32\timedate.cpl

0x73d30000 0x14000 3.05.2284.0000 C:\Windows\system32\ATL.DLL

0x750b0000 0x6a000 6.00.6000.16386 C:\Windows\system32\NETAPI32.dll

0x756a0000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL

0x74070000 0x38000 4.02.5406.0000 C:\Windows\system32\OLEACC.dll

0x71f90000 0x53000 6.00.6000.16386 C:\Windows\system32\actxprxy.dll

0x755f0000 0x1e000 6.00.6000.16386 C:\Windows\system32\USERENV.dll

0x71ff0000 0x2b000 6.00.6000.16386 C:\Windows\system32\msutb.dll

0x74a80000 0xd7000 6.00.6000.16386 C:\Windows\system32\WINBRAND.dll

0x74010000 0x16000 6.00.6000.16386 C:\Windows\System32\shacct.dll

0x75090000 0x11000 6.00.6000.16386 C:\Windows\System32\SAMLIB.dll

0x75570000 0x2c000 6.00.6000.16386 C:\Windows\system32\apphelp.dll

0x71eb0000 0x3c000 6.00.6000.16404 C:\Windows\System32\msshsq.dll

0x71d10000 0xc5000 6.00.6000.16386 C:\Windows\System32\NaturalLanguage6.dll

0x74f00000 0xf1000 6.00.6000.16425 C:\Windows\System32\CRYPT32.dll

0x75070000 0x12000 6.00.6000.16386 C:\Windows\System32\MSASN1.dll

0x74490000 0x1e7000 6.00.6000.16513 C:\Windows\system32\authui.dll

0x748e0000 0x5000 6.00.6000.16386 C:\Windows\system32\MSIMG32.dll

0x72c60000 0x9000 6.00.6000.16386 C:\Windows\system32\LINKINFO.dll

0x76540000 0x127000 7.00.6000.16609 C:\Windows\system32\urlmon.dll

0x76800000 0x45000 7.00.6000.16386 C:\Windows\system32\iertutil.dll

0x74910000 0x21000 6.00.6000.16386 C:\Windows\system32\NTMARTA.DLL

0x76210000 0x49000 6.00.6000.16386 C:\Windows\system32\WLDAP32.dll

0x76320000 0x2d000 6.00.6000.16386 C:\Windows\system32\WS2_32.dll

0x770b0000 0x6000 6.00.6000.16386 C:\Windows\system32\NSI.dll

0x71220000 0x5cd000 7.00.6000.16609 C:\Windows\system32\ieframe.dll

0x740b0000 0x33000 6.00.6000.16386 C:\Windows\system32\WINMM.dll

0x72040000 0x7000 4.00.6000.16386 C:\Windows\system32\msiltcfg.dll

0x74ca0000 0x8000 6.00.6000.16386 C:\Windows\system32\VERSION.dll

0x70970000 0x204000 4.00.6000.16386 C:\Windows\system32\msi.dll

0x73e60000 0x30000 6.00.6000.16386 C:\Windows\system32\wdmaud.drv

0x74050000 0x4000 6.00.6000.16386 C:\Windows\system32\ksuser.dll

0x74060000 0x7000 6.00.6000.16386 C:\Windows\system32\AVRT.dll

0x73f20000 0x27000 6.00.6000.16386 C:\Windows\system32\MMDevAPI.DLL

0x70920000 0x4a000 6.00.6000.16386 C:\Windows\system32\ntshrui.dll

0x72020000 0xa000 6.00.6000.16386 C:\Windows\system32\cscapi.dll

0x76670000 0x189000 6.00.6000.16609 C:\Windows\system32\SETUPAPI.dll

0x74740000 0x2d000 6.00.6000.16386 C:\Windows\system32\WINTRUST.dll

0x76260000 0x29000 6.00.6000.16470 C:\Windows\system32\imagehlp.dll

0x73aa0000 0x21000 6.00.6000.16386 C:\Windows\System32\audioses.dll

0x73970000 0x66000 6.00.6000.16386 C:\Windows\System32\audioeng.dll

0x71e00000 0x9000 6.00.6000.16386 C:\Windows\system32\ExplorerFrame.dll

0x76ad0000 0xcf000 7.00.6000.16609 C:\Windows\system32\WININET.dll

0x77010000 0x3000 6.00.6000.16386 C:\Windows\system32\Normaliz.dll

0x711f0000 0x30000 6.00.6000.16386 C:\Windows\system32\MLANG.dll

0x73d20000 0x9000 6.00.6000.16386 C:\Windows\system32\msacm32.drv

0x73a80000 0x15000 6.00.6000.16386 C:\Windows\system32\MSACM32.dll

0x73a70000 0x7000 6.00.6000.16386 C:\Windows\system32\midimap.dll

0x023b0000 0x17000 2.05.0003.0011 C:\Windows\system32\MsnChatHook.dll

0x02720000 0x22000 2.05.3024.0022 C:\Windows\system32\ShowErrMsg.dll

0x03d50000 0x4a000 2.05.3021.0108 C:\Windows\system32\sysenv.dll

0x71c40000 0x41000 6.00.6000.16386 C:\Windows\system32\WINSPOOL.DRV

0x77030000 0x74000 6.00.6000.16386 C:\Windows\system32\comdlg32.dll

0x023d0000 0x15000 2.05.3026.0014 C:\Windows\system32\BatchCrypto.dll

0x03ea0000 0x64000 2.02.0000.0034 C:\Windows\system32\CryptoAPI.dll

0x705f0000 0x9b000 8.00.50727.0762 C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.762_none_10b2f55f9bffb8f8\MSVCR80.dll

0x03f10000 0x3c000 2.02.0000.0018 C:\Windows\system32\keyManager.dll

0x742b0000 0x10f000 8.00.50727.0762 C:\Windows\WinSxS\x86_microsoft.vc80.mfc_1fc8b3b9a1e18e3b_8.0.50727.762_none_0c178a139ee2a7ed\MFC80U.DLL

0x70560000 0x87000 8.00.50727.0762 C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.762_none_10b2f55f9bffb8f8\MSVCP80.dll

0x70340000 0xdc000 6.00.6000.16386 C:\Windows\system32\dbghelp.dll

0x74800000 0xf000 8.00.50727.0762 C:\Windows\WinSxS\x86_microsoft.vc80.mfcloc_1fc8b3b9a1e18e3b_8.0.50727.762_none_43efccf17831d

131\MFC80FRA.DLL

0x702a0000 0x92000 6.00.6000.16386 C:\Windows\system32\stobject.dll

0x701e0000 0xb6000 6.00.6000.16386 C:\Windows\system32\BatMeter.dll

0x74730000 0x9000 6.00.6000.16553 C:\Windows\system32\WTSAPI32.dll

0x74990000 0x24000 6.00.6000.16386 C:\Windows\system32\WINSTA.dll

0x73cb0000 0x45000 2001.12.6930.16386 C:\Windows\system32\es.dll

0x710e0000 0x30000 6.00.6000.16386 C:\Windows\System32\SndVolSSO.dll

0x704f0000 0x21000 6.00.6000.16386 C:\Windows\ehome\ehSSO.dll

0x73960000 0x9000 6.00.6000.16386 C:\Windows\system32\HID.DLL

0x6ef30000 0x30b000 6.00.6000.16386 C:\Windows\System32\netshell.dll

0x74e60000 0x19000 6.00.6000.16386 C:\Windows\System32\IPHLPAPI.DLL

0x74e20000 0x35000 6.00.6000.16512 C:\Windows\System32\dhcpcsvc.DLL

0x75120000 0x2b000 6.00.6000.16386 C:\Windows\System32\DNSAPI.dll

0x74e10000 0x7000 6.00.6000.16386 C:\Windows\System32\WINNSI.DLL

0x74df0000 0x20000 6.00.6000.16512 C:\Windows\System32\dhcpcsvc6.DLL

0x73e50000 0xf000 6.00.6000.16386 C:\Windows\System32\nlaapi.dll

0x74820000 0x63000 6.00.6000.16501 C:\Windows\system32\FirewallAPI.dll

0x6fc30000 0x1bf000 6.00.6000.16386 C:\Windows\system32\pnidui.dll

0x717f0000 0x17000 6.00.6000.16386 C:\Windows\system32\QUtil.dll

0x74e80000 0x3e000 6.00.6000.16386 C:\Windows\system32\wevtapi.dll

0x72eb0000 0x6000 6.00.6000.16386 C:\Windows\system32\wlanutil.dll

0x6e800000 0x27000 6.00.6000.16386 C:\Windows\system32\FunDisc.dll

0x6df80000 0x9000 6.00.6000.16386 C:\Windows\system32\fdproxy.dll

0x6fdf0000 0x126000 8.90.1101.0000 C:\Windows\System32\msxml3.dll

0x6f630000 0x28c000 6.00.6000.16386 C:\Windows\System32\NLSData000c.dll

0x6b590000 0x5f4000 6.00.6000.16386 C:\Windows\System32\NLSLexicons000c.dll

0x6d450000 0x8000 6.00.6000.16386 C:\Windows\System32\npmproxy.dll

0x71970000 0xe000 6.00.6000.16551 C:\Windows\system32\Wlanapi.dll

0x72dd0000 0x2d000 6.00.6000.16386 C:\Windows\system32\OneX.DLL

0x73520000 0xd000 6.00.6000.16386 C:\Windows\system32\eappprxy.dll

0x72da0000 0x28000 6.00.6000.16386 C:\Windows\system32\eappcfg.dll

0x74d50000 0x44000 6.00.6000.16386 C:\Windows\system32\bcrypt.dll

0x6c760000 0xd000 6.00.6000.16386 C:\Windows\System32\AltTab.dll

0x6c0d0000 0x23000 6.00.6000.16386 C:\Windows\system32\wpdshserviceobj.dll

0x71a80000 0x5f000 6.00.6000.16386 C:\Windows\system32\WINHTTP.dll

0x6c090000 0x40000 6.00.6000.16386 C:\Windows\System32\srchadmin.dll

0x6bcb0000 0x3c000 7.00.6000.16386 C:\Windows\system32\webcheck.dll

0x6a5f0000 0x21c000 6.00.6000.16386 C:\Windows\System32\SyncCenter.dll

0x6c270000 0x39000 6.00.6000.16386 C:\Windows\system32\wscntfy.dll

0x6c770000 0xb000 6.00.6000.16386 C:\Windows\system32\WSCAPI.dll

0x6bbf0000 0x51000 6.00.6000.16386 C:\Windows\system32\imapi2.dll

0x6c260000 0xb000 6.00.6000.16386 C:\Windows\system32\mssprxy.dll

0x67080000 0x1c000 3.00.0006.0000 C:\Program Files\FileZilla FTP Client\fzshellext.dll

0x6bc50000 0x2b000 6.00.6000.16386 C:\Windows\system32\PortableDeviceTypes.dll

0x6e240000 0x46000 6.00.6000.16386 C:\Windows\system32\PortableDeviceApi.dll

0x75510000 0x5f000 6.00.6000.16386 C:\Windows\system32\SXS.DLL

0x6a930000 0xf9000 6.00.6000.16386 C:\Windows\system32\bthprops.cpl

0x75000000 0x14000 6.00.6000.16386 C:\Windows\system32\MPR.dll

0x6ad60000 0x2c000 6.00.6000.16386 C:\Windows\System32\QAgent.dll

0x71e20000 0x8a000 6.00.6000.16386 C:\Windows\System32\fwpuclnt.dll

0x73e90000 0x14000 6.00.6000.16386 C:\Windows\system32\Cabinet.dll

0x01f90000 0x2e000 C:\Program Files\WinRAR\rarext.dll

0x22000000 0x2e000 3.00.0630.0000 C:\Program Files\ESET\ESET NOD32 Antivirus\shellExt.dll

0x041c0000 0x4f000 2.05.3024.0020 C:\Windows\system32\eDSshellExt.dll

0x733a0000 0x2e000 6.00.6000.16386 C:\Windows\system32\syncui.dll

0x733e0000 0x15000 6.00.6000.16386 C:\Windows\system32\SYNCENG.dll

0x6ad00000 0x60000 6.00.6000.16386 C:\Program Files\Common Files\microsoft shared\ink\tiptsf.dll

0x01580000 0xe000 7.00.0000.1333 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

0x7c340000 0x56000 7.10.3052.0004 C:\Windows\system32\MSVCR71.dll

0x743c0000 0x22000 1.01.1002.0000 C:\Windows\system32\xmllite.dll

0x73360000 0x12000 6.00.6000.16386 C:\Windows\system32\thumbcache.dll

0x73130000 0x223000 6.00.6000.16386 C:\Windows\system32\NetworkExplorer.dll

 

ListDLLs v2.25 - DLL lister for Win9x/NT

Copyright © 1997-2004 Mark Russinovich

Sysinternals - www.sysinternals.com

 

------------------------------------------------------------------------------

winlogon.exe pid: 712

Command line: winlogon.exe

 

Base Size Version Path

0x00760000 0x4e000 6.00.6000.16386 C:\Windows\system32\winlogon.exe

0x76e80000 0x11e000 6.00.6000.16386 C:\Windows\system32\ntdll.dll

0x76c30000 0xd8000 6.00.6000.16386 C:\Windows\system32\kernel32.dll

0x76420000 0xbf000 6.00.6000.16386 C:\Windows\system32\ADVAPI32.dll

0x76350000 0xc3000 6.00.6000.16525 C:\Windows\system32\RPCRT4.dll

0x76de0000 0x9e000 6.00.6000.16438 C:\Windows\system32\USER32.dll

0x76fc0000 0x4b000 6.00.6000.16386 C:\Windows\system32\GDI32.dll

0x76a20000 0xaa000 7.00.6000.16386 C:\Windows\system32\msvcrt.dll

0x755d0000 0x14000 6.00.6000.16386 C:\Windows\system32\Secur32.dll

0x74990000 0x24000 6.00.6000.16386 C:\Windows\system32\WINSTA.dll

0x756a0000 0x7000 6.00.6000.16386 C:\Windows\system32\PSAPI.DLL

0x755f0000 0x1e000 6.00.6000.16386 C:\Windows\system32\USERENV.dll

0x76fa0000 0x1e000 6.00.6000.16386 C:\Windows\system32\IMM32.DLL

0x76d10000 0xc7000 6.00.6000.16386 C:\Windows\system32\MSCTF.dll

0x77020000 0x9000 6.00.6000.16386 C:\Windows\system32\LPK.DLL

0x76850000 0x7d000 1.626.6000.16386 C:\Windows\system32\USP10.dll

0x10000000 0x18000 2.06.0003.0005 C:\Windows\system32\eNetHook.dll

0x764e0000 0x55000 6.00.6000.16386 C:\Windows\system32\SHLWAPI.dll

0x751d0000 0x194000 6.10.6000.16386 C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll

0x75570000 0x2c000 6.00.6000.16386 C:\Windows\system32\apphelp.dll

0x74910000 0x21000 6.00.6000.16386 C:\Windows\system32\NTMARTA.DLL

0x76210000 0x49000 6.00.6000.16386 C:\Windows\system32\WLDAP32.dll

0x76320000 0x2d000 6.00.6000.16386 C:\Windows\system32\WS2_32.dll

0x770b0000 0x6000 6.00.6000.16386 C:\Windows\system32\NSI.dll

0x75090000 0x11000 6.00.6000.16386 C:\Windows\system32\SAMLIB.dll

0x768d0000 0x144000 6.00.6000.16386 C:\Windows\system32\ole32.dll

0x738f0000 0x3e000 6.00.6000.16386 C:\Windows\system32\SHSVCS.dll

0x74450000 0x3f000 6.00.6000.16386 C:\Windows\system32\uxtheme.dll

0x749c0000 0x38000 6.00.6000.16386 C:\Windows\system32\rsaenh.dll

0x73780000 0xb2000 6.00.6000.16493 C:\Windows\system32\WindowsCodecs.dll

0x750b0000 0x6a000 6.00.6000.16386 C:\Windows\system32\NETAPI32.dll

0x74ec0000 0x39000 6.00.6000.16509 C:\Windows\system32\slc.dll

0x75000000 0x14000 6.00.6000.16386 C:\Windows\system32\MPR.dll

 

 

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 4C00-12E6

 

Répertoire de C:\Windows\system32

 

02/11/2006 10:45 7 680 csrss.exe

1 fichier(s) 7 680 octets

0 Rép(s) 20 333 207 552 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C s'appelle ACER

Le numéro de série du volume est 4C00-12E6

 

Répertoire de C:\Windows\Downloaded Program Files

 

11/03/2008 21:46 <REP> .

11/03/2008 21:46 <REP> ..

18/09/2006 22:26 65 desktop.ini

20/02/2008 22:48 214 DivXPlugin.inf

25/07/2002 16:13 24 576 dwusplay.dll

25/07/2002 16:13 196 608 dwusplay.exe

11/08/2005 14:30 417 792 isusweb.dll

15/03/2002 15:18 348 160 kdu_v32r.dll

26/01/2008 17:04 116 040 LMIBroker.exe

12/09/2007 09:19 71 248 LMIProxyHelper.exe

17/01/2008 13:18 2 745 672 RACtrl.dll

14/01/2008 16:36 663 RACtrl.inf

12/09/2007 09:22 245 408 unicows.dll

08/10/2002 13:34 529 UplApp.inf

08/10/2002 13:37 204 800 yuplapp.dll

08/10/2002 13:36 253 952 ywcupl.dll

14 fichier(s) 4 625 727 octets

 

Total des fichiers listés :

14 fichier(s) 4 625 727 octets

2 Rép(s) 20 333 207 552 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\Acer\\Empowering Technology\\eDataSecurity\\eDSfsu.exe"="C:\\Acer\\Empowering Technology\\eDataSecurity\\eDSfsu.exe:*:Enabled:eDSfsu"

"C:\\Acer\\Empowering Technology\\eDataSecurity\\encryption.exe"="C:\\Acer\\Empowering Technology\\eDataSecurity\\encryption.exe:*:Enabled:encryption"

"C:\\Acer\\Empowering Technology\\eDataSecurity\\decryption.exe"="C:\\Acer\\Empowering Technology\\eDataSecurity\\decryption.exe:*:Enabled:decryption"

"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"="C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe:*:enabled:CSS"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

 

REGEDIT4

 

[iexplore.exe]

 

 

exports des policies

REGEDIT4

 

[system]

"ConsentPromptBehaviorAdmin"=dword:00000002

"ConsentPromptBehaviorUser"=dword:00000001

"EnableInstallerDetection"=dword:00000001

"EnableLUA"=dword:00000000

"EnableSecureUIAPaths"=dword:00000001

"EnableVirtualization"=dword:00000001

"PromptOnSecureDesktop"=dword:00000001

"ValidateAdminCodeSignatures"=dword:00000000

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"scforceoption"=dword:00000000

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

"FilterAdministratorToken"=dword:00000000

 

[system\UIPI]

 

[system\UIPI\Clipboard]

 

[system\UIPI\Clipboard\ExceptionFormats]

"CF_TEXT"=dword:00000001

"CF_BITMAP"=dword:00000002

"CF_OEMTEXT"=dword:00000007

"CF_DIB"=dword:00000008

"CF_PALETTE"=dword:00000009

"CF_UNICODETEXT"=dword:0000000d

"CF_DIBV5"=dword:00000011

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-28 07:24:54

Windows 6.0.6000 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Sorry, this version supports only Win2K/XP

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Sorry, this version supports only Win2K/XP

[pear]

Bonjour,

 

Les 2 rapports sont muets.

 

On va chercher en aveugle.

 

# Si vous utilisez Antivir (ce qui est recommandé), vous devez désactiver la protection en temps réel, Antivir détecte certains composant de navilog1 comme néfaste.

 

* Pour cela, faites un clic droit sur l'icône Antivir en bas à droite à côté de l'horloge puis Disable Guard.

Sous Vista:

Désactiver le contrôle des comptes utilisateurs ( le réactiver après la désinfection):

http://forum.malekal.com/viewtopic.php?f=59&t=6517

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

Télécharger maintenant Navilog1 depuis-ce lien :

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

. et enregistrez-le sur lebureau.

Ensuite double cliquer sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

 

 

Au menu principal, Faire le choix 1

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Poster le rapport

 

[tiamat69fr]

Bonjour,

 

Le rapport demandé :

 

Search Navipromo version 3.5.1 commencé le 28/03/2008 à 12:14:01,94

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Portable Maison"

 

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6000

Internet Explorer : 7.0.6000.16609

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\Windows ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

*** Recherche dossiers dans C:\ProgramData ***

 

 

*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

 

 

*** Recherche dossiers dans c:\users\portable maison\appdata\roaming\microsoft\windows\start menu\programs ***

 

 

*** Recherche dossiers dans C:\Users\Portable Maison\AppData\Local\virtualstore\Program Files ***

 

 

 

*** Recherche dossiers dans C:\Users\Portable Maison\AppData\Roaming ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier trouvé

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\Windows\system32 *

 

* Recherche dans C:\Users\Portable Maison\AppData\Local\Microsoft *

 

* Recherche dans C:\Users\Portable Maison\AppData\Local\virtualstore\windows\system32 *

 

* Recherche dans C:\Users\Portable Maison\AppData\Local *

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\Windows\system32 :

 

 

* Dans C:\Users\Portable Maison\AppData\Local\Microsoft :

 

 

* Dans C:\Users\Portable Maison\AppData\Local\virtualstore\windows\system32 :

 

 

* Dans C:\Users\Portable Maison\AppData\Local :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 28/03/2008 à 12:22:08,61 ***

 

EDIT :

le processus BR040286.exe, c'est quoi ?

Et conime.exe ?

Modifié le 28 mars 2008 par tiamat69fr

[pear]

le processus BR040286.exe, c'est quoi ?

Et conime.exe ?

 

http://www.hijackfree.net/fr/processdetails/?id=1158

BR040286.exe or BR040286 : Bison USB PC Camera Uninstallation