analyse rapport Hijackthis

[papatango]

Bonjour à tous,

 

merci de décrypter rapport hijackthis.

PC lent après désinfection bredolab.bsr par antivir

merci pour votre aide

papatango

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:17:31, on 12/01/2010

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16945)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

C:\Program Files\Cyberlink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0\bin\jusched.exe

C:\Program Files\OLITEC\ACU.exe

C:\Program Files\Goto Software\Vade Retro\Vaderetro_mgr.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\OLITEC\Common\RaUI.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\system32\taskeng.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\ACMF\Downloads\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nec-computers.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\Cyberlink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\Cyberlink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKLM\..\Run: [ACU] "C:\Program Files\OLITEC\ACU.exe" -nogui

O4 - HKLM\..\Run: [VadeRetro Outlook] C:\Program Files\Goto Software\Vade Retro\VrMoRegister.exe -s

O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter

O4 - Global Startup: Moniteur réseau 802.11g OLITEC.lnk = C:\Program Files\OLITEC\Common\RaUI.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O13 - Gopher Prefix:

O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll

O23 - Service: Service de configuration OLITEC (ACS) - Unknown owner - C:\Windows\system32\acs.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared Files\RichVideo.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

 

--

End of file - 5241 bytes

[pear]

Bonjour,

 

Il n'est pas impossible que la désinfection ait été imparfaite.

Certaines variantes sont coriaces.

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Notez que Rkill ne produit pas de rapport

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[papatango]

bonjour, ci-joint rapport

cdt

papatango

 

 

15:18:08:126 4464 TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25

15:18:08:126 4464 ================================================================================

15:18:08:126 4464 SystemInfo:

 

15:18:08:126 4464 OS Version: 6.0.6001 ServicePack: 1.0

15:18:08:126 4464 Product type: Workstation

15:18:08:127 4464 ComputerName: PC-MICHEL

15:18:08:127 4464 UserName: michel

15:18:08:127 4464 Windows directory: C:\Windows

15:18:08:127 4464 Processor architecture: Intel x86

15:18:08:127 4464 Number of processors: 2

15:18:08:127 4464 Page size: 0x1000

15:18:08:131 4464 Boot type: Normal boot

15:18:08:131 4464 ================================================================================

15:18:08:139 4464 UnloadDriverW: NtUnloadDriver error 2

15:18:08:139 4464 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

15:18:08:141 4464 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\drivers\klmd.sys) returned status 00000000

15:18:08:161 4464 UtilityInit: KLMD drop and load success

15:18:08:161 4464 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)

15:18:08:162 4464 UtilityInit: KLMD open success

15:18:08:162 4464 UtilityInit: Initialize success

15:18:08:162 4464

15:18:08:162 4464 Scanning Services ...

15:18:08:163 4464 CreateRegParser: Registry parser init started

15:18:08:163 4464 CreateRegParser: DisableWow64Redirection error

15:18:08:163 4464 wfopen_ex: Trying to open file C:\Windows\system32\config\system

15:18:08:163 4464 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\config\system) returned status C0000043

15:18:08:163 4464 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

15:18:08:163 4464 wfopen_ex: Trying to KLMD file open

15:18:08:163 4464 KLMD_CreateFileW: Trying to open file C:\Windows\system32\config\system

15:18:08:164 4464 wfopen_ex: File opened ok (Flags 2)

15:18:08:199 4464 CreateRegParser: HIVE_ADAPTER(C:\Windows\system32\config\system) init success: 23F1470

15:18:08:199 4464 wfopen_ex: Trying to open file C:\Windows\system32\config\software

15:18:08:200 4464 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\config\software) returned status C0000043

15:18:08:200 4464 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

15:18:08:200 4464 wfopen_ex: Trying to KLMD file open

15:18:08:200 4464 KLMD_CreateFileW: Trying to open file C:\Windows\system32\config\software

15:18:08:200 4464 wfopen_ex: File opened ok (Flags 2)

15:18:08:200 4464 CreateRegParser: HIVE_ADAPTER(C:\Windows\system32\config\software) init success: 23F1498

15:18:08:201 4464 CreateRegParser: EnableWow64Redirection error

15:18:08:201 4464 CreateRegParser: RegParser init completed

15:18:08:926 4464 GetAdvancedServicesInfo: Raw services enum returned 424 services

15:18:08:936 4464 fclose_ex: Trying to close file C:\Windows\system32\config\system

15:18:08:937 4464 fclose_ex: Trying to close file C:\Windows\system32\config\software

15:18:08:937 4464

15:18:08:938 4464 Scanning Kernel memory ...

15:18:08:939 4464 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

15:18:08:939 4464 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 850EDBA0

15:18:08:939 4464 DetectCureTDL3: KLMD_GetDeviceObjectList returned 1 DevObjects

15:18:08:939 4464

15:18:08:939 4464 DetectCureTDL3: DEVICE_OBJECT: 8510CAC8

15:18:08:939 4464 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8510CAC8

15:18:08:939 4464 DetectCureTDL3: DEVICE_OBJECT: 84F658E0

15:18:08:939 4464 KLMD_GetLowerDeviceObject: Trying to get lower device object for 84F658E0

15:18:08:939 4464 KLMD_ReadMem: Trying to ReadMemory 0x84F658E0[0x38]

15:18:08:939 4464 DetectCureTDL3: DRIVER_OBJECT: 84579668

15:18:08:939 4464 KLMD_ReadMem: Trying to ReadMemory 0x84579668[0xA8]

15:18:08:939 4464 KLMD_ReadMem: Trying to ReadMemory 0x8457A6B8[0x1A]

15:18:08:939 4464 DetectCureTDL3: DRIVER_OBJECT name: \Driver\atapi, Driver Name: atapi

15:18:08:939 4464 DetectCureTDL3: IrpHandler (0) addr: 807B40FC

15:18:08:939 4464 DetectCureTDL3: IrpHandler (1) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (2) addr: 807B40FC

15:18:08:940 4464 DetectCureTDL3: IrpHandler (3) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (4) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (5) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (6) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (7) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler ( addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (9) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (10) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (11) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (12) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (13) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (14) addr: 807A29D6

15:18:08:940 4464 DetectCureTDL3: IrpHandler (15) addr: 807A29A8

15:18:08:940 4464 DetectCureTDL3: IrpHandler (16) addr: 81C3F013

15:18:08:940 4464 DetectCureTDL3: IrpHandler (17) addr: 81C3F013

15:18:08:941 4464 DetectCureTDL3: IrpHandler (18) addr: 81C3F013

15:18:08:941 4464 DetectCureTDL3: IrpHandler (19) addr: 81C3F013

15:18:08:941 4464 DetectCureTDL3: IrpHandler (20) addr: 81C3F013

15:18:08:941 4464 DetectCureTDL3: IrpHandler (21) addr: 81C3F013

15:18:08:941 4464 DetectCureTDL3: IrpHandler (22) addr: 807A2A04

15:18:08:941 4464 DetectCureTDL3: IrpHandler (23) addr: 807AFB70

15:18:08:941 4464 DetectCureTDL3: IrpHandler (24) addr: 81C3F013

15:18:08:941 4464 DetectCureTDL3: IrpHandler (25) addr: 81C3F013

15:18:08:941 4464 DetectCureTDL3: IrpHandler (26) addr: 81C3F013

15:18:08:941 4464 TDL3_FileDetect: Processing driver: atapi

15:18:08:941 4464 TDL3_FileDetect: Processing driver file: C:\Windows\system32\drivers\atapi.sys

15:18:08:941 4464 KLMD_CreateFileW: Trying to open file C:\Windows\system32\drivers\atapi.sys

15:18:08:953 4464 TDL3_FileDetect: C:\Windows\system32\drivers\atapi.sys - Verdict: Clean

15:18:08:953 4464

15:18:08:954 4464 Completed

15:18:08:955 4464

15:18:08:955 4464 Results:

15:18:08:956 4464 Memory objects infected / cured / cured on reboot: 0 / 0 / 0

15:18:08:956 4464 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

15:18:08:957 4464 File objects infected / cured / cured on reboot: 0 / 0 / 0

15:18:08:958 4464

15:18:08:960 4464 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\drivers\klmd.sys) returned status 00000000

15:18:08:961 4464 UtilityDeinit: KLMD(ARK) unloaded successfully

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3582

Windows 6.0.6001 Service Pack 1

Internet Explorer 7.0.6001.18000

 

17/01/2010 15:32:18

mbam-log-2010-01-17 (15-32-18).txt

 

Type de recherche: Examen rapide

Eléments examinés: 99203

Temps écoulé: 5 minute(s), 34 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\michel\Local Settings\Application Data\cgsos_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Users\michel\Local Settings\Application Data\cgsos_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Users\michel\Local Settings\Application Data\cgsos.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

 

Bonjour,

 

Il n'est pas impossible que la désinfection ait été imparfaite.

Certaines variantes sont coriaces.

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Notez que Rkill ne produit pas de rapport

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[pear]

Bonsoir,

 

Pour répondre,et afin d'éviter de citer le message précédent,utilisez le bouton Repondre plus bas, entre Flash et Nouveau

 

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

 

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

Sur PCA,En Français

 

Téléchargez Navilog1 par Il-Mafioso

Enregistrer la cible (du lien) sous... et enregistrez-le sur le bureau.

Ensuite double cliquez sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur avancé.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Dans la fenêtre qui s'ouvre, choisissez votre langue et validez

Au menu principal, Faire le choix 1et valider

< Ne faites pas le choix 2 sauf avis contraire>

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Appuyer sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copier-coller l'intégralité dans la réponse.

Refermer le bloc-notes.

PS :le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter"

Taper explorer et valider.

Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas)

Si c'est fait ou que vous êtes seul utilisateur:

Désinstaller Navilog1 Via ajout/suppression des programmes --> Navilog1

Ensuite supprimer ce dossier : C:\Program Files\navilog1

[papatango]

Bonjour Pear,

 

voici tous les rapports concernant l'ordi infecté. Ceux postés hier n'étai tpas les bons, désolé.

merci par avance

cdt

papatango

 

 

 

1)

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3588

Windows 6.0.6000

Internet Explorer 7.0.6000.16945

 

18/01/2010 10:19:30

mbam-log-2010-01-18 (10-19-30).txt

 

Type de recherche: Examen rapide

Eléments examinés: 100724

Temps écoulé: 8 minute(s), 20 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Windows\system32\Drivers\wopaoo.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Users\ACMF\AppData\Local\Temp\~TM5655.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\ACMF\AppData\Local\Temp\~TM702D.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\ACMF\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Users\ACMF\AppData\Roaming\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

 

 

 

2)

 

10:04:29:047 2480 TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25

10:04:29:049 2480 ================================================================================

10:04:29:049 2480 SystemInfo:

 

10:04:29:049 2480 OS Version: 6.0.6000 ServicePack: 0.0

10:04:29:049 2480 Product type: Workstation

10:04:29:049 2480 ComputerName: PC-DE-ACMF

10:04:29:049 2480 UserName: ACMF

10:04:29:049 2480 Windows directory: C:\Windows

10:04:29:049 2480 Processor architecture: Intel x86

10:04:29:049 2480 Number of processors: 1

10:04:29:052 2480 Page size: 0x1000

10:04:29:072 2480 Boot type: Normal boot

10:04:29:074 2480 ================================================================================

10:04:29:104 2480 UnloadDriverW: NtUnloadDriver error 2

10:04:29:104 2480 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

10:04:29:109 2480 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\drivers\klmd.sys) returned status 00000000

10:04:36:072 2480 UtilityInit: KLMD drop and load success

10:04:36:072 2480 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)

10:04:36:072 2480 UtilityInit: KLMD open success

10:04:36:072 2480 UtilityInit: Initialize success

10:04:36:072 2480

10:04:36:072 2480 Scanning Services ...

10:04:36:074 2480 CreateRegParser: Registry parser init started

10:04:36:074 2480 CreateRegParser: DisableWow64Redirection error

10:04:36:074 2480 wfopen_ex: Trying to open file C:\Windows\system32\config\system

10:04:36:074 2480 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\config\system) returned status C0000043

10:04:36:074 2480 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

10:04:36:074 2480 wfopen_ex: Trying to KLMD file open

10:04:36:074 2480 KLMD_CreateFileW: Trying to open file C:\Windows\system32\config\system

10:04:36:074 2480 wfopen_ex: File opened ok (Flags 2)

10:04:36:082 2480 CreateRegParser: HIVE_ADAPTER(C:\Windows\system32\config\system) init success: 16A2CD8

10:04:36:082 2480 wfopen_ex: Trying to open file C:\Windows\system32\config\software

10:04:36:082 2480 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\config\software) returned status C0000043

10:04:36:082 2480 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

10:04:36:082 2480 wfopen_ex: Trying to KLMD file open

10:04:36:082 2480 KLMD_CreateFileW: Trying to open file C:\Windows\system32\config\software

10:04:36:082 2480 wfopen_ex: File opened ok (Flags 2)

10:04:36:082 2480 CreateRegParser: HIVE_ADAPTER(C:\Windows\system32\config\software) init success: 16A2D00

10:04:36:082 2480 CreateRegParser: EnableWow64Redirection error

10:04:36:082 2480 CreateRegParser: RegParser init completed

10:04:38:757 2480 GetAdvancedServicesInfo: Raw services enum returned 410 services

10:04:38:764 2480 fclose_ex: Trying to close file C:\Windows\system32\config\system

10:04:38:767 2480 fclose_ex: Trying to close file C:\Windows\system32\config\software

10:04:38:767 2480

10:04:38:767 2480 Scanning Kernel memory ...

10:04:38:767 2480 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

10:04:38:767 2480 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 84DC6380

10:04:38:767 2480 DetectCureTDL3: KLMD_GetDeviceObjectList returned 2 DevObjects

10:04:38:767 2480

10:04:38:767 2480 DetectCureTDL3: DEVICE_OBJECT: 8A192AD8

10:04:38:767 2480 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8A192AD8

10:04:38:767 2480 DetectCureTDL3: DEVICE_OBJECT: 8A1B0410

10:04:38:767 2480 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8A1B0410

10:04:38:767 2480 KLMD_ReadMem: Trying to ReadMemory 0x8A1B0410[0x38]

10:04:38:767 2480 DetectCureTDL3: DRIVER_OBJECT: 8926B030

10:04:38:767 2480 KLMD_ReadMem: Trying to ReadMemory 0x8926B030[0xA8]

10:04:38:767 2480 KLMD_ReadMem: Trying to ReadMemory 0x89228F38[0x1E]

10:04:38:767 2480 DetectCureTDL3: DRIVER_OBJECT name: \Driver\USBSTOR, Driver Name: USBSTOR

10:04:38:769 2480 DetectCureTDL3: IrpHandler (0) addr: 8A40FB40

10:04:38:769 2480 DetectCureTDL3: IrpHandler (1) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (2) addr: 8A40FBB8

10:04:38:769 2480 DetectCureTDL3: IrpHandler (3) addr: 8A40FC30

10:04:38:769 2480 DetectCureTDL3: IrpHandler (4) addr: 8A40FC30

10:04:38:769 2480 DetectCureTDL3: IrpHandler (5) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (6) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (7) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler ( addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (9) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (10) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (11) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (12) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (13) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (14) addr: 8A40F828

10:04:38:769 2480 DetectCureTDL3: IrpHandler (15) addr: 8A4044AA

10:04:38:769 2480 DetectCureTDL3: IrpHandler (16) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (17) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (18) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (19) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (20) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (21) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (22) addr: 8A40DF9A

10:04:38:769 2480 DetectCureTDL3: IrpHandler (23) addr: 8A40B7A2

10:04:38:769 2480 DetectCureTDL3: IrpHandler (24) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (25) addr: 81C1D1D9

10:04:38:769 2480 DetectCureTDL3: IrpHandler (26) addr: 81C1D1D9

10:04:38:769 2480 KLMD_ReadMem: Trying to ReadMemory 0x8A406A44[0x400]

10:04:38:769 2480 TDL3_StartIoHookDetect: CheckParameters: 4, 8A40A000, 0

10:04:38:769 2480 TDL3_FileDetect: Processing driver: USBSTOR

10:04:38:769 2480 TDL3_FileDetect: Processing driver file: C:\Windows\system32\DRIVERS\USBSTOR.SYS

10:04:38:769 2480 KLMD_CreateFileW: Trying to open file C:\Windows\system32\DRIVERS\USBSTOR.SYS

10:04:38:784 2480 TDL3_FileDetect: C:\Windows\system32\DRIVERS\USBSTOR.SYS - Verdict: Clean

10:04:38:784 2480

10:04:38:784 2480 DetectCureTDL3: DEVICE_OBJECT: 84FCCAD8

10:04:38:784 2480 KLMD_GetLowerDeviceObject: Trying to get lower device object for 84FCCAD8

10:04:38:784 2480 DetectCureTDL3: DEVICE_OBJECT: 836E2268

10:04:38:784 2480 KLMD_GetLowerDeviceObject: Trying to get lower device object for 836E2268

10:04:38:784 2480 DetectCureTDL3: DEVICE_OBJECT: 836F45E8

10:04:38:784 2480 KLMD_GetLowerDeviceObject: Trying to get lower device object for 836F45E8

10:04:38:784 2480 KLMD_ReadMem: Trying to ReadMemory 0x836F45E8[0x38]

10:04:38:784 2480 DetectCureTDL3: DRIVER_OBJECT: 84100988

10:04:38:784 2480 KLMD_ReadMem: Trying to ReadMemory 0x84100988[0xA8]

10:04:38:784 2480 KLMD_ReadMem: Trying to ReadMemory 0x840439E0[0x1C]

10:04:38:784 2480 DetectCureTDL3: DRIVER_OBJECT name: \Driver\nvstor, Driver Name: nvstor

10:04:38:784 2480 DetectCureTDL3: IrpHandler (0) addr: 806AF60A

10:04:38:784 2480 DetectCureTDL3: IrpHandler (1) addr: 81C1D1D9

10:04:38:784 2480 DetectCureTDL3: IrpHandler (2) addr: 806AF565

10:04:38:787 2480 DetectCureTDL3: IrpHandler (3) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (4) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (5) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (6) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (7) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler ( addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (9) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (10) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (11) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (12) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (13) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (14) addr: 806AF6CB

10:04:38:787 2480 DetectCureTDL3: IrpHandler (15) addr: 8067FD0C

10:04:38:787 2480 DetectCureTDL3: IrpHandler (16) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (17) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (18) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (19) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (20) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (21) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (22) addr: 8068503B

10:04:38:787 2480 DetectCureTDL3: IrpHandler (23) addr: 806AF8FE

10:04:38:787 2480 DetectCureTDL3: IrpHandler (24) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (25) addr: 81C1D1D9

10:04:38:787 2480 DetectCureTDL3: IrpHandler (26) addr: 81C1D1D9

10:04:38:787 2480 TDL3_FileDetect: Processing driver: nvstor

10:04:38:787 2480 TDL3_FileDetect: Processing driver file: C:\Windows\system32\drivers\nvstor.sys

10:04:38:787 2480 KLMD_CreateFileW: Trying to open file C:\Windows\system32\drivers\nvstor.sys

10:04:38:794 2480 TDL3_FileDetect: C:\Windows\system32\drivers\nvstor.sys - Verdict: Clean

10:04:38:794 2480

10:04:38:797 2480 Completed

10:04:38:797 2480

10:04:38:797 2480 Results:

10:04:38:797 2480 Memory objects infected / cured / cured on reboot: 0 / 0 / 0

10:04:38:797 2480 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

10:04:38:799 2480 File objects infected / cured / cured on reboot: 0 / 0 / 0

10:04:38:799 2480

10:04:38:802 2480 MyNtCreateFileW: NtCreateFile(\??\C:\Windows\system32\drivers\klmd.sys) returned status 00000000

10:04:38:802 2480 UtilityDeinit: KLMD(ARK) unloaded successfully

 

 

 

 

3)

 

Fix Navipromo version 4.0.6 commencé le 18/01/2010 10:23:36,23

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

 

Microsoft® Windows Vista™ Professionnel ( v6.0.6000 )

X86-based PC ( Multiprocessor Free : AMD Athlon 64 Processor 3800+ )

BIOS : )Phoenix - Award WorkstationBIOS v6.00PG

USER : ACMF ( Administrator )

BOOT : Normal boot

 

Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)

 

 

A:\ (USB)

C:\ (Local Disk) - NTFS - Total:141 Go (Free:99 Go)

D:\ (CD or DVD)

E:\ (USB) - FAT - Total:1967 Mo (Free:1 Go)

 

 

Recherche executée en mode normal

 

 

Aucune Infection Navipromo/Egdaccess trouvée

 

 

 

*** Scan terminé 18/01/2010 10:24:02,90 ***

[pear]

C'est très bien.

 

Avez vous encore quelque problème ?