pc infecté

[pouyoune]

bonjour et bravo pour votre travail.

donc je suis infecté par tout ceci j'ai donc fait, en mode sans échec un nettoyage en enlevant le restauration système et défragmentant mon disque dur a la fin.

entre temps j'ai appliqué une procédure de rapport hijack+rapport navilog+rapport LopR

voila le 1er rapport hijack.

au moment ou je vous écrit une fenêtre de sécurité s'affiche (windowns security alert) il me demande enable blockage .je ne le fait pas je ferme la fenetre en attendant votre aide.

merci d'avance

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:06:08, on 11/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\All Users\Application Data\xchwjqrc\hezkxyjs.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\nulgtgbq.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\nulgtgbq.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [comsys] C:\WINDOWS\system32\nulgtgbq.exe

O4 - HKLM\..\Policies\Explorer\Run: [QlXWeLu65i] C:\Documents and Settings\All Users\Application Data\xchwjqrc\hezkxyjs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

 

--

End of file - 5422 bytes

 

 

 

 

 

 

 

 

 

 

apres un nettoyage voila le deuxieme rapport hijack

 

 

Trend Micro HijackThis v2.0.2

Scan saved at 19:07:07, on 11/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [comsys] C:\WINDOWS\system32\nulgtgbq.exe

O4 - HKLM\..\Policies\Explorer\Run: [QlXWeLu65i] C:\Documents and Settings\All Users\Application Data\xchwjqrc\hezkxyjs.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

 

--

End of file - 4565 bytes

 

 

 

 

 

 

 

 

 

 

 

ensuite rapport navilog

 

 

Search Navipromo version 3.6.5 commencé le 11/09/2008 à 19:13:10,62

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "patry's"

 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.5512

Système de fichiers : NTFS

 

Recherche executé en mode sans échec

 

*** Recherche Programmes installés ***

 

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

*** Recherche dossiers dans "C:\Documents and Settings\patry's\applic~1" ***

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

*** Recherche dossiers dans "C:\Documents and Settings\patry's\locals~1\applic~1" ***

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

*** Recherche dossiers dans "C:\Documents and Settings\patry's\menudm~1\progra~1" ***

 

*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\patry's\locals~1\applic~1" *

 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

*** Recherche fichiers ***

 

*** Recherche clés spécifiques dans le Registre ***

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

* Dans "C:\Documents and Settings\patry's\locals~1\applic~1" :

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

*** Analyse terminée le 11/09/2008 à 19:14:33,20 ***

 

 

 

 

 

 

 

 

 

ensuite rapport LOpR

 

--------------------\\ Lop S&D 4.2.4-2 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual Core Processor 4200+ )

BIOS : Default System BIOS

USER : patry's ( Administrator )

BOOT : Fail-safe with network boot

Antivirus : eTrust EZ Antivirus 7.0.7.7 (Activated)

 

"C:\Lop SD" ( MAJ : 08-09-2008|21:40 )

Option : [1] ( 11/09/2008|19:19 )

 

--------------------\\ Listing des dossiers dans APPLIC~1

 

[11/09/2008|16:51] C:\DOCUME~1\ADMINI~1\APPLIC~1\Adobe

[11/09/2008|16:51] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia

[11/09/2008|16:52] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[11/09/2008|17:04] C:\DOCUME~1\ADMINI~1\APPLIC~1\Mozilla

 

[11/09/2008|14:59] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer

[31/08/2008|20:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ATI

[31/08/2008|20:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CA

[09/09/2008|20:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CanonBJ

[02/09/2008|09:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google

[11/09/2008|16:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Grisoft

[09/09/2008|19:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft

[31/08/2008|21:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Office Genuine Advantage

[31/08/2008|21:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[11/09/2008|15:47] C:\DOCUME~1\ALLUSE~1\APPLIC~1\xchwjqrc

 

[31/08/2008|19:33] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

 

[31/08/2008|19:33] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

 

[31/08/2008|19:33] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

 

[11/09/2008|15:24] C:\DOCUME~1\patry's\APPLIC~1\AccurateRip

[01/09/2008|12:52] C:\DOCUME~1\patry's\APPLIC~1\Adobe

[31/08/2008|20:05] C:\DOCUME~1\patry's\APPLIC~1\ATI

[11/09/2008|15:24] C:\DOCUME~1\patry's\APPLIC~1\dBpoweramp

[11/09/2008|15:49] C:\DOCUME~1\patry's\APPLIC~1\FairStars Audio Converter

[02/09/2008|09:29] C:\DOCUME~1\patry's\APPLIC~1\Google

[11/09/2008|16:05] C:\DOCUME~1\patry's\APPLIC~1\Grisoft

[31/08/2008|19:43] C:\DOCUME~1\patry's\APPLIC~1\Identities

[01/09/2008|12:52] C:\DOCUME~1\patry's\APPLIC~1\Macromedia

[11/09/2008|15:43] C:\DOCUME~1\patry's\APPLIC~1\Microsoft

[05/09/2008|18:43] C:\DOCUME~1\patry's\APPLIC~1\Mozilla

[01/09/2008|13:00] C:\DOCUME~1\patry's\APPLIC~1\Opera

[06/09/2008|11:25] C:\DOCUME~1\patry's\APPLIC~1\teamspeak2

[11/09/2008|17:31] C:\DOCUME~1\patry's\APPLIC~1\uTorrent

[01/09/2008|13:23] C:\DOCUME~1\patry's\APPLIC~1\vlc

 

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

 

[11/09/2008 18:11][--ah-----] C:\WINDOWS\tasks\SA.DAT

[02/03/2006 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

 

--------------------\\ Listing des dossiers dans C:\Program Files

 

[09/09/2008|19:52] C:\Program Files\ArcSoft

[31/08/2008|20:03] C:\Program Files\ATI Technologies

[11/09/2008|15:34] C:\Program Files\AVN Products

[31/08/2008|20:10] C:\Program Files\CA

[09/09/2008|20:09] C:\Program Files\CanonBJ

[11/09/2008|16:46] C:\Program Files\CCleaner

[31/08/2008|19:31] C:\Program Files\ComPlus Applications

[11/09/2008|17:36] C:\Program Files\Fichiers communs

[09/09/2008|20:00] C:\Program Files\Google

[11/09/2008|16:05] C:\Program Files\Grisoft

[02/09/2008|15:33] C:\Program Files\GUILD WARS

[11/09/2008|15:22] C:\Program Files\Illustrate

[09/09/2008|19:52] C:\Program Files\InstallShield Installation Information

[11/09/2008|15:00] C:\Program Files\Internet Explorer

[11/09/2008|14:25] C:\Program Files\Java

[01/09/2008|12:52] C:\Program Files\Messenger

[11/09/2008|14:56] C:\Program Files\Micro Application

[31/08/2008|19:34] C:\Program Files\microsoft frontpage

[31/08/2008|22:02] C:\Program Files\Movie Maker

[11/09/2008|19:07] C:\Program Files\Mozilla Firefox

[31/08/2008|20:00] C:\Program Files\MSBuild

[31/08/2008|19:30] C:\Program Files\MSN

[31/08/2008|19:30] C:\Program Files\MSN Gaming Zone

[11/09/2008|19:15] C:\Program Files\Navilog1

[31/08/2008|21:59] C:\Program Files\NetMeeting

[31/08/2008|19:30] C:\Program Files\Online Services

[01/09/2008|13:00] C:\Program Files\Opera

[31/08/2008|21:59] C:\Program Files\Outlook Express

[01/09/2008|13:18] C:\Program Files\PhotoFiltre

[11/09/2008|15:00] C:\Program Files\QuickTime

[31/08/2008|20:07] C:\Program Files\Realtek

[31/08/2008|19:57] C:\Program Files\Reference Assemblies

[31/08/2008|19:32] C:\Program Files\Services en ligne

[11/09/2008|14:25] C:\Program Files\Sun

[01/09/2008|14:39] C:\Program Files\Teamspeak2_RC2

[11/09/2008|18:05] C:\Program Files\Trend Micro

[31/08/2008|19:43] C:\Program Files\Uninstall Information

[11/09/2008|14:36] C:\Program Files\uTorrent

[01/09/2008|13:14] C:\Program Files\VideoLAN

[11/09/2008|14:55] C:\Program Files\Windows Media Player

[31/08/2008|21:59] C:\Program Files\Windows NT

[31/08/2008|19:32] C:\Program Files\WindowsUpdate

[11/09/2008|17:01] C:\Program Files\WinRAR

[31/08/2008|19:34] C:\Program Files\xerox

 

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

 

[31/08/2008|20:01] C:\Program Files\Fichiers communs\InstallShield

[11/09/2008|14:25] C:\Program Files\Fichiers communs\Java

[31/08/2008|19:43] C:\Program Files\Fichiers communs\Microsoft Shared

[31/08/2008|19:31] C:\Program Files\Fichiers communs\MSSoap

[31/08/2008|21:06] C:\Program Files\Fichiers communs\ODBC

[31/08/2008|19:31] C:\Program Files\Fichiers communs\Services

[31/08/2008|21:06] C:\Program Files\Fichiers communs\SpeechEngines

[31/08/2008|21:59] C:\Program Files\Fichiers communs\System

 

--------------------\\ Process

( 13 Processes )

 

... OK !

--------------------\\ Recherche avec S_Lop

 

Aucun fichier / dossier Lop trouvé !

 

--------------------\\ Recherche de Fichiers / Dossiers Lop

 

Aucun fichier / dossier Lop trouvé !

 

--------------------\\ Verification du Registre

 

..... OK !

--------------------\\ Verification du fichier Hosts

 

Fichier Hosts PROPRE

 

--------------------\\ Recherche de fichiers avec Catchme

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-11 19:20:00

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden files: 0

--------------------\\ Recherche d'autres infections

 

Aucune autre infection trouvée !

 

[F:1][D:0]-> C:\DOCUME~1\patry's\LOCALS~1\Temp

[F:4][D:0]-> C:\DOCUME~1\patry's\Cookies

[F:56][D:4]-> C:\DOCUME~1\patry's\LOCALS~1\TEMPOR~1\content.IE5

 

1 - "C:\Lop SD\LopR_1.txt" - 11/09/2008|19:20 - Option : [1]

 

--------------------\\ Fin du rapport a 19:20:21

[Falkra]

Bonsoir, et bienvenue

 

Messages : 1

Si jamais tu as besoin de quelques infos :

Comment participer à un forum

Retrouver ses messages

 

Hum, soit tu nettoies seul, et tu n'as pas besoin de nous, soit tu as besoin de nous, et il faudra suivre nos méthodes, parce que là tu enchaînes au pif le maximum d'outils. Ca sert à quoi ça ?

 

Désinstalle Lop S&D et Navilog1 via ajout/suppression de programmes.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[pouyoune]

bonsoir Falkra

je voulais avant de poster donner un maximum d'information mais dsl je me suis trompé

je te remercie pour ton aide et j'ai viré ce que tu m'as demandé.

j'ai donc téléchargé le logiciel Malwarebytes' Anti-Malware (MBAM) et suivi les instruction .voila le résultat.

 

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1141

Windows 5.1.2600 Service Pack 3

 

11/09/2008 20:36:48

mbam-log-2008-09-11 (20-36-48).txt

 

Type de recherche: Examen rapide

Eléments examinés: 39915

Temps écoulé: 1 minute(s), 56 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\comsys (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windscmon (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\qlxwelu65i (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\nulgtgbq.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\WINDOWS\system32\bohodmde.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\xchwjqrc\hezkxyjs.exe (Trojan.FakeAlert.H) -> Delete on reboot.

[Falkra]

Pas grave, ça n'a pas fait de dégâts dans ton cas, mais cela peut en amener.

 

Redémarre et poste un nouveau rapport HijackThis stp, ça ira déjà un peu mieux, et on continue.

MBAM, tu pourras le garder, en plus. :P

[pouyoune]

re falkra

voila le rapport hijack apres avoir redémarré le pc

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:02:53, on 11/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

 

--

End of file - 5092 bytes

[Falkra]

Propre.

 

Par contre tu as installé le SP3 avant de passer à IE7, ça va être coton pour la mise à jour.

Vois si windows updates te le propose, et croise les doigts.

[pouyoune]

je te remercie énormément pour ton aide.

pour internet exploreur 7 ce n'est pas grave j'utilise mozilla ou opera.

ie c'est pour les scan en ligne au cas ou

 

une petite question stp .

mon antivirus etrust est t'il un bon antivirus ?

car j'ai attrapé le virus en installant un logiciel de convertion mp3 vers les fichier amr .

j"ai passer un coup de scan avec etrust sur l'exe il ne ma rien detecter.

y a t'il un logiciel ou un site qui scan les fichier exe avant de les ouvrir ?

 

mille fois merci pour ton aide et felicitation pour votre travail.

cordialement pouyoune

[Falkra]

Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici :

http://www.microsoft.com/windows/products/...ie/default.mspx

(bouton "get it now")

 

Le problème c'est le SP3 installé avant, en fait.

 

eTrust, bof, mais vu que c'est payant, le désinstaller... coûte de l'argent en quelque sorte.

Chaque antivirus analyse les fichiers téléchargés à la création du fichier. Si les équipes sont rapides et l'antivirus à jour, ça ne passe pas.

 

Ne télécharge tes programes que depuis leurs sites officiels.

 

N'hésite pas à poser ces questions, c'est tout à fait bienvenu, et encouragé !

[pouyoune]

j'ai installer IE 7 avec succes.

 

merci encore bon surf a toute l'equipe

 

ps:je ne sais pas comment clôturer le sujet suite a ma contamination.

 

@bientot

[Falkra]

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.

Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre en éditant le premier post : le titre devient modifiable.