RESOLU

murloch · le 6 avril 2009

Bonjour tout le monde et merci d'avance pour votre aide

j'ai Vista permium familial

je rencontre un problème: en effet Firefox commence à ramer et ne téécharge qu'une fois sur cinq et parfois il bugge

je l'ai désinstallé plusieurs fois et réinstallé mais il y a toujours le problème.

pensant à un virus j'ai lancé une analyse et j'ai trouvé un virus dr/zLOb.gen.

que dois je faire car je ne m'y connais pas du tt en informatique merci à vous

RESOLU

Modifié le 8 avril 2009 par murloch

Falkra · le 6 avril 2009

Bonjour, poste un rapport HijackThis dans ta prochaine réponse stp.

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

Double-clique sur l'icône HijackThis :

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

murloch · le 6 avril 2009

Bonjour, poste un rapport HijackThis dans ta prochaine réponse stp.

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

Double-clique sur l'icône HijackThis :

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Salut Falkra

heureux de te lire

merci pour tes efforts

voici le rapport

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:57:24, on 06/04/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Anonymizer\Anonymizer Software\Anonymizer.exe

C:\Users\MAATA\AppData\Local\ugeiqki.exe

C:\Program Files\Medintux\movamp.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEUser.exe

C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

C:\Windows\Explorer.exe

C:\Program Files\eMule\emule.exe

C:\Windows\system32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\FREEDO~1\FDM.exe

C:\Users\MAATA\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini20.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ads.eorezo.com/cgi-bin/advert/getad...format=redirect

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [Anonymizer] C:\Program Files\Anonymizer\Anonymizer Software\Anonymizer.exe -nogui

O4 - HKCU\..\Run: [ugeiqki] "c:\users\maata\appdata\local\ugeiqki.exe" ugeiqki

O4 - Startup: Movamp.lnk = C:\Program Files\Medintux\movamp.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -

O23 - Service: Anonymizer Anti-Spyware Service (AnonAswSvc) - Anonymizer - C:\Program Files\Anonymizer\Anonymizer Software\AnonASW\AnonAswSvc.exe

O23 - Service: Anonymizer Management Service (AnonMgmtSvc) - Anonymizer - C:\Program Files\Anonymizer\Anonymizer Software\Common\AnonMgmtSvc.exe

O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\Pratis36\Firebird\bin\fb_inet_server.exe

O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: PLapache - Apache Software Foundation - C:\Program Files\Pratis Live\bin\apache\apache2.2.6\bin\httpd.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--

End of file - 7494 bytes

Falkra · le 6 avril 2009

Ce n'est pas Zlob ici, c'est magic control.

On va faire les deux vérifications, au cas où.

Je vais te demander 2 rapports.

----------

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).
Démarrer > Panneau de Configuration
Double clique sur l'icône Comptes d'utilisateurs
Clique ensuite sur Désactiver et valide.
Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau.
Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer.
Attends la fin de l'installation.

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

Sur le menu principal, choisis 1.
Suis les instructions et patiente.
Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps).
Appuie sur une touche ainsi que demandé.
Un document du Bloc-notes est créé : fixnavi.txt.
Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
Referme le Bloc-notes.

Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

-----------

Télécharge SmitFraudFix de S!Ri sur le bureau :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version.
Fais clic droit, exécuter en tant qu'administrateur sur smitfraudfix.exe pour lancer l'outil.
Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.
Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt")

Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

murloch · le 6 avril 2009

Ce n'est pas Zlob ici, c'est magic control.

On va faire les deux vérifications, au cas où.

Je vais te demander 2 rapports.

----------

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).

Démarrer > Panneau de Configuration

Double clique sur l'icône Comptes d'utilisateurs

Clique ensuite sur Désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau.

Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer.

Attends la fin de l'installation.

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

Sur le menu principal, choisis 1.

Suis les instructions et patiente.

Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps).

Appuie sur une touche ainsi que demandé.

Un document du Bloc-notes est créé : fixnavi.txt.

Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.

Referme le Bloc-notes.

Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

-----------

Télécharge SmitFraudFix de S!Ri sur le bureau :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Note: si tu as une version de SmitfraudFix, ne l'utilise pas, élimine là et télécharge la dernière version.

Fais clic droit, exécuter en tant qu'administrateur sur smitfraudfix.exe pour lancer l'outil.

Choisis l'option 1 pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport sur le forum dans ta prochaine réponse. (si tu ne le trouves pas, il est dans "C:\rapport.txt")

Si un virus est détecté par ton antivirus ou un autre logiciel (genre riskTool.win32.reboot), n'en tiens pas compte (choisis d'ignorer) et ne bloque pas le fichier, il faut partie de l'outil et des antivirus qui y voient un danger potentiel.

Search Navipromo version 3.7.6 commencé le 06/04/2009 à 17:38:46,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : Intel® Pentium® Dual CPU E2140 @ 1.60GHz )

BIOS : BIOS Date: 03/28/08 16:53:51 Ver: 5.22

USER : MAATA ( Administrator )

BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:222 Go (Free:167 Go)

D:\ (Local Disk) - NTFS - Total:10 Go (Free:1 Go)

E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

F:\ (USB)

G:\ (USB)

H:\ (USB)

I:\ (USB)

J:\ (Local Disk) - NTFS - Total:372 Go (Free:166 Go)

Recherche executé en mode normal

*** Recherche dossiers dans "C:\Windows" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Recherche dossiers dans "C:\ProgramData" ***

*** Recherche dossiers dans "c:\users\maata\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "C:\Users\MAATA\AppData\Local\virtualstore\Program Files" ***

*** Recherche dossiers dans "C:\Users\MAATA\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\ADMINI~1\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\Mcx1\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\MAATA\AppData\Roaming" ***

*** Recherche dossiers dans "C:\Users\ADMINI~1\appdata\roaming" ***

*** Recherche dossiers dans "C:\Users\Mcx1\appdata\roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\MAATA\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\MAATA\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\MAATA\AppData\Local" *

* Recherche dans "C:\Users\ADMINI~1\AppData\Local" *

* Recherche dans "C:\Users\Mcx1\AppData\Local" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ugeiqki"="\"c:\\users\\maata\\appdata\\local\\ugeiqki.exe\" ugeiqki"

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\Windows\system32" :

* Dans "C:\Users\MAATA\AppData\Local\Microsoft" :

* Dans "C:\Users\MAATA\AppData\Local\virtualstore\windows\system32" :

* Dans "C:\Users\MAATA\AppData\Local" :

ugeiqki.exe trouvé !

ugeiqki.dat trouvé !

ugeiqki_nav.dat trouvé !

ugeiqki_navps.dat trouvé !

* Dans "C:\Users\ADMINI~1\AppData\Local" :

* Dans "C:\Users\Mcx1\AppData\Local" :

3)Recherche Certificats :

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

*** Analyse terminée le 06/04/2009 à 17:52:09,18 ***

murloch · le 6 avril 2009

Search Navipromo version 3.7.6 commencé le 06/04/2009 à 17:38:46,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : Intel® Pentium® Dual CPU E2140 @ 1.60GHz )

BIOS : BIOS Date: 03/28/08 16:53:51 Ver: 5.22

USER : MAATA ( Administrator )

BOOT : Normal boot

Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\System32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

C:\Program Files\Medintux\movamp.exe

C:\Windows\system32\taskeng.exe

W:\usr\local\apache2\bin\Apache.exe

W:\usr\local\mysql\bin\mysqld.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Pratis36\Firebird\bin\fb_inet_server.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

c:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\TUProgSt.exe

C:\Windows\System32\svchost.exe

C:\Program Files\Anonymizer\Anonymizer Software\AnonASW\AnonAswSvc.exe

C:\Program Files\Anonymizer\Anonymizer Software\Common\AnonMgmtSvc.exe

W:\usr\local\apache2\bin\Apache.exe

C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\Ati2evxx.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Anonymizer\Anonymizer Software\Anonymizer.exe

C:\Users\MAATA\AppData\Local\ugeiqki.exe

C:\Program Files\Medintux\movamp.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEUser.exe

C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe

c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

C:\Program Files\Microsoft Office\Office12\WINWORD.EXE

C:\Windows\Explorer.exe

C:\Program Files\eMule\emule.exe

C:\Windows\system32\taskmgr.exe

C:\PROGRA~1\FREEDO~1\FDM.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\MAATA

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\MAATA\AppData\Local\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\MAATA\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\MAATA\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, following keys are not inevitably infected!!!

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

"LoadAppInit_DLLs"=dword:00000000

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\Windows\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168C/8111C Family PCI-E Gigabit Ethernet NIC (NDIS 6.0)

DNS Server Search Order: 212.27.40.241

DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{26F6612F-1ABC-4170-B7CC-EA70E40ECF38}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS1\Services\Tcpip\..\{26F6612F-1ABC-4170-B7CC-EA70E40ECF38}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS2\Services\Tcpip\..\{26F6612F-1ABC-4170-B7CC-EA70E40ECF38}: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

C:\ (Local Disk) - NTFS - Total:222 Go (Free:167 Go)

D:\ (Local Disk) - NTFS - Total:10 Go (Free:1 Go)

E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

F:\ (USB)

G:\ (USB)

H:\ (USB)

I:\ (USB)

J:\ (Local Disk) - NTFS - Total:372 Go (Free:166 Go)

Recherche executé en mode normal

*** Recherche dossiers dans "C:\Windows" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Recherche dossiers dans "C:\ProgramData" ***

*** Recherche dossiers dans "c:\users\maata\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "C:\Users\MAATA\AppData\Local\virtualstore\Program Files" ***

*** Recherche dossiers dans "C:\Users\MAATA\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\ADMINI~1\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\Mcx1\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\MAATA\AppData\Roaming" ***

*** Recherche dossiers dans "C:\Users\ADMINI~1\appdata\roaming" ***

*** Recherche dossiers dans "C:\Users\Mcx1\appdata\roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\MAATA\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\MAATA\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\MAATA\AppData\Local" *

* Recherche dans "C:\Users\ADMINI~1\AppData\Local" *

* Recherche dans "C:\Users\Mcx1\AppData\Local" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ugeiqki"="\"c:\\users\\maata\\appdata\\local\\ugeiqki.exe\" ugeiqki"

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\Windows\system32" :

* Dans "C:\Users\MAATA\AppData\Local\Microsoft" :

* Dans "C:\Users\MAATA\AppData\Local\virtualstore\windows\system32" :

* Dans "C:\Users\MAATA\AppData\Local" :

ugeiqki.exe trouvé !

ugeiqki.dat trouvé !

ugeiqki_nav.dat trouvé !

ugeiqki_navps.dat trouvé !

* Dans "C:\Users\ADMINI~1\AppData\Local" :

* Dans "C:\Users\Mcx1\AppData\Local" :

3)Recherche Certificats :

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

*** Analyse terminée le 06/04/2009 à 17:52:09,18 ***

Falkra · le 6 avril 2009

Ok, on shoote la bestiole (tu peux supprimer SmitFraudFix, ce n'est pas SmitFraudfixable ton bestiau).

Ha, juste un détail cosmétique : pour répondre ou ajouter un post, un rapport, etc, utilise plutôt le bouton , qui est un peu plus bas.

(Bref celui qui a un petit +, pas celui avec les guillemets)

----------------

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé.

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

Sur le menu principal, choisis 2.
Suis les instructions et patiente.
L'outil va t'informer qu'il redémarrera ton ordinateur.
Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres.
Appuie sur une touche ainsi que demandé.
Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement.
Choisis ta session habituelle si nécessaire.
Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps).
Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver.
Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
Referme le Bloc-notes.
Ton Bureau va réapparaître.

Réactive le contrôle des comptes utilisateurs (UAC-User Account Control).

Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

murloch · le 6 avril 2009

merci Falkra pour tes judicieux conseils et pour le temps que tu as pris à m'aider

voici le rapport

Clean Navipromo version 3.7.6 commencé le 06/04/2009 à 18:34:59,61

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : Intel® Pentium® Dual CPU E2140 @ 1.60GHz )

BIOS : BIOS Date: 03/28/08 16:53:51 Ver: 5.22

USER : MAATA ( Administrator )

BOOT : Normal boot

C:\ (Local Disk) - NTFS - Total:222 Go (Free:167 Go)

D:\ (Local Disk) - NTFS - Total:10 Go (Free:1 Go)

E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

F:\ (USB)

G:\ (USB)

H:\ (USB)

I:\ (USB)

J:\ (Local Disk) - NTFS - Total:372 Go (Free:166 Go)

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *

* Suppression dans "C:\Users\Administrateur\AppData\Local\Microsoft" *

* Suppression dans "C:\Users\Administrateur\AppData\Local" *

* Suppression dans "C:\Users\MAATA\AppData\Local" *

* Suppression dans "C:\Users\Mcx1\AppData\Local" *

*** Suppression dossiers dans "C:\Windows" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Suppression dossiers dans "C:\ProgramData" ***

*** Suppression dossiers dans c:\users\admini~1\appdata\roaming\micros~1\windows\startm~1\programs ***

*** Suppression dossiers dans "C:\Users\MAATA\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Suppression dossiers dans "C:\Users\Mcx1\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Suppression dossiers dans "C:\Users\Administrateur\AppData\Local" ***

*** Suppression dossiers dans "C:\Users\MAATA\AppData\Local" ***

*** Suppression dossiers dans "C:\Users\Mcx1\AppData\Local" ***

*** Suppression dossiers dans "C:\Users\Administrateur\AppData\Roaming" ***

*** Suppression dossiers dans "C:\Users\MAATA\appdata\roaming" ***

*** Suppression dossiers dans "C:\Users\Mcx1\appdata\roaming" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !

Nettoyage contenu C:\Users\ADMINI~1\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\Windows\system32" *

* Dans "C:\Users\Administrateur\AppData\Local\Microsoft" *

* Dans "C:\Users\Administrateur\AppData\Local" *

* Dans "C:\Users\MAATA\AppData\Local" *

ugeiqki.exe trouvé !

Copie ugeiqki.exe réalisée avec succès !

ugeiqki.exe supprimé !

ugeiqki.dat trouvé !

Copie ugeiqki.dat réalisée avec succès !

ugeiqki.dat supprimé !

ugeiqki_nav.dat trouvé !

Copie ugeiqki_nav.dat réalisée avec succès !

ugeiqki_nav.dat supprimé !

ugeiqki_navps.dat trouvé !

Copie ugeiqki_navps.dat réalisée avec succès !

ugeiqki_navps.dat supprimé !

* Dans "C:\Users\Mcx1\AppData\Local" *

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***

*** Nettoyage terminé le 06/04/2009 à 18:39:40,95 ***

Falkra · le 6 avril 2009

Là, cette infection est KO, exit les popups normalement.

Poste un nouveau rapport HijackThis stp (à lancer par clic droit, exécuter en tant qu'administrateur), pour qu'on fasse le point.

murloch · le 7 avril 2009

Bonjour Falkra

tout a l'air de bien marcher grâce à toi et je t'en remercie vivement

C'est très aimable et je t'en sais gré

Voici le rapport demandé et encore merci

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:53:16, on 07/04/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

C:\Program Files\Medintux\movamp.exe

W:\usr\local\apache2\bin\Apache.exe

W:\usr\local\mysql\bin\mysqld.exe

W:\usr\local\apache2\bin\Apache.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Anonymizer\Anonymizer Software\Anonymizer.exe

C:\Program Files\Medintux\movamp.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\PROGRA~1\FREEDO~1\FDM.exe

C:\Windows\system32\WerCon.exe

C:\Users\MAATA\Desktop\HiJackThis.exe