Votre question

Infecté par un trojan, voila mon rapport malwarebyte

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Avril 2009 13:28:01

Bonjour a tous, voila mon rapport MalwareByte. Vous pouvez m'aider???
Merci d'avance =)
Citation :
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1401
Windows 5.1.2600 Service Pack 2

04/04/2009 13:11:37
mbam-log-2009-04-04 (13-11-34).txt

Type de recherche: Examen rapide
Eléments examinés: 46031
Temps écoulé: 2 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eymscwy (Adware.Navipromo.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy.exe (Adware.Navipromo.H) -> No action taken.


Autres pages sur : infecte trojan rapport malwarebyte

4 Avril 2009 13:30:53

Salut et Bienvenue sur IDN,

Je suis V-X et je vais t'aider à te débarrasser de tes soucis.
Il y aura peut-être un certain délai entre mes réponses, car je suis en formation et mes réponses doivent être validées avant d'être postées."

Merci.
4 Avril 2009 14:30:00

Re,

Télécharge Navilog (de Il-Mafioso)

  • Enregistre-le sur ton Bureau.
  • Installe-le en double cliquant sur navilog.exe.
  • Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
    (Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau) [Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista)]
  • Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    /!\ N'utilise pas l'option 2, 3 et 4 sans notre accord /!\
  • Patiente jusqu'à l'apparition de ce message :
    *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

    Le rapport se trouve ici : C:\fixnavi.txt
    Contenus similaires
    4 Avril 2009 20:06:14

    Salut!! Merci de m'aider. Voila le rapport demandé:
    Citation :
    Search Navipromo version 3.7.6 commencé le 04/04/2009 à 19:30:07,64

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz )
    BIOS : Award Modular BIOS v6.00PG
    USER : koluche ( Administrator )
    BOOT : Normal boot

    Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated)


    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:34 Go (Free:11 Go)
    D:\ (Local Disk) - NTFS - Total:42 Go (Free:2 Go)
    E:\ (CD or DVD)
    F:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)
    G:\ (CD or DVD)


    Recherche executé en mode normal


    *** Recherche dossiers dans "C:\WINDOWS" ***


    *** Recherche dossiers dans "C:\Program Files" ***


    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\koluche\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\koluche\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\koluche\menudm~1\progra~1" ***


    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy.dat
    C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy_nav.dat
    C:\Documents and Settings\koluche\Local Settings\Application Data\eymscwy_navps.dat


    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\koluche\locals~1\applic~1" *



    *** Recherche fichiers ***



    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!


    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "iwyuc"="\"c:\\documents and settings\\koluche\\local settings\\application data\\iwyuc.exe\" iwyuc"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "eoiokyc"="\"c:\\documents and settings\\koluche\\local settings\\application data\\eoiokyc.exe\" eoiokyc"


    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :


    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :


    * Dans "C:\Documents and Settings\koluche\locals~1\applic~1" :

    eoiokyc.exe trouvé !
    eoiokyc.dat trouvé !
    eoiokyc_nav.dat trouvé !
    eoiokyc_navps.dat trouvé !

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :



    *** Analyse terminée le 04/04/2009 à 19:33:27,15 ***


    4 Avril 2009 23:41:07

    Re,

    Dans l'ordre:


  • Double clique sur le raccourci de Navilog.
  • Choisis l'option 2 puis valide. (Entrée)
  • Laisse toi guider.
  • Ton ordinateur va redémarrer, sinon fais le manuellement.
  • Ton bureau va disparaître.
  • Après un certain temps, le Bloc-notes va s'ouvrir.
  • Sauvegarde le rapport.
  • Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
    Tapes explorer et valide. Cela te fera apparaitre ton bureau


    Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    VIP

    Si tu les trouves, fais ceci :
    * Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
    * Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton navigateur.

    Ensuite pour chacun des certificats présents sur ton bureau :
    * Va sur le site Web :
    http://www.bleepingcomputer.com/submit-malware.php?channel=35
    * Copie/colle ceci dans la case 'Link to Topic' :
    le nom du certificat (Montorgueil ,......)
    * Copie/colle ceci dans la case 'Browse to the File' :
    Le certificat correspondant que tu avais exportés vers ton bureau

    Si c'est fait, supprime enfin le certificat présent sur ton bureau.

    Les programmes suivants installent cette infection :

    • Go-astro
    • GoRecord
    • HotTVPlayer
    • Live Player
    • MailSkinner
    • Messenger Skinner
    • Instant Access
    • InternetGameBox
    • sudoplanet
    • Webmediaplayer : sauf celui provenant du site suivant >http://www.azertysite.new.fr/
    • Sur le site www.games-desktop.com (Ne pas aller dessus!)
      _____________________________________________________________________________________________________________________________________
      Télécharge DDS de sUBs sur ton bureau.
      L'outil ne nécessite pas d'installation.

      Lance-le en cliquant sur l'icône dds.scr

      Cette fenêtre DOS va apparaitre


      Le scan ne doit pas dépasser trois minutes.
      Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.
      Il te sera demandé si tu veux faire le scan optionnel.
      Accepte par Oui
      Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.
      Tu ne le fourniras que si nécessaire.
      Poste le rapport DDS.txt

      A++
    5 Avril 2009 12:09:38

    Me revoila!! J'ai rien trouvé dans l'onglet "editeurs approuvés"
    Voila le rapprot DDS:
    Citation :

    DDS (Ver_09-03-16.01) - NTFSx86
    Run by koluche at 12:05:57,85 on 05/04/2009
    Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 1.6.0_11
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.507 [GMT 2:00]

    AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)

    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\WINDOWS\NOTEPAD.EXE
    C:\WINDOWS\ZSSnp211.exe
    C:\WINDOWS\Domino.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\lclock.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\Program Files\uTorrent\uTorrent.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Documents and Settings\koluche\Bureau\Google chrome\dds.scr

    ============== Pseudo HJT Report ===============

    uStart Page = hxxp://www.winlsd.org
    uWindow Title = Hacked by Godzilla
    uInternet Settings,ProxyOverride = *.local
    uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
    BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\fichiers communs\adobe\acrobat\activex\AcroIEHelperShim.dll
    BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
    BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
    BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
    BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
    BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
    uRun: [LClock] lclock.exe
    uRun: [MsnMsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background
    uRun: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\fichiers communs\nero\lib\NMBgMonitor.exe"
    uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
    uRun: [ares] "c:\program files\ares\Ares.exe" -h
    uRun: [Google Update] "c:\documents and settings\koluche\local settings\application data\google\update\GoogleUpdate.exe" /c
    uRun: [AdobeBridge]
    uRun: [iwyuc] "c:\documents and settings\koluche\local settings\application data\iwyuc.exe" iwyuc
    mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
    mRun: [nwiz] nwiz.exe /install
    mRun: [ZSSnp211] c:\windows\ZSSnp211.exe
    mRun: [Domino] c:\windows\Domino.exe
    mRun: [NeroFilterCheck] c:\program files\fichiers communs\nero\lib\NeroCheck.exe
    mRun: [NBKeyScan] "c:\program files\nero\nero8\nero backitup\NBKeyScan.exe"
    mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
    mRun: [avgnt] "c:\program files\avira\antivir personaledition classic\avgnt.exe" /min
    mRun: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
    mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
    mRun: [AppleSyncNotifier] c:\program files\fichiers communs\apple\mobile device support\bin\AppleSyncNotifier.exe
    mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
    mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
    mRun: [AdobeCS4ServiceManager] "c:\program files\fichiers communs\adobe\cs4servicemanager\CS4ServiceManager.exe" -launchedbylogin
    mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    dRunOnce: [LSD_III] %systemroot%\LSD\end.cmd
    dRunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
    StartupFolder: c:\docume~1\koluche\menudm~1\progra~1\dmarra~1\utorrent.lnk - c:\program files\utorrent\uTorrent.exe
    uPolicies-explorer: ForceClassicControlPanel = 1 (0x1)
    uPolicies-explorer: NoSMBalloonTip = 0 (0x0)
    DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - hxxp://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    TCP: {C77CB3AF-4F1B-4ED7-8CBD-BC0D4A250836} = 89.2.0.1,89.2.0.2

    ================= FIREFOX ===================

    FF - ProfilePath - c:\docume~1\koluche\applic~1\mozilla\firefox\profiles\cpkaiyk9.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig
    FF - plugin: c:\documents and settings\koluche\local settings\application data\google\update\1.2.141.5\npGoogleOneClick7.dll
    FF - plugin: c:\program files\fichiers communs\parallelgraphics\cortona\npCortona.dll
    FF - plugin: c:\program files\mozilla firefox\plugins\npCortona.dll

    ============= SERVICES / DRIVERS ===============

    R1 avgio;avgio;c:\program files\avira\antivir personaledition classic\avgio.sys [2008-9-18 11840]
    R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Scheduler;c:\program files\avira\antivir personaledition classic\sched.exe [2008-9-18 68865]
    R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard;c:\program files\avira\antivir personaledition classic\avguard.exe [2008-9-18 151297]
    R3 avgntflt;avgntflt;c:\program files\avira\antivir personaledition classic\avgntflt.sys [2008-9-18 52032]
    S3 npkycryp;npkycryp;\??\d:\jeux\l2\system\npkycryp.sys --> d:\jeux\l2\system\npkycryp.sys [?]

    =============== Created Last 30 ================

    2009-04-04 19:28 <DIR> --d----- c:\program files\Navilog1
    2009-04-01 19:48 5,540 a------- C:\MACDR001.CST
    2009-03-31 19:03 <DIR> --d----- c:\program files\WowCartographe
    2009-03-29 15:14 <DIR> --d----- c:\docume~1\alluse~1\applic~1\2DBoy
    2009-03-25 20:39 <DIR> --d----- c:\program files\fichiers communs\Blizzard Entertainment
    2009-03-23 19:34 <DIR> --d----- c:\program files\NCSoft
    2009-03-18 20:02 368,640 a------- c:\windows\system32\ReWire.dll
    2009-03-18 20:02 233,472 a------- c:\windows\system32\REX Shared Library.dll
    2009-03-18 19:42 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Propellerhead Software
    2009-03-18 19:42 <DIR> --d----- c:\docume~1\koluche\applic~1\Propellerhead Software

    ==================== Find3M ====================

    2009-03-29 14:16 504,492 a------- c:\windows\system32\perfh00C.dat
    2009-03-29 14:16 83,046 a------- c:\windows\system32\perfc00C.dat
    2009-02-06 19:52 49,504 a------- c:\windows\system32\sirenacm.dll
    2009-02-01 13:19 3,754 a--shr-- C:\MS32DLL.dll.vbs
    2009-02-01 13:19 3,754 a------- c:\windows\MS32DLL.dll.vbs
    2008-09-30 21:31 920 a------- c:\docume~1\koluche\applic~1\filterclsid.dat

    ============= FINISH: 12:06:16,51 ===============


    Merci pour tout ce que tu fais =)
    5 Avril 2009 12:11:30

    Re,

    Il manque le rapport de Navilog 1

    A++
    5 Avril 2009 16:18:39

    Re, desolé j'ai zappé =)
    Voila le rapport (c'est bien cleannavi.txt?)
    Citation :
    Clean Navipromo version 3.7.6 commencé le 05/04/2009 à 12:00:46,39

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz )
    BIOS : Award Modular BIOS v6.00PG
    USER : koluche ( Administrator )
    BOOT : Normal boot

    Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Not Activated)


    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:34 Go (Free:11 Go)
    D:\ (Local Disk) - NTFS - Total:42 Go (Free:2 Go)
    E:\ (CD or DVD)
    F:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)
    G:\ (CD or DVD)


    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS


    Nettoyage exécuté au redémarrage de l'ordinateur

    *** Creation backups fichiers trouvés par Catchme ***

    Copie vers "C:\Program Files\navilog1\Backupnavi"


    *** Suppression des fichiers trouvés avec Catchme ***


    ** 2ème passage avec résultats Catchme **

    * Dans "C:\WINDOWS\system32" *



    * Dans "C:\Documents and Settings\koluche\locals~1\applic~1" *



    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\WINDOWS\System32" *


    * Suppression dans "C:\Documents and Settings\koluche\locals~1\applic~1" *



    *** Suppression dossiers dans "C:\WINDOWS" ***


    *** Suppression dossiers dans "C:\Program Files" ***


    *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


    *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\koluche\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\koluche\locals~1\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\koluche\menudm~1\progra~1" ***



    *** Suppression fichiers ***


    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\koluche\locals~1\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :


    * Dans "C:\WINDOWS\system32" *



    * Dans "C:\Documents and Settings\koluche\locals~1\applic~1" *


    eoiokyc.exe trouvé !
    Copie eoiokyc.exe réalisée avec succès !
    eoiokyc.exe supprimé !

    eoiokyc.dat trouvé !
    Copie eoiokyc.dat réalisée avec succès !
    eoiokyc.dat supprimé !

    eoiokyc_nav.dat trouvé !
    Copie eoiokyc_nav.dat réalisée avec succès !
    eoiokyc_nav.dat supprimé !

    eoiokyc_navps.dat trouvé !
    Copie eoiokyc_navps.dat réalisée avec succès !
    eoiokyc_navps.dat supprimé !


    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok


    *** Certificats ***

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Recherche autres dossiers et fichiers connus ***



    *** Nettoyage terminé le 05/04/2009 à 12:03:12,40 ***



    5 Avril 2009 16:21:23

    Re,

    Refait l'option 1 de navilog .... ;) 
    5 Avril 2009 18:28:28

    Sa paraiisait pourtant logique ^^ Désolé :p 
    Le voici:
    Citation :
    Search Navipromo version 3.7.6 commencé le 05/04/2009 à 18:22:59,93

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz )
    BIOS : Award Modular BIOS v6.00PG
    USER : koluche ( Administrator )
    BOOT : Normal boot

    Antivirus : Avira AntiVir PersonalEdition 8.0.1.30 (Activated)


    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:34 Go (Free:18 Go)
    D:\ (Local Disk) - NTFS - Total:42 Go (Free:2 Go)
    E:\ (CD or DVD)
    F:\ (CD or DVD)
    G:\ (CD or DVD)


    Recherche executé en mode normal


    *** Recherche dossiers dans "C:\WINDOWS" ***


    *** Recherche dossiers dans "C:\Program Files" ***


    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\koluche\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\koluche\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\koluche\menudm~1\progra~1" ***


    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net



    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\koluche\locals~1\applic~1" *



    *** Recherche fichiers ***



    *** Recherche clés spécifiques dans le Registre ***
    !! Les clés trouvées ne sont pas forcément infectées !!


    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "iwyuc"="\"c:\\documents and settings\\koluche\\local settings\\application data\\iwyuc.exe\" iwyuc"


    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :


    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :


    * Dans "C:\Documents and Settings\koluche\locals~1\applic~1" :


    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche autres dossiers et fichiers connus :



    *** Analyse terminée le 05/04/2009 à 18:25:27,64 ***
    5 Avril 2009 21:43:50

    Re,

    Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

  • Double clique sur HJTInstall.exe pour lancer l'installation.
  • Clique sur Install.
  • Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
  • Accepte la licence en cliquant sur Yes.
  • Clique sur Do a system scan and save a logfile.
  • Poste ici le rapport généré.

    Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

    Aide:Tuto hijackthis(Merci à Balltrap34)
    6 Avril 2009 19:40:54

    Le voici =)
    encore merci =)
    Citation :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:38:58, on 06/04/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\ZSSnp211.exe
    C:\WINDOWS\Domino.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\lclock.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
    C:\Program Files\uTorrent\uTorrent.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winlsd.org
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
    O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.CPL,CMICtrlWnd
    O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LClock] lclock.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
    O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\koluche\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [iwyuc] "c:\documents and settings\koluche\local settings\application data\iwyuc.exe" iwyuc
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
    O4 - Startup: uTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C77CB3AF-4F1B-4ED7-8CBD-BC0D4A250836}: NameServer = 89.2.0.1,89.2.0.2
    O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 8315 bytes


    7 Avril 2009 00:19:46

    Re,

    Relance Hijackthis (clique droit -> lancer en tant qu'adminstrateur sous Vista), do a system scan only, coche ces lignes (si toujours présentes) :

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O4 - HKCU\..\Run: [iwyuc] "c:\documents and settings\koluche\local settings\application data\iwyuc.exe" iwyuc


  • Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
  • Puis Fix Checked !
    ________________________________________________________________________________________________________________________________________
    Met à jour malwarebyte:

  • Ouvre Malwarebyte;
  • Clic sur L'onglet "Mise à jour"
  • Puis clic sur"Recherche de Mise à jour"

    Pour info:Le version actuel et la 1.35 et la version de la base et la 1945

  • Fais redémarrer ton ordinateur en mode sans échec
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    ---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
    ~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

    Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!

    Aide :
  • Comment utiliser MBAM.
  • Comment faire démarrer son ordinateur en mode sans échec.

    _____________________________________________________________________________________________________________________________________

    Poste le second rapport de DDS, attach.txt

    Ensuite ,tu as pas mal de P2P

    Je t'invite à lire cette article sur les dangers du P2P.

    :>>Les Dangers du P2P !<<
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS