[Résolu] Mon ordinateur est infecté

[oGu]

Juste une question pour le moment : comment je désactive Antivir vu que je peux plus le lancer...J'ai toujours la petite icone en bas à droite avec le parapluie fermé et c'est écrit Guard : stopped.

 

Il doit déjà être désactivé du coup.

 

Pour t'en assurer, fais alt-ctl-supp (ou del selon ton clavier): le gestionnaire des tâches apparaît: dans l'onglet Processus, clique-droit puis sélectionne "fermer le processsus" pour tous les processsus suivants:

avguard.exe

avgnt.exe

sched.exe

 

 

Finalement, 2e question : c'est quoi le gros truc pourri dans mon PC et d'où ça vient ???

 

Infection multiple: Combo (rootkit), SD, EGDAccess (adware + rootkit), ver/backdoor MSN

 

Les causes?

OS pas à jour, clic sur des liens dans MSN pour aller voir une photo, installation de boonty games, visites de sites de cracks ou X, installation de faux logiciels, utilisation de cracks et keygens, peer-to-peer. En tout cas, ce n'est ni la malchance ni la fatalité.

 

EDIT questions : il n'y a que SDFix que je lance en mode sans echec ?

 

oui, dans l'immédiat!

Modifié le 11 avril 2008 par oGu

[dydeline]

Alors, est-ce que c'est normal que lorsque je mets le fichier de récupération dans ComboFix, ce dernier se lance direct et lorsqu'il commence la recherche des infections, une fenêtre s'ouvre et se ferme très vite me demandant de dire Yes au prochain truc qui s'ouvre et ensuite une autre fenêtre s'ouvre et reste sur l'écran me disant qu'une ressource nécessaire est introuvable, avec un bouton OK. Que dois-je faire ? Si je clique ça ferme le programme...

 

Concernant les causes de l'infection, ça en fait beaucoup effectivement. Heureusement que je cumule pas tout. Quand tu dis cliquer sur MSN pour aller voir une foto, c'est dans les fichiers partagés par exemple ? donc les contacts peuvent être infectés ?

 

Impossible de terminer le processus sched.exe : Accès refusé

Modifié le 11 avril 2008 par dydeline

[dydeline]

Est-ce qu'un formatage de la machine serait utile ?

[oGu]

Alors, est-ce que c'est normal que lorsque je mets le fichier de récupération dans ComboFix, ce dernier se lance direct et lorsqu'il commence la recherche des infections, une fenêtre s'ouvre et se ferme très vite me demandant de dire Yes au prochain truc qui s'ouvre et ensuite une autre fenêtre s'ouvre et reste sur l'écran me disant qu'une ressource nécessaire est introuvable, avec un bouton OK. Que dois-je faire ? Si je clique ça ferme le programme...

 

Ok...essaie de passer l'étape de la console de récupération et passe directement au scan.

 

Quand tu dis cliquer sur MSN pour aller voir une foto, c'est dans les fichiers partagés par exemple ? donc les contacts peuvent être infectés ?

 

Oui, tu as reçu un mail d'un de tes contacts infecté: ce mail t'a demander un truc du genre "va voir ta photo sur ce site:": tu y es allé, tu as cliqué sur le lien piégé qui a installé, à son tour, un ver sur ton PC: maintenant tu envoies à ton tour des mails de ce genre à tes contacts, donc n'ouvre pas MSN !!

 

Par ailleurs ce virus ouvre une "porte dérobée" sur ton PC pour qu'un pirate puisse en prendre le contrôle. Et vu que tu n'as pas de pare-feu, j'imagine les dégâts!

 

 

Pour ta question sur le formatage: cela peut-être une option, mais je te propose de voir ce qu'on peut faire avant: si c'est vraiment trop compliqué, on pourra passer au formatage, qui n'est jamais une mince affaire. Persistons un peu !!

 

Courage, à+ !

Modifié le 12 avril 2008 par oGu

[dydeline]

Bonjour,

quand tu dis de lancer le scan c'est toujours avec ComboFix , c'est bien ça ?

Je m'y colle et je poste le rapport en espérant que ça marche, sinon, j'enchaine avec SdfIx et NAvilog?

 

Est-ce que je peux ouvrir mon compte MSN depuis un autre Pc ou pas ?

 

Désolée d'être aussi pénible (pour rester polie ) avec toutes mes questions mais j'ai peur de faire des bêtises.

Modifié le 12 avril 2008 par dydeline

[oGu]

quand tu dis de lancer le scan c'est toujours avec ComboFix , c'est bien ça ?

 

C'est ça!

 

Est-ce que je peux ouvrir mon compte MSN depuis un autre Pc ou pas ?

 

oui, sans problème...à condition que la machine ne soit pas infectée elle aussi !

 

Désolée d'être aussi pénible (pour rester polie ) avec toutes mes questions mais j'ai peur de faire des bêtises.

 

Pas de problème, je préfère que tu demandes plutôt que tu ne fasses des manips à l'aveuglette!

[dydeline]

Voici le rapport de Combo Fix

 

ComboFix 08-04-11.3 - Les Babies 2008-04-12 12:51:53.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.50 [GMT 2:00]

Endroit: C:\Documents and Settings\Les Babies\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Documents\Adobe PDF\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Adobe PDF\Extras\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Adobe PDF\Settings\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Ma musique\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Ma musique\?chantillons de musique\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Ma musique\My Playlists\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Ma musique\Sample Playlists\000A0947\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Ma musique\Sample Playlists\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Mes images\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Mes images\?chantillons d'images\Desktop_.ini

C:\Documents and Settings\All Users\Documents\Mes vid‚os\Desktop_.ini

C:\Documents and Settings\All Users\Documents\pamela\Desktop_.ini

C:\Documents and Settings\Les Babies\Local Settings\Application Data\mxbsozwi.dat

C:\Documents and Settings\Les Babies\Local Settings\Application Data\mxbsozwi.exe

C:\Documents and Settings\Les Babies\Local Settings\Application Data\mxbsozwi_nav.dat

C:\Documents and Settings\Les Babies\Local Settings\Application Data\mxbsozwi_navps.dat

C:\WINDOWS\mrofinu1001186.exe

C:\WINDOWS\mrofinu1001186.exe.tmp

C:\WINDOWS\system32\nvs2.inf

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-12 to 2008-04-12 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-11 20:31 . 2008-04-11 20:31 <REP> d-------- C:\Program Files\Trend Micro

2008-04-11 19:26 . 2008-04-11 19:26 115,200 -r-hsc--- C:\WINDOWS\system32\dllcache\sxch0st.exe

2008-04-11 11:51 . 2008-04-11 20:25 <REP> d-------- C:\Hijackthis

2008-04-11 11:46 . 2008-04-11 11:46 40,192 ---hs---- C:\WINDOWS\system32\mdm.exe

2008-04-11 11:29 . 2008-04-11 11:29 <REP> d-------- C:\Program Files\Avira

2008-04-11 11:29 . 2008-04-11 11:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-04-10 15:43 . 2004-07-02 00:08 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll

2008-04-10 15:43 . 2004-07-02 00:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll

2008-04-10 15:43 . 2004-07-02 00:08 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll

2008-04-10 15:43 . 2004-07-02 00:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2008-04-10 15:43 . 2004-07-02 00:08 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll

2008-04-10 13:55 . 2008-04-10 14:00 147,456 --a------ C:\WINDOWS\system32\hqghumea.dll

2008-03-13 19:52 . 2008-03-13 19:52 <REP> d-------- C:\Program Files\iKlax Media

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-11 14:59 --------- d-----w C:\Program Files\HOTPC

2008-04-10 06:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-10 06:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-03-31 15:44 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-03-10 08:48 --------- d-----w C:\Program Files\NBPROF

2008-03-05 14:10 67 ----a-w C:\popit.dat

2008-03-03 11:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-03-03 11:24 --------- d-----w C:\Program Files\Windows Live

2008-03-03 11:24 --------- d-----w C:\Program Files\MSN Messenger

.

 

------- Sigcheck -------

 

2003-05-29 11:49 1010176 40406985a32b55ecf89d91c320105b58 C:\WINDOWS\explorer.exe

2002-08-30 14:00 1017856 7d51fc25301dd78ab5dcb5fed701985c C:\WINDOWS\$NtUninstallKB820291$\explorer.exe

2003-05-29 11:49 1010176 1ae4750d8d6467d4e64262c1c195d90e C:\WINDOWS\Driver Cache\i386\explorer.exe

2003-05-29 11:49 1010176 f6bdafdfbb2a33d967cc86b0b49de880 C:\WINDOWS\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 14:00 13312]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]

"vdcmki"="c:\documents and settings\les babies\local settings\application data\vdcmki.exe" [ ]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-04-11 11:46 40192]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCTVOICE"="pctspk.exe" [2002-03-10 15:29 163840 C:\WINDOWS\system32\pctspk.exe]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-06-14 23:32 126976]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-06-14 23:32 557056]

"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 167936]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-11 11:37 262184]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-04-11 11:46 40192]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 14:00 13312]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-04-11 11:46 40192]

 

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]

R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]

R2 Micr0s0ft Agent;Micr0s0ft Agent;"C:\WINDOWS\System32\dllcache\sxch0st.exe" [2008-04-11 19:26]

S2 Microsoft Windows TCP Protocol;Microsoft Windows TCP Protocol;"C:\WINDOWS\System32\dllcache\wintcps.exe" []

S2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe []

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-10-16 11:13]

S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\System32\DRIVERS\fbxusb.sys [2003-12-31 12:35]

S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;C:\WINDOWS\System32\svchost.exe [2002-08-30 14:00]

S3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;C:\WINDOWS\System32\DRIVERS\MRVW225.sys [2007-05-11 16:36]

S3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\rt2571.sys [2004-05-07 14:47]

 

.

**************************************************************************

 

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-12 12:56:57

Windows 5.1.2600 Service Pack 1 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe

C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-04-12 12:59:20 - machine was rebooted

ComboFix-quarantined-files.txt 2008-04-12 10:59:13

Pre-Run: 9,374,576,640 octets libres

Post-Run: 9,328,496,640 octets libres

.

2008-04-10 13:46:35 --- E O F ---

 

 

 

Celui de SDFix

 

 

SDFix: Version 1.169

Run by Les Babies on 12/04/2008 at 13:14

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\LESBAB~1\Bureau\SDFix\SDFix

 

Checking Services :

 

Name:

Micr0s0ft Agent

 

Path:

"C:\WINDOWS\System32\dllcache\sxch0st.exe"

 

Micr0s0ft Agent - Deleted

 

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Default HKCU HomePage

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\WINDOWS\system32\dllcache\sxch0st.exe - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-12 13:22:31

Windows 5.1.2600 Service Pack 1 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

"TracesProcessed"=dword:00000082

"TracesSuccessful"=dword:00000002

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 65

 

 

Remaining Services :

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Fri 11 Apr 2008 40,192 ..SH. --- "C:\WINDOWS\system32\mdm.exe"

Fri 12 Dec 2003 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Fri 12 Dec 2003 401 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv12.bak"

Mon 9 Apr 2007 77,312 ...H. --- "C:\Documents and Settings\Les Babies\Mes documents\~WRL2447.tmp"

Thu 10 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d3e2cd1aa350dfdef90c91dfc8e90f2d\BIT7.tmp"

Tue 26 Feb 2008 19,456 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL0003.tmp"

Mon 9 Apr 2007 72,192 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL0004.tmp"

Thu 28 Feb 2008 19,456 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL0005.tmp"

Thu 28 Feb 2008 19,968 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL0493.tmp"

Mon 9 Apr 2007 74,752 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL1034.tmp"

Mon 9 Apr 2007 28,160 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL1074.tmp"

Mon 9 Apr 2007 29,184 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL2198.tmp"

Mon 9 Apr 2007 26,624 ...H. --- "C:\Documents and Settings\Les Babies\Application Data\Microsoft\Word\~WRL3607.tmp"

Fri 12 Dec 2003 4,348 ...H. --- "C:\Documents and Settings\Les Babies\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

Thu 29 Nov 2007 401 A..H. --- "C:\Documents and Settings\Les Babies\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Thu 29 Nov 2007 400 ...H. --- "C:\Documents and Settings\Les Babies\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

Thu 29 Nov 2007 13,312 A..H. --- "C:\Documents and Settings\Les Babies\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"

 

Finished!

 

 

Celui-là, je sais pas d'où il vient, c'est catchme ...

 

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-12 13:22:31

Windows 5.1.2600 Service Pack 1 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]

"TracesProcessed"=dword:00000082

"TracesSuccessful"=dword:00000002

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 65

 

Et j'envoie Navilog dès qu'il est fini

[dydeline]

J'ai un problème avec Navilog (qui a dit que j'avais pas de chance ... ) : il a bien démarré, j'ai ma fenêtre noire qui est ouverte j'ai tapé option 1 et ça a lancé la recherche mais ça bloque au moment de la recherche avec GenericNAviSearch : j'ai une petite fenetre qui s'est ouverte dans laquelle est écrit : C:\WINDOWS\system32\gnc.exe n'est pas une application Win32 valide. Bouton OK

 

Que dois-je faire ?

[oGu]

J'ai un problème avec Navilog (qui a dit que j'avais pas de chance ... )

 

Que dois-je faire ?

 

Ce n'est pas vraiment la malchance, c'est du au fait que ta machine est abîmée et n'est pas à jour, probablement !

 

 

3 solutions:

 

1. recommence l'opération et sois patiente, cela peut-être long
   
2. si nouvel échec, regarde si tu n'as pas tout de même un rapport ici:
    
   C:\fixnavi.txt
    
    
   
3. si pas de rapport, recommence Navilog1 MAIs en choisissant l'option 2, puis copie dans ta réponse le rapport Cleanavi qui se trouvera alors ici:
    
    
   C:\cleannavi.txt
   

 

 

N'oublie pas, dans tous les cas, de poster un log HijackThis.

Modifié le 12 avril 2008 par oGu

[dydeline]

ça s'est terminé quand j'ai cliqué sur Ok

 

Voilà le rapport de navilog, celui d'HJT suit

 

 

Search Navipromo version 3.5.3 commencé le 12/04/2008 à 14:42:56,03

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Les Babies"

 

Mise à jour le 09.04.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2800.1106

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Les Babies\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Les Babies\locals~1\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Les Babies\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier trouvé

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans "C:\Documents and Settings\Les Babies\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings\Les Babies\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group trouvé !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 12/04/2008 à 15:32:34,51 ***

 

 

Et voilà celui d'HijackThis, fait avant NaviLog

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:42:51, on 12/04/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe

C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [vdcmki] c:\documents and settings\les babies\local settings\application data\vdcmki.exe vdcmki

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ImageMixer for HDD Camcorder.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Moniteur WiFi OLITEC.exe.lnk = ?

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1207829131775

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe (file missing)

 

--

End of file - 5162 bytes

 

 

J'espère que ça ira.

Encore merci