Se connecter / S'enregistrer
Votre question

Probleme: VIRUS ALERT!

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Juillet 2008 19:04:32

Bonjour a tous!

Comme pas mal de personnes apparemment je me pris la saleté qui vous affiche "VIRUS ALERT!" a gauche de l horloge. Ce truc m empeche d acceder a pas mal de fonctionnalités du panneau démarrer, a effacer plusieurs raccourcis sur mon bureau et m empeche de parcourir l'une de mes partitions ( qui contient pas mal de fichiers importants: photos, cours etc). Un ptit coup de main serait la bienvenue: j ai deja fait plusieurs scans démarrage avec avast et la un scan est en cours.

Merci d avance, Hit0.

Autres pages sur : probleme virus alert

30 Juillet 2008 19:16:09

Bonjour,


Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

  • Double clique sur HJTInstall.exe pour lancer l'installation.
  • Clique sur Install.
  • Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
  • Accepte la licence en cliquant sur Yes.
  • Clique sur "Do a system scan and save a logfile".
  • Poste ici[ le rapport généré.

    Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

    Aide : Comment utiliser HijackThis.

    ;) 
    30 Juillet 2008 19:23:31

    Merci pour la rapidité de ta réponse Meryllim! Voici le log créé par HijackThis ( ouvert dans le bloc note a la fin de l'éxécution, je précise au cas ou ce ne serait pas cela que tu attends):

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:21: VIRUS ALERT!, on 30/07/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    d:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\PnkBstrA.exe
    C:\WINDOWS\System32\PnkBstrB.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    d:\Program Files\Alwil Software\Avast4\ashSimpl.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6...
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: fdkowvbp - {BE19C4CA-A1DB-4BDD-8CC0-EB2E37C7110A} - C:\WINDOWS\fdkowvbp.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [MixWebUserDefault] C:\Documents and Settings\All Users\Application Data\Gram Math Mix Web\Trans Locks.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
    O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [ovilkzt] c:\windows\system32\ovilkzt.exe ovilkzt
    O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\hitokiri\lsass.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [bcc9b54c] rundll32.exe "C:\WINDOWS\System32\awgnmeyi.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [SAFE TIME] C:\DOCUME~1\hitokiri\APPLIC~1\LONGBE~1\thisclose.exe
    O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
    O4 - HKCU\..\Run: [Tuae] "C:\WINDOWS\RACLE~1\dllhost.exe" -vt yazb
    O4 - HKCU\..\Run: [Hstlbfo] "C:\Documents and Settings\hitokiri\Mes documents\W?nSxS\l?gonui.exe"
    O4 - HKCU\..\Run: [SfKg6w] C:\Documents and Settings\hitokiri\Application Data\Microsoft\Windows\tnvhn.exe
    O4 - HKCU\..\Run: [WinTouch] C:\Documents and Settings\hitokiri\Application Data\WinTouch\WinTouch.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-21-1220945662-299502267-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'postgres')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer = 89.2.0.1,89.2.0.2
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 89.2.0.1 89.2.0.2
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 89.2.0.1 89.2.0.2
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 89.2.0.1 89.2.0.2
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O21 - SSODL: eqvwamkl - {9C98C9AD-77DA-4A3F-B224-91DFEEAEBECF} - C:\WINDOWS\eqvwamkl.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
    O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

    --
    End of file - 6488 bytes
    Contenus similaires
    30 Juillet 2008 19:33:10

    Re,

    Tu as plusieurs infections caractéristiques, on va commencer par les cibler précisément avec les fix appropriés. Ensuite nous supprimerons le reste :) 

    ***

    Si tu as des protections résidentes, désactive-les ( Avast! etc. ).

    1) Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), clique sur "do a system scan only", coche ces lignes ( si présentes ) :

    Citation :
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


    Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
    Puis Fix Checked ! N.B : Il est très important de fermer toutes les applications en cours et de se déconnecter d'internet pour fixer avec hijackthis au risque d'interférer avec les résultats de la manip'.

    Redémarre le PC pour que les changements soient pris en compte.

    2) Télécharge DAFT :
  • Sauvegarde-le sur ton bureau.
  • Double-clique sur l'icône de DAFT, présente sur ton bureau.
  • Clique sur le bouton scan.
  • Sélectionne tout ce qui apparaît.
  • Clique sur le bouton fix.
  • Ensuite relance DAFT et re-scan avec, Si un message du type "All associations are OK" apparaît c'est que tout est OK,
  • Ferme DAFT.

    3) Enregistre-le sur ton Bureau.
    Installe-le en double cliquant sur navilog.exe.
    Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
    (Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

    Une fois l'installation terminée, fais un clic droit sur le raccourci navilog1 puis choisis "Exécuter en tant qu'administrateur". ( Pour Vista)

    Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    ! N'utilise pas l'option 2,3 et 4 sans notre accord !
    Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
    Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

    Le rapport se trouve ici :C:\fixnavi.txt

    4) Télécharge SmitfraudFix (de S!ri).

  • Enregistre le sur ton Bureau.
  • Lance-le en double cliquant sur SmitfraudFix.exe
  • Appuie sur une touche comme demandé.
  • Exécute l’option 1, un rapport va apparaître, poste le.

    Le rapport se trouve ici : C:\rapport.txt

    ;) 
    30 Juillet 2008 20:02:23

    Désolé, je vais ptetre passer pour un boulet...

    Etape 1: ok.

    Etape2: j ai téléchargé DAFT et suivi tes conseils. Seulement des le 1er scan le message "All associations are OK" est apparu (tant mieux?). J ai sauvegardé le log ( fichier daft.txt apparu sur le bureau) au cas ou.

    Etape 3: ok. Voici le log:

    Search Navipromo version 2.0.2 commencé le 30/07/2008 à 19:58:51,87

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***




    *** Recherche dossiers dans C:\WINDOWS ***


    C:\WINDOWS\msskinner trouvé !


    *** Recherche dossiers dans C:\Program Files ***




    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




    *** Recherche dossiers dans C:\Documents and Settings\hitokiri\Application Data ***



    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    http://www.f-secure.com/blacklight/blacklight_help.html


    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1061.

    [+] Started on 07/30/08 at 19:58:52.
    [-] ERROR: This version of F-Secure BlackLight has expired.
    [+] Exited on 07/30/08 at 19:58:52 (return code = 3).


    *** Recherche fichiers ***


    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !


    *** Recherche cles registre ***


    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_USERS\S-1-5-21-1220945662-299502267-725345543-1003\Software\Lanconfig trouvé !


    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    C:\WINDOWS\system32\Abbcffhk.ini2 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\eegPrtwa.ini2 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\HhgfNnnn.ini2 trouvé ! infection Vundo possible non traité par cet outil !
    C:\WINDOWS\system32\SAGgPqss.ini2 trouvé ! infection Vundo possible non traité par cet outil !

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\ovilkzt.dat trouvé !
    **
    C:\WINDOWS\system32\ovilkzt.dat trouvé !
    ***
    ****
    *****
    C:\WINDOWS\system32\ovilkzt_nav.dat trouvé !
    C:\WINDOWS\system32\znlckoc_navtmp.dat trouvé !
    ******
    *******
    ********


    *** Analyse Terminé le 30/07/2008 à 19:59:02,81 ***


    Etape 4: ok. Voici le log:

    SmitFraudFix v2.332

    Rapport fait à 20:01:18,07, 30/07/2008
    Executé à partir de C:\Documents and Settings\hitokiri\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    d:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    D:\Program Files\QuickTime\qttask.exe
    D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\PnkBstrA.exe
    C:\WINDOWS\System32\PnkBstrB.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Documents and Settings\hitokiri\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\System32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    C:\WINDOWS\privacy_danger PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\hitokiri


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\hitokiri\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\hitokiri\Favoris

    C:\DOCUME~1\hitokiri\Favoris\Error Cleaner.url PRESENT !
    C:\DOCUME~1\hitokiri\Favoris\Privacy Protector.url PRESENT !
    C:\DOCUME~1\hitokiri\Favoris\Spyware?Malware Protection.url PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
    "SubscribedURL"=""
    "FriendlyName"="Privacy Protection"

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    [!] Suspicious: fdkowvbp.dll
    Toolbar: fdkowvbp - {BE19C4CA-A1DB-4BDD-8CC0-EB2E37C7110A}
    TypeLib: {D08059A9-206B-439E-B52F-6D6D6FBF4C04}
    Interface: {D25F7AC9-132A-4B49-85B8-510E8B4A4CC0}
    Classe: fdkowvbp.bxqw
    Classe: fdkowvbp.ToolBar.1

    [!] Suspicious: eqvwamkl.dll
    SSODL: eqvwamkl - {9C98C9AD-77DA-4A3F-B224-91DFEEAEBECF}


    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Rustock



    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 89.2.0.1
    DNS Server Search Order: 89.2.0.2

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Merci encore :) 

    Edit: Je précise, au cas ou, que je n ai pas coupé la protection résidente apres le reboot ni fermé toutes les applications ( en l'occurence seulement firefox). Cela pose t'il un probleme?
    30 Juillet 2008 20:29:14

    Re,

    Tu as utilisé une version obsolète de Navilog1, désinstalle-la et télécharge celle que je t'ai indiquée et refais la manip' avec Navilog1.

    Idem pour Smitfraudfix, as-tu pris ma version ou utilisé une ancienne ?

    ;) 
    30 Juillet 2008 20:45:30

    Yop

    Malheureusement tu ne m as pas indiqué de version particuliere de navilog, aurais tu un lien ou bien un le numéro de cette version?

    Pour Smitfraudfix, en revanche, j ai suivi le lien que tu avais indiqué.

    J'anticipe: une fois la bonne version de navilog récupérée, je refais la manip comme tu l as dit, mais dois je refaire celle avec smitfraudfix ( la seconde depend pitetre de la premiere, j'en sais rien alors... :p  )
    30 Juillet 2008 20:52:12

    Citation :
    Malheureusement tu ne m as pas indiqué de version particuliere de navilog, aurais tu un lien ou bien un le numéro de cette version?


    Oups, tu as raison :whistle: 

    > Télécharge Navilog (de Il-Mafioso)

    Citation :
    Pour Smitfraudfix, en revanche, j ai suivi le lien que tu avais indiqué.


    Donc c'est ok :) 

    On résume : pour l'instant tu n'as que le scan avec Navilog1 à faire :)  J'attends le rapport.

    Bonne soirée :) 
    30 Juillet 2008 21:00:03

    Woh y a deja du mieux: je vois les partitions dans mon poste de travail eheh :p 

    Voici le log navilog:

    Search Navipromo version 3.6.1 commencé le 30/07/2008 à 20:58:30,98

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "hitokiri"

    Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO


    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2800.1106
    Système de fichiers :

    Recherche executé en mode normal

    *** Recherche Programmes installés ***


    *** Recherche dossiers dans "C:\WINDOWS" ***

    C:\WINDOWS\msskinner trouvé !

    *** Recherche dossiers dans "C:\Program Files" ***


    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\hitokiri\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\postgres\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\postgres\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\hitokiri\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\postgres\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Scan Catchme non réalisé.
    Droits limités sur la session actuelle.

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" *

    * Recherche dans "C:\DOCUME~1\postgres\locals~1\applic~1" *



    *** Recherche fichiers ***


    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :


    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    ovilkzt.dat trouvé !
    ovilkzt_nav.dat trouvé !
    ovilkzt_navps.dat trouvé !
    znlckoc_navtmp.dat trouvé !

    * Dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" :


    * Dans "C:\DOCUME~1\postgres\locals~1\applic~1" :


    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    C:\WINDOWS\system32\Abbcffhk.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\eegPrtwa.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\HhgfNnnn.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\SAGgPqss.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


    *** Analyse terminée le 30/07/2008 à 20:58:54,79 ***
    31 Juillet 2008 00:37:22

    Re,

    Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

    1) Télécharge SDFix (d’Andy Manchesta)

  • Enregistre le sur ton le bureau.
  • Lance le.
  • Fais install afin qu’il puisse s’extraire.
    Fais redémarrer ton ordinateur en mode sans échec
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavierjusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    ---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\
  • Double clique sur RunThis.bat (L’extension bat peut ne pas apparaître)
  • Appuie sur Y pour le lancer.
  • Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
  • Il est probable que le redémarrage soit un peu plus long que d’habitude.
  • Une fois l’apparition de ton Bureau, il affichera Finished
  • Appuie sur une touche.
  • Un rapport est généré , poste le dans ta réponse.

    Il se trouve également. dans le dossier SDFix >Report.txt<

    Note : Si SDFix ne se lance pas (ça arrive!)

    * Démarrer->Exécuter
    * Copie/colle ceci:
    Citation :
    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

    * Clique sur ok, et valide.
    * Redémarre et essaye de nouveau de lancer SDFix.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.

    2) Toujours en mode sans échec :

    Double clique sur le raccourci de navilog1.
    Option 2 puis valide. (entrée)
    Laisse toi guider.
    Ton ordinateur va redémarrer, sinon fais le manuellement.

    Ton bureau va disparaître.

    Patiente jusqu'à l'apparition de ce message :
    "*** Nettoyage Termine le ..... ***"

    Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
    Sauvegarde le rapport.
    Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
    Tapes explorer et valide. Cela te fera apparaitre ton bureau


    Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    Montorgueil ; VIP

    ~~> Supprime-les si présents ! (pas les autres) <~~

    Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
    ;) 

    +++++++++++

    Les programmes suivants installent cette infection :

    * Go-astro
    * GoRecord
    * HotTVPlayer
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * sudoplanet
    * Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
    * Sur le site www.games-desktop.com (Ne pas aller dessus!)

    3) Toujours en mode sans échec :

    Lance SmitfraudFix.exe et choisis cette fois l'Option 2 et réponds oui à la ou les questions.
    Sauvegarde le rapport sur ton Bureau.

    Redémarre normalement.

    Poste le rapport généré par SmitfraudFix.

    4) Redémarre en mode normal !

    Télécharge Combofix à partir d'**ICI** ou bien **ICI** et enregistre-le sur ton bureau.

    **Note 1 : Dans le cas où tu aurais déjà une version de combofix, il faudra que tu en télécharges une autre, la toute dernière. De plus il est très important de le sauvegarder directement sur ton bureau.**

  • Merci de ne jamais renommer Combofix, sauf si cela t'es expressément demandé.
  • Ferme toutes les fenêtres en cours, sans exception.
  • Désactive toutes les protections résidentes de tous tes logiciels antivirus, antispyware etc. afin que ces derniers n'interfèrent pas avec le bonfonctionnement de Combofix.
    Très important : Désactive temporairement toutes tes protections résidentes de tous tes logiciels de sécurité avant de lancer un scan avec Combofix. Ils risqueraient d'altérer le bon déroulement du scan de Combofix, ce qui pourrait avoir des conséquences imprévues et désastreuses.
  • Clique sur ce lien pour voir une liste de programmes qui devraient systématiquement être désactivés avant l'utilisation de combofix. A noter que la liste n'est pas exhaustive. Si ton logiciel de sécurité n'est pas dans cette liste et que tu ne sais pas comment le désactiver, ou que tu ne comprends pas l'anglais :p  , merci de me poser la question.
  • ATTENTION : Combofix va automatiquement te déconnecter d'internet dès que le scan débute.
  • Merci ne pas essayer de reconnecter ta machine à internet tant que combofix n'a pas fini son travail.
  • Si jamais tu n'arrives plus à te connecter à internet après l'utilisation de combofix, redémarre ton PC pour restaurer la connexion à internet.
  • Double clique sur combofix.exe et suis les instructions qui s'affichent.
  • Quand le scan sera fini, un rapport devrait normalement s'afficher à l'écran.
  • Merci de poster le rapport suivant, "C:\ComboFix.txt" , dans votre prochaine réponse, accompagné d'un nouveau rapport HiJackThis.

    **Note 2 : Ne pas cliquer dans la fenêtre de combofix pendant qu'il travaille. Tu risquerais de planter le PC et de causer d'importants dommages.**

    ;) 
    31 Juillet 2008 16:22:35

    Ptit probleme avec SDFix apparemment. En le lancant en mode sans échec ( apres avoir tapper 'y' ) j obtiens le message:

    "nom de commande ou de fichier incorrect
    impossbile de charger le support IPX/SPX VDM"

    En relancant en mode normal pour pouvoir te le signaler, SDFix se lance et affiche:

    "Finishing malware check, this may take a several minutes"

    Puis a nouveau le message précédent "nom de commande ou de fichier incorrect impossbile de charger le support IPX/SPX VDM" réapparait

    :/ 
    31 Juillet 2008 16:23:10

    Re,

    Oki laisse tomber Sdfix et fais les manip' suivantes.

    ;) 
    31 Juillet 2008 18:13:49

    Alors, désolé pour le délai mais j avais quelques tits trucs a faire entre temps.

    Etape 1: SDFix on a laissé tomber

    Etape 2: Ok, si ce n est que ca ne s est pas exactement déroulé comme tu l avais décrit. Le rapport est apparu tout de suite apres le scan de navilog, je n ai pas eu a redémarrer. De plus je n ai pas trouvé montorgueil et vip dans mes certificats ( encore une fois, je le précise juste afin que tu aies toutes les infos )

    Voici le log:

    Clean Navipromo version 3.6.1 commencé le 31/07/2008 à 16:30:52,37

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "hitokiri"

    Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO


    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2800.1106
    Système de fichiers : NTFS

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS


    Nettoyage executé en mode sans échec


    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\WINDOWS\System32" *


    * Suppression dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" *


    * Suppression dans "C:\DOCUME~1\postgres\locals~1\applic~1" *


    *** Suppression dossiers dans "C:\WINDOWS" ***

    C:\WINDOWS\msskinner ...suppression...
    C:\WINDOWS\msskinner supprimé !


    *** Suppression dossiers dans "C:\Program Files" ***


    *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


    *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\hitokiri\applic~1" ***


    *** Suppression dossiers dans "C:\DOCUME~1\postgres\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" ***


    *** Suppression dossiers dans "C:\DOCUME~1\postgres\locals~1\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\hitokiri\menudm~1\progra~1" ***


    *** Suppression dossiers dans "C:\DOCUME~1\postgres\menudm~1\progra~1" ***



    *** Suppression fichiers ***

    C:\WINDOWS\pack.epk supprimé !
    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\hitokiri\locals~1\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :


    * Dans "C:\WINDOWS\system32" *


    ovilkzt.dat trouvé !
    Copie ovilkzt.dat réalisée avec succès !
    ovilkzt.dat supprimé !

    ovilkzt_nav.dat trouvé !
    Copie ovilkzt_nav.dat réalisée avec succès !
    ovilkzt_nav.dat supprimé !

    ovilkzt_navps.dat trouvé !
    Copie ovilkzt_navps.dat réalisée avec succès !
    ovilkzt_navps.dat supprimé !


    * Dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" *


    * Dans "C:\DOCUME~1\postgres\locals~1\applic~1" *


    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok


    *** Certificats ***

    Certificat Egroup supprimé !
    Certificat Electronic-Group supprimé !
    Certificat OOO-Favorit supprimé !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Nettoyage terminé le 31/07/2008 à 16:32:49,45 ***



    Etape 3: ok, voici le log:

    SmitFraudFix v2.332

    Rapport fait à 16:42:14,12, 31/07/2008
    Executé à partir de C:\Documents and Settings\hitokiri\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri
    C:\WINDOWS\fdkowvbp.dll deleted.
    C:\WINDOWS\eqvwamkl.dll deleted.


    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.


    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\privacy_danger\ supprimé
    C:\DOCUME~1\hitokiri\Favoris\Error Cleaner.url supprimé
    C:\DOCUME~1\hitokiri\Favoris\Privacy Protector.url supprimé
    C:\DOCUME~1\hitokiri\Favoris\Spyware?Malware Protection.url supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2


    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin



    Etape 4: ok, voici le log:

    ComboFix 08-07-30.02 - hitokiri 2008-07-31 16:51:00.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.645 [GMT 2:00]
    Endroit: C:\Documents and Settings\hitokiri\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\SecuriSoft SARL
    C:\Documents and Settings\All Users\Application Data\SecuriSoft SARL\WinSpywareProtect\LOG\20080730012500593.log
    C:\Documents and Settings\All Users\Application Data\WinAntiVirus Pro 2006
    C:\Documents and Settings\hitokiri\Application Data\macromedia\Flash Player\#SharedObjects\E2HQ6L56\www.broadcaster.com
    C:\Documents and Settings\hitokiri\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
    C:\Documents and Settings\hitokiri\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
    C:\Documents and Settings\hitokiri\Application Data\WinTouch
    C:\Documents and Settings\hitokiri\Application Data\WinTouch\wintouch.cfg
    C:\Documents and Settings\hitokiri\Local Settings\Temporary Internet Files\CPV.stt
    C:\Documents and Settings\hitokiri\Menu Démarrer\Programmes\Outerinfo
    C:\Documents and Settings\hitokiri\Menu Démarrer\Programmes\Outerinfo\Terms.lnk
    C:\Documents and Settings\hitokiri\Menu Démarrer\Programmes\Outerinfo\Uninstall.lnk
    C:\Documents and Settings\hitokiri\Mes documents\WNSXS~1
    C:\Documents and Settings\LocalService\Application Data\NetMon
    C:\Documents and Settings\LocalService\Application Data\NetMon\domains.txt
    C:\Documents and Settings\LocalService\Application Data\NetMon\log.txt
    C:\Program Files\CPV
    C:\Program Files\nvcoi
    C:\Program Files\nvcoi\mst.stt
    C:\Program Files\outerinfo
    C:\Program Files\outerinfo\FF\chrome.manifest
    C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt
    C:\Program Files\outerinfo\FF\install.rdf
    C:\Program Files\outerinfo\Terms.rtf
    C:\Program Files\Temporary
    C:\Temp\1cb
    C:\Temp\1cb\syscheck.log
    C:\WA6P
    C:\WINDOWS\BMbffa86d0.xml
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\efqw.exe
    C:\WINDOWS\grswptdl.exe
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\racle~1
    C:\WINDOWS\racle~1\?racle\
    C:\WINDOWS\system32\Abbcffhk.ini
    C:\WINDOWS\system32\Abbcffhk.ini2
    C:\WINDOWS\system32\awtrPgee.dll
    C:\WINDOWS\system32\byppxa.dll
    C:\WINDOWS\system32\drivers\msliksurserv.sys
    C:\WINDOWS\system32\dxjkinwq.ini
    C:\WINDOWS\system32\edlhgaup.ini
    C:\WINDOWS\system32\eegPrtwa.ini
    C:\WINDOWS\system32\eegPrtwa.ini2
    C:\WINDOWS\system32\fsbmwdet.dll
    C:\WINDOWS\system32\HhgfNnnn.ini
    C:\WINDOWS\system32\HhgfNnnn.ini2
    C:\WINDOWS\system32\hxdpkiax.ini
    C:\WINDOWS\system32\iyemngwa.ini
    C:\WINDOWS\system32\kuetxtcs.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\system32\msliksurcredo.dll
    C:\WINDOWS\system32\msliksurdns.dll
    C:\WINDOWS\system32\msnav32.ax
    C:\WINDOWS\system32\nldxrvvc.dll
    C:\WINDOWS\system32\pac.txt
    C:\WINDOWS\system32\pxncogcw.ini
    C:\WINDOWS\system32\qbmhnxfx.ini
    C:\WINDOWS\system32\rdxpxdnm.ini
    C:\WINDOWS\system32\SAGgPqss.ini
    C:\WINDOWS\system32\SAGgPqss.ini2
    C:\WINDOWS\system32\sfsndfke.ini
    C:\WINDOWS\system32\skwtfevx.ini
    C:\WINDOWS\system32\stera.job
    C:\WINDOWS\system32\stera.log
    C:\WINDOWS\system32\vfocidyt.ini
    C:\WINDOWS\system32\vwrmpwca.ini
    C:\WINDOWS\system32\W007T32W.DLL
    C:\WINDOWS\system32\xjonprrr.ini
    C:\WINDOWS\system32\zftuup.dll
    C:\WINDOWS\system32\znlckoc_navtmp.dat
    C:\WINDOWS\uninstall_nmon.vbs

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_CMDSERVICE
    -------\Legacy_NETWORK_MONITOR
    -------\Legacy_VSPF
    -------\Legacy_VSPF_HK


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-28 to 2008-07-31 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-31 16:42 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2008-07-31 16:42 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2008-07-31 16:42 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
    2008-07-31 16:42 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
    2008-07-31 16:42 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
    2008-07-31 16:42 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
    2008-07-31 16:42 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-07-31 16:42 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2008-07-31 16:42 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2008-07-31 16:01 . 2008-07-31 16:01 <REP> d-------- C:\WINDOWS\ERUNT
    2008-07-31 16:01 . 2008-07-31 16:07 9,216 --ahs---- C:\WINDOWS\Thumbs.db
    2008-07-31 15:57 . 2008-07-31 15:57 <REP> d-------- C:\Program Files\SDFix
    2008-07-30 20:57 . 2008-07-31 16:32 <REP> d-------- C:\Program Files\Navilog1
    2008-07-30 20:01 . 2008-07-31 16:42 1,998 --a------ C:\WINDOWS\system32\tmp.reg
    2008-07-30 19:21 . 2008-07-30 19:21 <REP> d-------- C:\Program Files\Trend Micro
    2008-07-30 17:43 . 2008-07-30 17:43 99,456 --a------ C:\WINDOWS\system32\awgnmeyi.dll
    2008-07-29 15:32 . 2008-07-30 18:44 <REP> d-------- C:\Documents and Settings\hitokiri\Contacts
    2008-07-29 02:32 . 2008-07-29 02:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ATI
    2008-07-04 08:33 . 2008-07-04 08:33 3,230,720 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
    2008-07-04 08:33 . 2008-07-04 08:33 3,230,720 --a--c--- C:\WINDOWS\system32\dllcache\ati2mtag.sys
    2008-07-04 05:48 . 2008-07-04 05:48 9,490,432 --a------ C:\WINDOWS\system32\atioglx2.dll
    2008-07-04 05:25 . 2008-07-04 05:25 421,888 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
    2008-07-04 05:23 . 2008-07-04 05:23 309,248 --a------ C:\WINDOWS\system32\ati2dvag.dll
    2008-07-04 05:14 . 2008-07-04 05:14 184,320 --a------ C:\WINDOWS\system32\atipdlxx.dll
    2008-07-04 05:14 . 2008-07-04 05:14 143,360 --a------ C:\WINDOWS\system32\Oemdspif.dll
    2008-07-04 05:14 . 2008-07-04 05:14 26,112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
    2008-07-04 05:13 . 2008-07-04 05:13 139,264 --a------ C:\WINDOWS\system32\ati2evxx.dll
    2008-07-04 05:13 . 2008-07-04 05:13 43,520 --a------ C:\WINDOWS\system32\ati2edxx.dll
    2008-07-04 05:12 . 2008-07-04 05:12 561,152 --a------ C:\WINDOWS\system32\ati2evxx.exe
    2008-07-04 05:10 . 2008-07-04 05:10 53,248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
    2008-07-04 05:06 . 2008-07-04 05:06 253,952 --a------ C:\WINDOWS\system32\atiok3x2.dll
    2008-07-04 05:00 . 2008-07-04 05:00 3,786,144 --a------ C:\WINDOWS\system32\ati3duag.dll
    2008-07-04 04:55 . 2008-07-04 04:55 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll
    2008-07-04 04:49 . 2008-07-04 04:49 2,140,672 --a------ C:\WINDOWS\system32\ativvaxx.dll
    2008-07-04 04:48 . 2008-07-04 04:48 887,724 --a------ C:\WINDOWS\system32\ativva6x.dat
    2008-07-04 04:34 . 2008-07-04 04:34 48,640 --a------ C:\WINDOWS\system32\amdpcom32.dll
    2008-07-04 04:30 . 2008-07-04 04:30 348,160 --a------ C:\WINDOWS\system32\atikvmag.dll
    2008-07-04 04:29 . 2008-07-04 04:29 32,768 --a------ C:\WINDOWS\system32\atiadlxx.dll
    2008-07-04 04:28 . 2008-07-04 04:28 53,248 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
    2008-07-04 04:28 . 2008-07-04 04:28 17,408 --a------ C:\WINDOWS\system32\atitvo32.dll
    2008-07-04 04:25 . 2008-07-04 04:25 5,439,488 --a------ C:\WINDOWS\system32\atioglxx.dll
    2008-07-04 04:22 . 2008-07-04 04:22 565,248 --a------ C:\WINDOWS\system32\ati2cqag.dll
    2008-06-23 19:26 . 2000-05-22 01:00 244,416 --a------ C:\WINDOWS\system32\Msflxgrd.ocx
    2008-06-23 19:26 . 2000-05-22 01:00 203,976 --a------ C:\WINDOWS\system32\RICHTX32.OCX
    2008-06-23 19:26 . 1999-05-07 01:00 140,288 --a------ C:\WINDOWS\system32\comdlg32.ocx
    2008-06-23 19:26 . 2008-06-23 19:47 3,373 --a------ C:\WINDOWS\CX_SearchHistory.INI
    2008-06-10 23:50 . 2008-06-10 23:50 174,819 --a------ C:\WINDOWS\system32\atiicdxx.dat
    2008-06-06 12:35 . 2008-06-06 12:35 <REP> d-------- C:\Program Files\SystemRequirementsLab

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-31 04:09 --------- d-----w C:\Documents and Settings\hitokiri\Application Data\uTorrent
    2008-07-29 00:29 --------- d-----w C:\Program Files\ATI Technologies
    2008-07-28 23:58 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-07-28 23:55 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-07-28 21:18 --------- d-----w C:\Documents and Settings\hitokiri\Application Data\Hamachi
    2008-06-19 18:51 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment
    2008-06-06 10:35 --------- d-----w C:\Documents and Settings\hitokiri\Application Data\SystemRequirementsLab
    2008-06-04 13:51 --------- d-----w C:\Documents and Settings\hitokiri\Application Data\LimeWire
    2008-05-29 22:00 --------- d-----w C:\Documents and Settings\hitokiri\Application Data\TaoUSign
    2008-04-28 19:38 14,126,401 ----a-w C:\klcodec390f.exe
    2008-04-07 17:56 10 ----a-w C:\Program Files\.autoreg
    2008-04-06 17:35 316,928 ----a-w C:\WINDOWS\Fonts\rar.exe
    2007-11-30 18:25 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2007-10-18 16:52 22,328 -c--a-w C:\Documents and Settings\hitokiri\Application Data\PnkBstrK.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Hstlbfo"="C:\Documents and Settings\hitokiri\Mes documents\W?nSxS\l?gonui.exe" [?]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45 13312]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 21:05 344064]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-10-10 21:42 180269]
    "QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2006-09-01 16:57 282624]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
    "bcc9b54c"="C:\WINDOWS\System32\awgnmeyi.dll" [2008-07-30 17:43 99456]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.YV12"= yv12vfw.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winmr73.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winql46.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyl85.sys]
    @="Driver"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage d'Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage d'Office.lnk
    backup=C:\WINDOWS\pss\Démarrage d'Office.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^E-Compagnon.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\E-Compagnon.lnk
    backup=C:\WINDOWS\pss\E-Compagnon.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
    backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Recherche accélérée.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Recherche accélérée.lnk
    backup=C:\WINDOWS\pss\Microsoft Recherche accélérée.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
    --a--c--- 2005-12-10 16:57 133016 d:\Program Files\DAEMON Tools\daemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
    --a--c--- 2005-07-26 20:10 185480 d:\Program Files\MessengerPlus! 3\MsgPlus.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2006-09-01 16:57 282624 D:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
    --a------ 2007-12-24 16:04 1266936 D:\Program Files\Valve\Steam\Steam.exe

    R0 PzWDM;PzWDM;C:\WINDOWS\System32\Drivers\PzWDM.sys [2005-06-29 02:38]
    R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
    S0 Winmr73;Winmr73;C:\WINDOWS\System32\Drivers\Winmr73.sys []
    S0 Winql46;Winql46;C:\WINDOWS\System32\Drivers\Winql46.sys []
    S0 Winyl85;Winyl85;C:\WINDOWS\System32\Drivers\Winyl85.sys []
    S3 iMSPQMn;iMSPQMn;C:\DOCUME~1\hitokiri\LOCALS~1\Temp\iMSPQMn.sys []
    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

    2008-07-31 C:\WINDOWS\Tasks\A8686472919C1AE6.job
    - c:\docume~1\hitokiri\applic~1\longbe~1\slow about 01.exe []

    2008-07-17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 15:21]

    2008-07-25 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur - hitokiri.job
    - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe []
    .
    - - - - ORPHANS REMOVED - - - -

    BHO-{282A619B-CAF1-463E-AAF6-135EE90ABA81} - C:\WINDOWS\System32\ssqPgGAS.dll
    BHO-{29BDE760-8762-40E7-82FE-59F4BBF0A6D4} - C:\WINDOWS\System32\nnnNfghH.dll
    BHO-{5686540F-986B-42CC-876F-2EA5BF807DB5} - C:\WINDOWS\System32\AgCPanelFrenc.dll
    BHO-{745554E6-E67D-9235-41B5-2869CEA4DEFA} - C:\DOCUME~1\hitokiri\APPLIC~1\Atom4\DRAW INTRA.exe
    BHO-{7AA21A77-CB90-4B39-81F4-BA8666D3CBD6} - C:\WINDOWS\System32\khffcbbA.dll
    BHO-{F509ABC9-2B80-42E2-A7ED-22586DE87BB1} - C:\WINDOWS\System32\AgCPanelFrenc.dll
    BHO-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - C:\WINDOWS\System32\wvUllKeD.dll
    HKCU-Run-SAFE TIME - C:\DOCUME~1\hitokiri\APPLIC~1\LONGBE~1\thisclose.exe
    HKCU-Run-Tuae - C:\WINDOWS\RACLE~1\dllhost.exe
    HKCU-Run-Steam - (no file)
    HKLM-Run-MixWebUserDefault - C:\Documents and Settings\All Users\Application Data\Gram Math Mix Web\Trans Locks.exe
    HKLM-Run-ISUSPM - C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
    ShellExecuteHooks-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - C:\WINDOWS\System32\wvUllKeD.dll
    Notify-nnnmjhef - nnnmjhef.dll
    Notify-wvUllKeD - wvUllKeD.dll
    MSConfigStartUp-HbTools - C:\Program Files\HbTools\Bin\4.8.0.0\HbtOEAddOn.exe
    MSConfigStartUp-SunJavaUpdateSched - C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
    MSConfigStartUp-WeatherOnTray - C:\Program Files\HbTools\Bin\4.8.0.0\HbtWeatherOnTray.exe
    MSConfigStartUp-WinampAgent - d:\Program Files\Winamp\winampa.exe


    .
    ------- Supplementary Scan -------
    .
    FireFox -: Profile - C:\Documents and Settings\hitokiri\Application Data\Mozilla\Firefox\Profiles\i9cogey0.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-stage6&p=
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:fr-FR:o fficial


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-31 16:56:46
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...


    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\explorer.exe
    -> C:\WINDOWS\System32\awgnmeyi.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\system32\ati2evxx.exe
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\PostgreSQL\8.3\bin\postgres.exe
    C:\Program Files\PostgreSQL\8.3\bin\postgres.exe
    C:\Program Files\PostgreSQL\8.3\bin\postgres.exe
    C:\Program Files\PostgreSQL\8.3\bin\postgres.exe
    C:\Program Files\PostgreSQL\8.3\bin\postgres.exe
    C:\Program Files\PostgreSQL\8.3\bin\postgres.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-31 17:06:01 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-31 15:04:58

    Pre-Run: 2,167,365,632 octets libres
    Post-Run: 2,301,341,696 octets libres

    287


    Voila voila

    1 Août 2008 11:57:52

    Re,

    1) Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\WINDOWS\system32\awgnmeyi.dll

    Folder::
    C:\Program Files\SDFix
    C:\Program Files\Navilog1
    c:\docume~1\hitokiri\applic~1\longbe~1

    FileLook::
    C:\klcodec390f.exe

    File::
    C:\WINDOWS\Tasks\A8686472919C1AE6.job

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "bcc9b54c"=-

    Driver::
    Winmr73
    Winql46
    Winyl85
    iMSPQMn


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • ComboFix créera ces fichiers sur ton Bureau :
    - Un fichier zippé nommé Submit [Date Time].zip
    - Un second fichier nommé - CF-Submit.htm
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  • Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
    - Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
    - Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"
  • Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

    2) Séléctionne l'encadré ci dessous en entier , puis clique droit , choisis Copier
    @echo off & cls
    dir C:\Documents and Settings\hitokiri\Mes documents\W?nSxS /a h > files.txt
    notepad files.txt

    Puis , menu Démarrer / Executer , tape cmd et valide par OK
    Fais un clique droit dans la fenêtre noire et choisis Coller
    il va sortir un rapport , poste le ici

    ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS