soupcon d'infection, de ralentissement PC

3078ce2351 · le 29 janvier 2009

Bonsoir,

J'ai une application nommée "FAVORIT", qui apparait dans Revo Uninstaller.

Je ne sait pas d'ou elle vient, ni à quoi elle sert, mais sa taille ne cesse de croître au fil des jours.

Ce qui m' inquiéte le +, c'est qu'il y 2 mois je l'ai déjà désinstallé. Je n'ai pas pu redémarrer

mon PC, j'ai du reformaté le DD.

Voilà à tout hasard mon rapport HijackThis.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:33:44, on 29/01/2009

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Pack Sécurité\Anti-Virus\fsgk32st.exe

C:\Program Files\Pack Sécurité\Anti-Virus\FSGK32.EXE

C:\Program Files\Pack Sécurité\Common\FSMA32.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Pack Sécurité\Common\FSMB32.EXE

C:\WINNT\system32\MSTask.exe

C:\Program Files\Pack Sécurité\Common\FCH32.EXE

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Pack Sécurité\Common\FAMEH32.EXE

C:\Program Files\Pack Sécurité\Anti-Virus\fsqh.exe

C:\Program Files\Pack Sécurité\FSPC\fspc.exe

C:\Program Files\Pack Sécurité\FSAUA\program\fsaua.exe

C:\Program Files\Pack Sécurité\FWES\Program\fsdfwd.exe

C:\Program Files\Pack Sécurité\ORSP Client\fsorsp.exe

C:\Program Files\Pack Sécurité\FSAUA\program\fsus.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Pack Sécurité\Common\FSM32.EXE

C:\Documents and Settings\SCHAFF\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Volumouse\volumouse.exe

C:\Program Files\ZNsoft Free\ZNsoft Free.exe

C:\Program Files\Pack Sécurité\Anti-Virus\fssm32.exe

C:\Program Files\RebootPC v1.40\PrebootPC.exe

C:\Program Files\Pack Sécurité\FSGUI\fsguidll.exe

C:\Program Files\Pack Sécurité\Anti-Virus\fsav32.exe

C:\Program Files\FreeCommander\FreeCommander.exe

C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Sécurité\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Sécurité\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [softwareHelper] C:\Documents and Settings\SCHAFF\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [Volumouse] C:\Program Files\Volumouse\volumouse.exe

O4 - HKCU\..\Run: [ZNsoft] C:\Program Files\ZNsoft Free\ZNsoft Free.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\Pop-Up Stopper Free Edition\PSFree.exe"

O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: RebootPC.lnk = C:\Program Files\RebootPC v1.40\PrebootPC.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINNT\system32\GPhotos.scr/200

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Sécurité\FSPC\fspcmsie.dll

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1228901796515

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688

O20 - AppInit_DLLs: "C:\PROGRA~1\Google\Google Desktop Search\GoogleDesktopNetwork3.dll"

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Sécurité\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Sécurité\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Sécurité\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Pack Sécurité\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Pack Sécurité\ORSP Client\fsorsp.exe

O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 8224 bytes

Si quelqu'un pouvait me tranquilliser, sur cette application.

Y aurait-il une infection latente ?, ou autre chose de + méchant.

Aucun fichier de cette application n'apparait, dans l'explorateur.

Dans l'attente, et avec tous mes remerciements.

Falkra · le 29 janvier 2009

Bonsoir, c'est une saleté.

EoRezo aussi, d'ailleurs.

Ce sont des programmes infectieux, ou plus souvent comme pour favorit, des programmes normaux, mais dont les installateurs sont modifiés et qui embarquent une saleté.

Tu as dû télécharger et installer tout ça en dehors des sites officiels des programmes.

Clique sur ce lien de navilog1 de IL-MAFIOSO :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre le fichier sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, navilog1 s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans accord)
Cela dure un moment, attends le message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.

Note :

Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

3078ce2351 · le 30 janvier 2009

Bonsoir,

Voilà j'ai fait tourner Navilog1.exe, et voici le rapport intégral:

Search Navipromo version 3.7.1 commencé le ven. 30/01/2009 à 19:04:05,65

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Recherche executé en mode normal

*** Recherche dossiers dans "C:\WINNT" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\SCHAFF\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\SCHAFF\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\SCHAFF\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINNT\system32" *

* Recherche dans "C:\Documents and Settings\SCHAFF\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINNT\system32" :

* Dans "C:\Documents and Settings\SCHAFF\locals~1\applic~1" :

iqsygum.exe trouvé !

iqsygum.dat trouvé !

iqsygum_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

*** Analyse terminée le ven. 30/01/2009 à 19:06:53,34 ***

Dans l'attente, encore merci et bonne soirée.

Falkra · le 30 janvier 2009

On va nettoyer ça.

Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le programme va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé. Le pc va redémarrer.
Au redémarrage de ton PC, choisis ta session habituelle. Attends le message :
*** Nettoyage Termine le ..... ***
Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver.
Referme le Bloc-notes. Ton bureau va réapparaitre

PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer.exe et valide. Cela fera revenir ton bureau.

Note:

Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

Ajoute après ça un nouveau rapport HijackThis stp.

3078ce2351 · le 1 février 2009

Bonjour,

J'ai mis un peu de temps pour répondre, bicause je voulais sauvegarder un max avant de désinfecter.

La dernière x cela ne m'avait pas trop réussi.

J'ai donc appliquer Navilog 1 - option 2, et à priori l'application "Favorit" a disparu des écrans.

Je te fais passer comme demandé:

-dernier rapport Navilog 1,

-dernier rapport Hijackthis

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Clean Navipromo version 3.7.1 commencé le dim. 01/02/2009 à 12:57:24,48

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

Nettoyage executé en mode normal et non au reboot

!! Les résultats ne seront pas optimisés !!

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINNT\System32" *

* Suppression dans "C:\Documents and Settings\SCHAFF\locals~1\applic~1" *

*** Suppression dossiers dans "C:\WINNT" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\SCHAFF\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\SCHAFF\locals~1\applic~1" ***

*** Suppression dossiers dans "C:\Documents and Settings\SCHAFF\menudm~1\progra~1" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINNT\Temp effectué !

Nettoyage contenu C:\Documents and Settings\SCHAFF\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\WINNT\system32" *

* Dans "C:\Documents and Settings\SCHAFF\locals~1\applic~1" *

iqsygum.exe trouvé !

Copie iqsygum.exe réalisée avec succès !

iqsygum.exe supprimé !

iqsygum.dat trouvé !

Copie iqsygum.dat réalisée avec succès !

iqsygum.dat supprimé !

iqsygum_navps.dat trouvé !

Copie iqsygum_navps.dat réalisée avec succès !

iqsygum_navps.dat supprimé !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

*** Nettoyage terminé le dim. 01/02/2009 à 12:59:43,89 ***

$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:52:46, on 01/02/2009

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Pack Sécurité\Anti-Virus\fsgk32st.exe

C:\Program Files\Pack Sécurité\Common\FSMA32.EXE

C:\Program Files\Pack Sécurité\Anti-Virus\FSGK32.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Pack Sécurité\Common\FSMB32.EXE

C:\WINNT\system32\MSTask.exe

C:\Program Files\Pack Sécurité\Common\FCH32.EXE

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Pack Sécurité\Anti-Virus\fsqh.exe

C:\Program Files\Pack Sécurité\Common\FAMEH32.EXE

C:\Program Files\Pack Sécurité\FSPC\fspc.exe

C:\Program Files\Pack Sécurité\ORSP Client\fsorsp.exe

C:\Program Files\Pack Sécurité\FSAUA\program\fsaua.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Pack Sécurité\FWES\Program\fsdfwd.exe

C:\Program Files\Pack Sécurité\FSAUA\program\fsus.exe

C:\Program Files\Pack Sécurité\Common\FSM32.EXE

C:\Documents and Settings\SCHAFF\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Volumouse\volumouse.exe

C:\Program Files\ZNsoft Free\ZNsoft Free.exe

C:\PROGRA~1\Pop-Up Stopper Free Edition\PSFree.exe

C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe

C:\Program Files\Pack Sécurité\Anti-Virus\fssm32.exe

C:\Program Files\RebootPC v1.40\PrebootPC.exe

C:\Program Files\Pack Sécurité\FSGUI\fsguidll.exe

C:\Program Files\Pack Sécurité\Anti-Virus\fsav32.exe

C:\Program Files\Mozilla Firefox\firefox.exe