pc infecté

[mimo33]

salut atoute l'équipe et tous les membre du forum, mon pc sous windows xp sp 3 , affiche le message suivant dés le départ ( message d'avast qui ...protege mon ordinateur):l'oridinateur est infecté :

c \windows\systeme32\msjvms.32-exe

win32:trojan-gen(other)

version:080919-0.19.09.2008( cette date change continuellement et je ne sais si c'est la date de l'anti virus avast ou autre chose ; action recommandée (mettre en quarantaine )

.merci de m'aider et bonne continuation

[angelique]

salut! dans cette section du forum , il faut au moins poster un rapport HijackThis!

 

creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

 

lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" .

 

Puis clique sur "Do a system scan and save a logfile"

 

fais un copier-coller du rapport

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ferme HijackThis

[mimo33]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:33:26, on 23-09-2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\domino.exe

C:\WINDOWS\VMSnap1.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Mes documents\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.ca/index.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/intl/fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F3 - REG:win.ini: load=c:\windows\system32\winauths.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [RCScheduleCheck] D:\Windows-Système-Disk\Recovery Commander 2\install\RCSCHED.EXE -CHECK

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iWinAuthService] c:\windows\system32\winauths.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [domino] C:\WINDOWS\domino.exe

O4 - HKLM\..\Run: [VMSnap1] C:\WINDOWS\VMSnap1.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [acvobdprdd] c:\documents and settings\cour des comptes\local settings\application data\acvobdprdd.exe acvobdprdd

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{12FC15A5-9F93-4F09-881E-461FC7460D83}: NameServer = 41.221.20.4 193.251.169.165

O17 - HKLM\System\CS1\Services\Tcpip\..\{12FC15A5-9F93-4F09-881E-461FC7460D83}: NameServer = 41.221.20.4 193.251.169.165

O17 - HKLM\System\CS3\Services\Tcpip\..\{12FC15A5-9F93-4F09-881E-461FC7460D83}: NameServer = 41.221.20.4 193.251.169.165

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

 

--

End of file - 6341 bytes

voici le resultat du scan -mimo33

[angelique]

suite à ton MP , et vu que personne ne t'a pris en charge , fais ceci dans l'ordre.

 

1• relance HijackThis "do a system scan only" , coche uniquement et clic fixchecked ces lignes ci dessous:

 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F3 - REG:win.ini: load=c:\windows\system32\winauths.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [iWinAuthService] c:\windows\system32\winauths.exe

O4 - HKCU\..\Run: [acvobdprdd] c:\documents and settings\cour des comptes\local settings\application data\acvobdprdd.exe acvobdprdd

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

 

 

==> clic Fixchecked.

 

2• http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Télécharge Navilog1.exe (Il Mafioso)

Installe le,un raccourci est crée sur le bureau il va se lancer tout seul, choisis l'option 1 , un rapport s'affiche , ferme le.

» relance navilog1 avec son raccourci sur le bureau et choisi desormais l'option 2 , poste le contenu du rapport qui s'affiche.

 

3• rend toi sur cette page:

http://www.bleepingcomputer.com/submit-mal....php?channel=27

 

dans Link to topic where this file was requested: copie_colle l'adresse ci dessous:

http://forum.zebulon.fr/pc-infecte-t151636.html

 

avec "browse"(l'onglet) , tu va naviguer successivement vers ces 2 fichiers en gras ci dessous pour les envoyer (send file), uhn par un:

 

c:\windows\system32\msjvms32.exe

c:\windows\system32\winauths.exe

 

4• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

» ComboFix doit absolument etre sur ton bureau

 

 

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

File::
c:\windows\system32\msjvms32.exe 
c:\windows\system32\winauths.exe

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

 

 

* suis les instructions, accepte le Cluff , le pc va bipper

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

** poste alors ce rapport ComboFix+rapport option2 navilog1+un nouveau rapport HijackThis

[angelique]

Utilise l'onglet +repondre pour coller tes rapports, ne me les mets pas par MP merci!!!!!!!

 

Clean Navipromo version 3.6.6 commencé le Wed 10/08/2008 à 9:51:50.45

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "cour des comptes"

 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.13

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\WINDOWS\System32" *

 

 

* Suppression dans "C:\Documents and Settings\cour des comptes\locals~1\applic~1" *

 

 

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

*** Suppression dossiers dans "C:\WINDOWS" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\cour des comptes\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\cour des comptes\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\cour des comptes\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\cour des comptes\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\WINDOWS\system32" *

 

 

* Dans "C:\Documents and Settings\cour des comptes\locals~1\applic~1" *

 

 

acvobdprdd.dat trouvé !

Copie acvobdprdd.dat réalisée avec succès !

acvobdprdd.dat supprimé !

 

acvobdprdd_nav.dat trouvé !

Copie acvobdprdd_nav.dat réalisée avec succès !

acvobdprdd_nav.dat supprimé !

 

acvobdprdd_navps.dat trouvé !

Copie acvobdprdd_navps.dat réalisée avec succès !

acvobdprdd_navps.dat supprimé !

 

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

*** Nettoyage terminé le Wed 10/08/2008 à 9:57:56.85 ***

 

 

===continue la procedure et poste les rapports ici!!!!!!!===

[mimo33]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:36:47, on 08-10-2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\fxssvc.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\Dell\Media Experience\PCMService.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\WINDOWS\domino.exe

C:\WINDOWS\VMSnap1.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Mes documents\HiJackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/intl/fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [domino] C:\WINDOWS\domino.exe

O4 - HKLM\..\Run: [VMSnap1] C:\WINDOWS\VMSnap1.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{12FC15A5-9F93-4F09-881E-461FC7460D83}: NameServer = 41.221.20.4 193.251.169.165

O17 - HKLM\System\CS1\Services\Tcpip\..\{12FC15A5-9F93-4F09-881E-461FC7460D83}: NameServer = 41.221.20.4 193.251.169.165

O17 - HKLM\System\CS3\Services\Tcpip\..\{12FC15A5-9F93-4F09-881E-461FC7460D83}: NameServer = 41.221.20.4 193.251.169.165

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

--

End of file - 4940 bytes

ComboFix 08-10-07.06 - cour des comptes 10/08/2008 11:22:47.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.64 [GMT 1:00]

 

Lancé depuis: C:\Documents and Settings\Mes documents\ComboFix.exe

Commutateurs utilisés :: C:\Documents and Settings\cour des comptes\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-08 au 2008-10-08 ))))))))))))))))))))))))))))))))))))

.

 

Pas de nouveau fichier créé dans ce laps de temps

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-08 09:50 2,940,074 ----a-r C:\Documents and Settings\Mes documents\ComboFix.exe

2008-10-08 08:57 --------- d-----w C:\Program Files\Navilog1

2008-10-08 08:32 571,687 ----a-w C:\Documents and Settings\Mes documents\Navilog1.exe

2008-10-04 13:14 1,118,776 ----a-w C:\Documents and Settings\Mes documents\EmoticonesDejantees.exe

2008-09-30 12:45 7,606,832 ----a-w C:\Documents and Settings\Mes documents\Firefox Setup 3.0.3.exe

2008-09-27 10:03 --------- d-----w C:\Program Files\Panda Security

2008-09-24 13:09 7,606,568 ----a-w C:\Documents and Settings\Mes documents\Firefox Setup 3.0.2.exe

2008-09-23 09:24 401,720 ----a-w C:\Documents and Settings\Mes documents\HiJackThis.exe

2008-09-22 10:20 7,601,152 ----a-w C:\Documents and Settings\Mes documents\Firefox Setup 3.0.1.exe

2008-09-22 09:38 --------- d-----w C:\Program Files\Google

2008-09-09 12:01 --------- d-----w C:\Program Files\MSECache

2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\cdm.dll

2008-07-18 21:10 94,920 ----a-w C:\WINDOWS\SYSTEM32\cdm.dll

2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\SYSTEM32\wuauclt.exe

2008-07-18 21:10 53,448 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\wuauclt.exe

2008-07-18 21:10 45,768 ----a-w C:\WINDOWS\SYSTEM32\wups2.dll

2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\SYSTEM32\wups.dll

2008-07-18 21:10 36,552 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\wups.dll

2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\SYSTEM32\wuapi.dll

2008-07-18 21:09 563,912 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\wuapi.dll

2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\SYSTEM32\wucltui.dll

2008-07-18 21:09 325,832 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\wucltui.dll

2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\SYSTEM32\wuweb.dll

2008-07-18 21:09 205,000 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\wuweb.dll

2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\SYSTEM32\wuaueng.dll

2008-07-18 21:09 1,811,656 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\wuaueng.dll

2008-07-18 21:07 270,880 ----a-w C:\WINDOWS\SYSTEM32\mucltui.dll

2008-07-18 21:07 210,976 ----a-w C:\WINDOWS\SYSTEM32\muweb.dll

2008-06-28 13:44 40 ----a-w C:\Documents and Settings\Mes documents\cc_20080628_1443.reg

2008-06-28 11:38 2,402,832 ----a-w C:\Documents and Settings\Mes documents\WLinstaller.exe

2008-06-24 10:05 2,914,296 ----a-w C:\Documents and Settings\Mes documents\ccsetup208.exe

2008-02-26 13:42 266,717 ----a-w C:\Documents and Settings\Mes documents\F2007082.zip

2008-02-13 10:38 2,733,928 ----a-w C:\Documents and Settings\Mes documents\ccsetup204.exe

2008-02-03 10:55 1,271,557 ----a-w C:\Documents and Settings\Mes documents\wrar371fr.exe

2008-01-20 13:28 162 ---ha-w C:\Documents and Settings\Mes documents\~$talAudioConverter.exe

2008-01-06 12:22 7,700,432 ----a-w C:\Documents and Settings\Mes documents\TotalMovieConverter.exe

2007-11-13 09:53 57,836 ----a-w C:\Documents and Settings\Mes documents\msinet.zip

2007-07-13 12:11 78,848 --sh--w C:\WINDOWS\SYSTEM32\winauths.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04/14/2008 03:33 AM 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [02/10/2004 11:55 AM 155648]

"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [02/10/2004 11:51 AM 118784]

"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [11/19/2003 05:48 PM 32881]

"PCMService"="C:\Program Files\Dell\Media Experience\PCMService.exe" [04/11/2004 08:15 PM 290816]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [01/05/2008 12:52 PM 185896]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [01/11/2008 10:16 PM 39792]

"domino"="C:\WINDOWS\domino.exe" [07/04/2006 07:16 AM 49152]

"VMSnap1"="C:\WINDOWS\VMSnap1.exe" [07/17/2006 04:27 AM 49152]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04/14/2008 03:33 AM 15360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\pxsetup41.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [07/19/2008 03:35 PM 78416]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [07/19/2008 03:37 PM 20560]

S3 AdWatchDrv;AW Realtime Driver;C:\WINDOWS\system32\drivers\AWRTPD.sys [07/11/2007 01:37 PM 6272]

S3 Winacusb;Winacusb;C:\WINDOWS\system32\DRIVERS\winacusb.sys [07/31/2002 11:48 PM 794402]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{27bb67da-1a91-11dd-b525-000f1f599664}]

\Shell\AutoRun\command - E:\RavMon.exe

\Shell\explore\Command - E:\RavMon.exe -e

\Shell\open\Command - E:\RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34c5cea2-dc89-11dc-b4dd-000f1f599664}]

\Shell\AutoRun\command - RavMon.exe

\Shell\explore\Command - RavMon.exe -e

\Shell\open\Command - RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3cfc8406-03cd-11dd-b50a-000f1f599664}]

\Shell\AutoRun\command - E:\RavMon.exe

\Shell\explore\Command - E:\RavMon.exe -e

\Shell\open\Command - E:\RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dcaccd0-8555-11dc-b473-000f1f599664}]

\Shell\AutoRun\command - E:\m6dqm2vd.exe

\Shell\explore\Command - E:\m6dqm2vd.exe

\Shell\open\Command - E:\m6dqm2vd.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{68e17f98-a7c2-11dc-b49f-000f1f599664}]

\Shell\AutoRun\command - RavMon.exe

\Shell\explore\Command - RavMon.exe -e

\Shell\open\Command - RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6fd179fe-dc4b-11db-b39d-000f1f599664}]

\Shell\AutoRun\command - E:\RavMon.exe

\Shell\explore\Command - E:\RavMon.exe -e

\Shell\open\Command - E:\RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3675812-93f9-11db-b34d-000f1f599664}]

\Shell\AutoRun\command - F:\RavMon.exe

\Shell\explore\Command - F:\RavMon.exe -e

\Shell\open\Command - F:\RavMon.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed260e44-3b7f-11dd-b557-000f1f599664}]

\Shell\AutoRun\command - wscript.exe .\.vbs

\Shell\open\command - wscript.exe .\.vbs

.

Contenu du dossier 'Tâches planifiées'

 

2008-02-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job

- C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe []

 

2008-10-08 C:\WINDOWS\Tasks\Scheduled Checkpoint.job

- D:\Windows-Syst []

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-08 11:26:19

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

Heure de fin: 10/08/2008 11:29:40

ComboFix-quarantined-files.txt 2008-10-08 10:29:31

ComboFix2.txt 2008-10-08 10:13:04

 

Avant-CF: 6,513,184,768 octets libres

Après-CF: 6,506,954,752 octets libres

 

136 --- E O F --- 2008-09-13 13:00:03

 

Clean Navipromo version 3.6.6 commencé le Wed 10/08/2008 à 9:51:50.45

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "cour des comptes"

 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.13

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\WINDOWS\System32" *

 

 

* Suppression dans "C:\Documents and Settings\cour des comptes\locals~1\applic~1" *

 

 

* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

* Suppression dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

*** Suppression dossiers dans "C:\WINDOWS" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\cour des comptes\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\cour des comptes\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\cour des comptes\menudm~1\progra~1" ***

 

 

*** Suppression dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\cour des comptes\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\WINDOWS\system32" *

 

 

* Dans "C:\Documents and Settings\cour des comptes\locals~1\applic~1" *

 

 

acvobdprdd.dat trouvé !

Copie acvobdprdd.dat réalisée avec succès !

acvobdprdd.dat supprimé !

 

acvobdprdd_nav.dat trouvé !

Copie acvobdprdd_nav.dat réalisée avec succès !

acvobdprdd_nav.dat supprimé !

 

acvobdprdd_navps.dat trouvé !

Copie acvobdprdd_navps.dat réalisée avec succès !

acvobdprdd_navps.dat supprimé !

 

 

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

 

 

* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

*** Nettoyage terminé le Wed 10/08/2008 à 9:57:56.85 ***

[angelique]

NON!!!!ComboFix et CFScript devaient etre sur le bureau

Lancé depuis: C:\Documents and Settings\Mes documents\ComboFix.exe

Commutateurs utilisés :: C:\Documents and Settings\cour des comptes\Bureau\CFScript.txt

 

1• desinstalle ComboFix en copiant collant la ligne ci dessous dans executer et valide là:

 

ComboFix /u

 

2 • desinstalle Navilog1 via ajout\suppression de programmes et supprime son repertoire restant en c:\Program Files\Navilog1

 

3• ReTélécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

» telecharge CFScript.txt sur ton bureau aussi: http://www.sendspace.com/file/mv67r1

 

Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

 

4• desinstalle avast au profit d'antivir:

lien de telechargement d'antivir: http://dlce.antivir.com/down/windows/antiv...n_winu_en_h.exe

 

tuto explicatif avast contre antivir:

http://forum.malekal.com/viewtopic.php?f=45&t=3528

 

tuto desinstaller avast pour antivir: http://forum.malekal.com/viewtopic.php?f=45&t=4192

Il faut desactiver son module self defense si tu souhaites utiliser aswclear pour parfaire la desinstallation d'avast:

 

 

Clic-droit sur l'icône d'Avast! près de l'horloge >> "Réglages du programme..."

 

- Option "Dépannage" (au bas à gauche)

 

- Cocher "Désactiver le module self-defense d'avast!" >> "Ok"

 

Configure corretement antivir et réalise un scan complet de tes disks et poste le rapport

 

configuration d'antivir: http://www.malekal.com/tutorial_antivir.php