explorer.exe, explorateur windows planter!

[Reukin]

Bonjour!

Alors depuis hier après midi, sans avoir fait quoi que ce soit d'inhabituel (sauf laisser mon petit cousin de 6 ans sur l'ordi, internet allumer, sans que je sois là durant quelques heures) j'ai un petit problème avec l'explorateur windows...

Alors le soir j'arrive tout fonctionne, je joue un jeu et là le jeu se plante, je redémarre le PC et puis le processus explorer.exe démarre, s'arrête, démarre, s'arrête, puis s'arrête... totalement.

J'ai essayé de relancer le processus de part le gestionnaire de tâche mais, le processus se lance puis s'arrête après quelques seconde (c'est grâce à ces quelques seconde que j'ai pu me connecter et lancer certaine recherche à ce sujet, mais en vain.) En effet, je précise que le processus s'arrête sans message d'erreur, et en mode sans échec le processus s'arrête aussi. Ce qui me pose un sérieux problème ; j'ai pu lancer une analyse avec mon antivir la nuit dernière, ce qui m'étonne c'est qu'il y a eu 1 seule détection, qui fut mis en quarantaine...

(cette démarche d'analyse n'a pas pu etre fait en mode sans échec, le temps que le processus explorer.exe reste en fonction n'est que d'une fraction seconde)...

Alors j'ai réussi tout juste a click sur le raccourci d'hijackthis..je vous envoie le rapport de mon antivir et d'hijackthis...

PS: On m'a déjà averti pour l'illégalité, et les problèmes que peut engendré les crack de jeu...et puis je ne pense pas que ce soit l'un d'eux puisque la dernière installation n'a pas encore provoqué de problème visible et si encombrant que celui-là...

PS.Bis : Hier j'ai téléchargé un petit jeu de tetris free mon petit cousin, bon j'ai désinstaller...enfin voilà un autre info qui pourrait être utile...

 

 

 

Avira AntiVir Personal

Report file date: mercredi 9 juillet 2008 22:53

 

Scanning for 1399497 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Normally booted

Username: SYSTEM

Computer name: HIGHTECH

 

Version information:

BUILD.DAT : 8.1.0.308 16478 Bytes 28/05/2008 17:03:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 25/04/2008 14:58:00

AVSCAN.DLL : 8.1.1.0 53505 Bytes 25/04/2008 14:58:00

LUKE.DLL : 8.1.2.9 151809 Bytes 25/04/2008 14:58:01

LUKERES.DLL : 8.1.2.1 12033 Bytes 25/04/2008 14:58:01

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:44:41

ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 14:56:06

ANTIVIR2.VDF : 7.0.5.51 273408 Bytes 04/07/2008 14:56:27

ANTIVIR3.VDF : 7.0.5.81 281600 Bytes 09/07/2008 14:49:44

Engineversion : 8.1.0.64

AEVDF.DLL : 8.1.0.5 102772 Bytes 25/04/2008 14:58:02

AESCRIPT.DLL : 8.1.0.46 283002 Bytes 04/07/2008 14:56:56

AESCN.DLL : 8.1.0.22 119157 Bytes 21/06/2008 14:48:45

AERDL.DLL : 8.1.0.20 418165 Bytes 25/04/2008 14:58:02

AEPACK.DLL : 8.1.1.6 364918 Bytes 21/06/2008 14:48:42

AEOFFICE.DLL : 8.1.0.20 192891 Bytes 21/06/2008 14:48:36

AEHEUR.DLL : 8.1.0.35 1298806 Bytes 04/07/2008 14:56:52

AEHELP.DLL : 8.1.0.15 115063 Bytes 30/05/2008 14:49:37

AEGEN.DLL : 8.1.0.29 307573 Bytes 21/06/2008 14:48:18

AEEMU.DLL : 8.1.0.6 430451 Bytes 08/05/2008 14:39:25

AECORE.DLL : 8.1.0.32 168311 Bytes 04/07/2008 14:56:33

AVWINLL.DLL : 1.0.0.7 14593 Bytes 25/04/2008 14:58:00

AVPREF.DLL : 8.0.0.1 25857 Bytes 25/04/2008 14:58:00

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 10:16:24

AVREG.DLL : 8.0.0.0 30977 Bytes 25/04/2008 14:58:00

AVARKT.DLL : 1.0.0.23 307457 Bytes 25/04/2008 14:57:59

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 25/04/2008 14:57:59

SQLITE3.DLL : 3.3.17.1 339968 Bytes 25/04/2008 14:58:01

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 25/04/2008 14:58:01

NETNT.DLL : 8.0.0.1 7937 Bytes 25/04/2008 14:58:01

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 25/04/2008 14:57:53

RCTEXT.DLL : 8.0.32.0 86273 Bytes 25/04/2008 14:57:53

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: mercredi 9 juillet 2008 22:53

 

The scan of running processes will be started

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'Azureus.exe' - '1' Module(s) have been scanned

Scan process 'DAP.exe' - '1' Module(s) have been scanned

Scan process 'wscntfy.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'iPodService.exe' - '1' Module(s) have been scanned

Scan process 'wceemiy.exe' - '1' Module(s) have been scanned

Scan process 'MemOptimizer.exe' - '1' Module(s) have been scanned

Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned

Scan process 'CursorXP.exe' - '1' Module(s) have been scanned

Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'snmp.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'realsched.exe' - '1' Module(s) have been scanned

Scan process 'svdhost.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

34 processes with 34 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '27' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <DivX>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Propriétaire\Mes documents\Azureus Downloads\TuneUp\TuneUp Utilities 2008 v7.0.8002\keygen.exe

[DETECTION] Is the Trojan horse TR/PSW.LdPinch.uij

[NOTE] The file was moved to '48ee840b.qua'!

C:\System Volume Information\_restore{376D3382-5BEE-4430-B02D-7271D565B820}\RP104\A0046135.exe

[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Agent.VB.P Backdoor server programs

[NOTE] The file was moved to '48a58fc1.qua'!

C:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

 

 

End of the scan: jeudi 10 juillet 2008 08:42

Used time: 9:48:46 min

 

The scan has been done completely.

 

11228 Scanning directories

484552 Files were scanned

2 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

2 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

484550 Files not concerned

4634 Archives were scanned

2 Warnings

2 Notes

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:35:48, on 10/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\svdhost.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

c:\program files\avira\antivir personaledition classic\avcenter.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\imapi.exe

C:\WINDOWS\system32\control.exe

C:\WINDOWS\system32\rundll32.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Sound] svdhost.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Propriétaire\lsass.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\RunServices: [Windows Sound] svdhost.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [wceemiy] c:\documents and settings\propriétaire\local settings\application data\wceemiy.exe wceemiy

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP Premium\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP Premium\dapextie.htm

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP Premium\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4229D580-7E9B-44D8-9B00-9894079C64A8}: NameServer = 217.175.160.168 217.175.160.12

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 6769 bytes

Modifié le 10 juillet 2008 par Reukin

[Falkra]

Bonjour, il y a plusieurs infections ici.

 

Désactive Antivir le temps des opérations.

 

• Clique sur ce lien de navilog1 de IL-MAFIOSO :
  http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  
• Enregistre le fichier sur ton bureau.
  
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  (ne fais pas le choix 2,3 ou 4 sans accord)
  
• Cela dure un moment, attends le message :

  *** Analyse Termine le ..... ***

• Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.
  

 

Note :

Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

[Reukin]

Voici le rapport demandé!

 

Search Navipromo version 3.6.0 commencé le 10/07/2008 à 15:49:50,23

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Propriétaire"

 

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

Système de fichiers : NTFS

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" ***

 

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier trouvé

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *

 

Fichiers suspects :

 

wceemiy.exe trouvé !

wceemiy.dat trouvé !

wceemiy_nav.dat trouvé !

wceemiy_navps.dat trouvé !

 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\system32\nvs2.inf trouvé !

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" :

 

joupmogne.dat trouvé !

joupmogne_nav.dat trouvé !

joupmogne_navps.dat trouvé !

wceemiy.dat trouvé !

wceemiy_nav.dat trouvé !

wceemiy_navps.dat trouvé !

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

C:\WINDOWS\system32\loppsBeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

C:\WINDOWS\system32\rtstv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

C:\WINDOWS\system32\vybeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !

 

 

*** Analyse terminée le 10/07/2008 à 15:57:54,42 ***

 

PS: je vois l'infection par Vundo, dois-je utilisé VundoFix?

Modifié le 10 juillet 2008 par Reukin

[Falkra]

PS: je vois l'infection par Vundo, dois-je utilisé VundoFix?

Non non, il y a des ordres à respecter, et on va faire autrement.

 

 

• Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
  
• Au menu principal, choisis 2 et valide.
  
• Le programme va t'informer qu'il va alors redémarrer ton PC.
  
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
  
• Appuie sur une touche comme demandé. (Si ton PC ne redémarre pas automatiquement, fais-le toi même).
  
• Au redémarrage de ton PC, choisis ta session habituelle. Attends le message :

  *** Nettoyage Termine le ..... ***

• Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver.
  
• Referme le Bloc-notes. Ton bureau va réapparaitre
  

 

PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer.exe et valide. Cela fera revenir ton bureau.

 

Note:

Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

 

----------------

 

Ensuite, et seulement après ça :

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (cela donne C:\SDfix).

 

:!: Imprime ou note ce qui suit, tu n'auras pas accès à internet.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur.
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde suffit).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Suis la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le nettoyage.
  
• SDFix va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
   
  Si SDfix ne se lance pas (ça arrive!)
   
  * Démarrer->Exécuter
  * Copie/colle ceci:

  %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

  * Clique sur ok, et valide.
  * Redémarre et essaye de nouveau de lancer SDfix.
  

[Reukin]

Désolé pour le retard!explorer.exe ne marche toujours pas(c'est comme la dernière fois)!voila les rapports demandé!(sauf SDFIX)

Clean Navipromo version 3.6.0 commencé le 12/07/2008 à 16:10:27,17

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Propriétaire"

 

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\WINDOWS\System32" *

 

 

* Suppression dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *

 

Autres Suppressions :

 

wceemiy.exe trouvé !

Copie wceemiy.exe réalisée avec succès !

wceemiy.exe supprimé !

 

wceemiy.dat trouvé !

Copie wceemiy.dat réalisée avec succès !

wceemiy.dat supprimé !

 

wceemiy_nav.dat trouvé !

Copie wceemiy_nav.dat réalisée avec succès !

wceemiy_nav.dat supprimé !

 

wceemiy_navps.dat trouvé !

Copie wceemiy_navps.dat réalisée avec succès !

wceemiy_navps.dat supprimé !

 

C:\WINDOWS\prefetch\wceemiy*.pf trouvé !

Copie C:\WINDOWS\prefetch\wceemiy*.pf réalisée avec succès !

C:\WINDOWS\prefetch\wceemiy*.pf supprimé !

 

 

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

 

*** Suppression dossiers dans "C:\WINDOWS" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Propriétaire\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Propri‚taire\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\WINDOWS\system32" *

 

 

* Dans "C:\Documents and Settings\Propriétaire\locals~1\applic~1" *

 

joupmogne.dat trouvé !

Copie joupmogne.dat réalisée avec succès !

joupmogne.dat supprimé !

 

joupmogne_nav.dat trouvé !

Copie joupmogne_nav.dat réalisée avec succès !

joupmogne_nav.dat supprimé !

 

joupmogne_navps.dat trouvé !

Copie joupmogne_navps.dat réalisée avec succès !

joupmogne_navps.dat supprimé !

 

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

*** Nettoyage terminé le 12/07/2008 à 16:15:47,53 ***

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:35:48, on 10/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\svdhost.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

c:\program files\avira\antivir personaledition classic\avcenter.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\imapi.exe

C:\WINDOWS\system32\control.exe

C:\WINDOWS\system32\rundll32.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Sound] svdhost.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Propriétaire\lsass.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\RunServices: [Windows Sound] svdhost.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" autostart

O4 - HKCU\..\Run: [wceemiy] c:\documents and settings\propriétaire\local settings\application data\wceemiy.exe wceemiy

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP Premium\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP Premium\dapextie.htm

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP Premium\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4229D580-7E9B-44D8-9B00-9894079C64A8}: NameServer = 217.175.160.168 217.175.160.12

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 6769 bytes

[Falkra]

Le rapport HijackThis n'est pas fait après le scan de FixNavilog.

 

Reposte un nouveau rapport HijackThuis, tout frais stp.

 

Pourquoi SDFix ne tourne pas, est-ce qu'il y a un message d'erreur ? Comment est-ce que ça se manifeste ?

[Reukin]

A oui mince désolé!! j'ai pas fait attention à la date!!!

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:38:21, on 14/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\FreeCommander\FreeCommander.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Sound] svdhost.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Propriétaire\lsass.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\RunServices: [Windows Sound] svdhost.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe -s

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2008\MemOptimizer.exe" autostart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP Premium\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP Premium\dapextie.htm

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP Premium\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4229D580-7E9B-44D8-9B00-9894079C64A8}: NameServer = 217.175.160.168 217.175.160.12

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

--

End of file - 6195 bytes

Modifié le 14 juillet 2008 par Reukin

[Falkra]

Si ça a marché, poste le rapport de SDfix stp.

Il se trouve dans C:\SDFix\Report.txt

[Reukin]

Alors, j'utilise en ce moment freecommander pour une alternative à l'explorateur windows...qui est dans le même état qu'avant (même en relançant le processus via le gestionnaire de tache), voilà le rapport demandé:

 

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-14 18:47:39

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000000

"ujdew"=hex:11,af,f8,1f,ad,4b,10,62,a9,53,3f,ba,7f,c5,da,7a,87,fb,1b,fc,a4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000000

"ujdew"=hex:11,af,f8,1f,ad,4b,10,62,a9,53,3f,ba,7f,c5,da,7a,87,fb,1b,fc,a4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000000

"ujdew"=hex:11,af,f8,1f,ad,4b,10,62,a9,53,3f,ba,7f,c5,da,7a,87,fb,1b,fc,a4,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\GameExplorer\{DFEF49D9-FC95-4301-99B9-2FB91C6ABA06}\PlayTasks\1\Les Sims™ 2 : [email protected] 1091 bytes hidden from API

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 1

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"

"C:\\Program Files\\ATOMIX~1.4_C\\virtualdj.exe"="C:\\Program Files\\ATOMIX~1.4_C\\virtualdj.exe:*:Enabled:VirtualDJ"

"C:\\Program Files\\DAZ\\Bryce 5.5\\Bryce55.exe"="C:\\Program Files\\DAZ\\Bryce 5.5\\Bryce55.exe:*:Enabled:Bryce5.5"

"C:\\DOCUME~1\\PROPRI~1\\LOCALS~1\\Temp\\spoolsv.exe"="C:\\DOCUME~1\\PROPRI~1\\LOCALS~1\\Temp\\spoolsv.exe:*:Enabled:Microsoft Office"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\DOCUME~1\\PROPRI~1\\LOCALS~1\\Temp\\jdwsgvmr.exe"="C:\\DOCUME~1\\PROPRI~1\\LOCALS~1\\T"

"C:\\WINDOWS\\system32\\ihaxjrah.exe"="C:\\WINDOWS\\system32\\iha"

"C:\\WINDOWS\\system32\\rbtdfspb.exe"="C:\\WINDOWS\\system32\\rbt"

"C:\\WINDOWS\\system32\\cebdgxsv.exe"="C:\\WINDOWS\\system32\\ceb"

"C:\\WINDOWS\\system32\\mdsksghr.exe"="C:\\WINDOWS\\system32\\mds"

"C:\\WINDOWS\\system32\\efutunxn.exe"="C:\\WINDOWS\\system32\\efu"

"C:\\WINDOWS\\system32\\cdmoctlc.exe"="C:\\WINDOWS\\system32\\cdm"

"C:\\Documents and Settings\\Propri‚taire\\Bureau\\Yvan\\l illusion\\Illusion.exe"="C:\\Documents and Settings\\Propri‚taire\\Bureau\\Yvan\\l illusion\\Illusion.exe:*:Enabled:mIRC"

"C:\\WINDOWS\\system32\\kdxsbdxg.exe"="C:\\WINDOWS\\system32\\kdx"

"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

"C:\\WINDOWS\\system32\\cgawrxdi.exe"="C:\\WINDOWS\\system32\\cga"

"C:\\WINDOWS\\system32\\ewshihmx.exe"="C:\\WINDOWS\\system32\\ews"

"C:\\WINDOWS\\system32\\xfdctkli.exe"="C:\\WINDOWS\\system32\\xfd"

"C:\\WINDOWS\\system32\\yccoqjmm.exe"="C:\\WINDOWS\\system32\\ycc"

"C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"="C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe:*:Enabled:artpschd"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"="C:\\Program Files\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat:*:Enabled:Command & Conquer 3 Les guerres du TiberiumT"

"C:\\Program Files\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.9\\cnc3game.dat"="C:\\Program Files\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.9\\cnc3game.dat:*:Enabled:Command & Conquer 3 Les guerres du TiberiumT"

"C:\\Program Files\\DAP Premium\\DAP.exe"="C:\\Program Files\\DAP Premium\\DAP.exe:*:Enabled:Download Accelerator Plus (DAP)"

"C:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe"="C:\\Program Files\\Fichiers communs\\Nero\\Nero Web\\SetupX.exe:*:Enabled:Nero ControlCenter"

"C:\\Program Files\\Warcraft III.2\\Warcraft III.exe"="C:\\Program Files\\Warcraft III.2\\Warcraft III.exe:*:Enabled:Warcraft III"

"C:\\Program Files\\Universe At War Earth Assault\\UAWEA.exe"="C:\\Program Files\\Universe At War Earth Assault\\UAWEA.exe:*:Enabled:Universe at War: Earth Assault Application"

"C:\\Sierra\\Empire Earth\\Empire Earth.exe"="C:\\Sierra\\Empire Earth\\Empire Earth.exe:*:Enabled:Empire Earth"

"C:\\Program Files\\EA GAMES\\American McGee's Alice\\Alice.exe"="C:\\Program Files\\EA GAMES\\American McGee's Alice\\Alice.exe:*:Enabled:American McGee's Alice"

"C:\\Program Files\\Sunflowers\\ParaWorld\\bin\\PWServer.exe"="C:\\Program Files\\Sunflowers\\ParaWorld\\bin\\PWServer.exe:*:Enabled:ParaWorld Server"

"C:\\Program Files\\Fox\\Aliens vs. Predator 2\\lithtech.exe"="C:\\Program Files\\Fox\\Aliens vs. Predator 2\\lithtech.exe:*:Enabled:Client"

"C:\\Program Files\\Iron Man\\IronMan.exe"="C:\\Program Files\\Iron Man\\IronMan.exe:*:Enabled:A2M Game Engine"

"C:\\Program Files\\Counter-Strike\\hl2.exe"="C:\\Program Files\\Counter-Strike\\hl2.exe:*:Enabled:hl2"

"C:\\Program Files\\Microsoft Games\\Zoo Tycoon 2\\zt.exe"="C:\\Program Files\\Microsoft Games\\Zoo Tycoon 2\\zt.exe:*:Enabled:Zoo Tycoon 2 Executable"

"C:\\Documents and Settings\\Propri‚taire\\Mes documents\\Azureus Downloads\\PC_MechWarrior4_Mercenaries.-.direct.play.request.-ToeD\\MW4M\\MW4Mercs.exe"="C:\\Documents and Settings\\Propri‚taire\\Mes documents\\Azureus Downloads\\PC_MechWarrior4_Mercenaries.-.direct.play.request.-ToeD\\MW4M\\MW4Mercs.exe:*:Enabled:MechWarrior IV"

"C:\\Program Files\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"="C:\\Program Files\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe:*:Enabled:Jedi Academy MultiPlayer"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"

Thu 19 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"

Wed 13 Jun 2007 946,176 ..SHR --- "C:\WINDOWS\system32\svdhost.exe"

Mon 12 Nov 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Wed 26 Sep 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BIT7A.tmp"

Tue 11 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\126216e1ea5a965d65b4b02390ca8357\BIT1.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BIT7D.tmp"

Thu 6 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1e10da77e5e1c72d2afe101dc568fb06\BIT4.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\22fb973e059470cc1b5d76c4ae605351\BIT81.tmp"

Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT3.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BIT79.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2769b111678c52099a3b3123b12f2325\BIT7E.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\30285791903730fbf957a83562db4ff4\BIT7B.tmp"

Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\388e66e644283db0233c4a98f2fd08a0\BIT3.tmp"

Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\39966a42f96cc9ad6ccb51af2492b18b\BIT5.tmp"

Mon 7 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4844df1d57a292079101da42a26d7d72\BIT3.tmp"

Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\563853df011d8b0ddaf0b39deb74f6b7\BIT4.tmp"

Tue 11 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\773244b80a35d887f4682727f34cdcce\BIT2.tmp"

Fri 18 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\78670cbd6a90baaa408a8a72f52fdce2\BIT2.tmp"

Tue 11 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\98e4ab2cb14986b0be91146bef7a2943\BIT4.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9e870549834e2bceb796e44a1e3ac6f5\BIT80.tmp"

Mon 7 Apr 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bc066f3f60df1b38218903dd0d40ce98\BIT4.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb8921d0c7830b2f33c00fa4c8a10d17\BIT7C.tmp"

Tue 11 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d197838ea2d2bcacd578dd8187e9778a\BIT7.tmp"

Thu 13 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BIT7F.tmp"

Wed 12 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e2ee6701f2679c24dd339050a068b193\BIT45.tmp"

Tue 11 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ef6fc5596a288b3d8c382c11203f44d4\BIT6.tmp"

Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fa7f963668fe10ab54e5d66e86408298\BIT3.tmp"

Fri 4 Jul 2008 1,332 ...HR --- "C:\Documents and Settings\Propri‚taire\Application Data\SecuROM\UserData\securom_v7_01.bak"

Tue 18 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1c2306aaf515d79b143e70a059dcb005\download\BIT17.tmp"

 

Finished!

 

PS : le SDFIX a bloqué après quelques minutes de recherche mon pc en mode sans échec, j'ai refait une autre fois, et ça a fait meme chose, j'ai redémarrer normalement, et il a continuer le truc, et voilà le rapport donné....

[Falkra]

Ok, on prend la méthode forte alors.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  
• Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepinhttp://www.invisionboard...iliser-combofix