Votre question

PC ultra infesté

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Mai 2008 14:04:06

Bonjour, j'ai de gros soucis avec mon pc, il semblerait que celui ci est infesté par de nombreux trojan/vers.
Donc on m'a dit de collé un rapport hijackthis, le voici, en espérant que vous puissiez m'aider :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:34, on 11/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\NETGEAR\WG311T\wlancfg5.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Java\jre1.5.0_08\bin\jucheck.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31D1536D-DCBF-4528-84A7-6B464EABBA77} - C:\WINDOWS\system32\ursqq.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B285004D-6D02-4212-91FC-B8F47B68C254} - C:\WINDOWS\system32\cbxyvtq.dll (file missing)
O2 - BHO: (no name) - {E47BAB22-8876-4DF3-82D8-D7720752D64C} - C:\Program Files\MSN Gaming Zone\horefogeC:\WINDOWS\system32\lab3\mmildot83122.exe.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG311T Wireless Assistant.lnk = C:\Program Files\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laureen-so-british.spaces.live.com//PhotoUpload/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O20 - Winlogon Notify: cbxyvtq - cbxyvtq.dll (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7570 bytes




Merci d'avance de votre précieuse aide ! :love:  :love: 

Autres pages sur : ultra infesta

11 Mai 2008 14:05:25

Salut,

Tu as une infection Vundo et la présence du rogue Spyware-Secure notifie sûrement la présence d'une infection Egdaccess..

Télécharge Navilog (de Il-Mafioso)

  • Enregistre-le sur ton Bureau.
  • Installe-le en double cliquant sur navilog.exe.
  • Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
    (Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau) [Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista)]
  • Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    ! N'utilise pas l'option 2,3 et 4 sans notre accord !
  • Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
  • Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.
  • Poste le rapport généré.

    Le rapport se trouve ici :C:\fixnavi.txt

    Si tu as Vista, fais ceci avant :
    Désactive l'UAC ( Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le )
    11 Mai 2008 14:28:12

    voici le fameux rapport:

    Search Navipromo version 3.5.6 commencé le 11/05/2008 à 14:15:41,11

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "babalaupa"

    Mise à jour le 02.05.2008 à 22h00 par IL-MAFIOSO


    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***


    *** Recherche dossiers dans "C:\WINDOWS" ***


    *** Recherche dossiers dans "C:\Program Files" ***


    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\babalaupa\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\babalaupa\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\babalaupa\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\WINDOWS\system32\yljyrbqpy.dat
    C:\WINDOWS\system32\yljyrbqpy.exe
    C:\WINDOWS\system32\yljyrbqpy_nav.dat
    C:\WINDOWS\system32\yljyrbqpy_navps.dat


    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\babalaupa\locals~1\applic~1" *



    *** Recherche fichiers ***


    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :


    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :

    yljyrbqpy.dat trouvé !

    * Dans "C:\Documents and Settings\babalaupa\locals~1\applic~1" :


    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    C:\WINDOWS\system32\qqsru.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


    *** Analyse terminée le 11/05/2008 à 14:25:40,26 ***
    Contenus similaires
    11 Mai 2008 18:54:46

    et vous pensez que ce virus peut être la source de problèmes au niveau du lecteur cd?
    11 Mai 2008 19:11:46

    Re,

    On verra :) 

    Désinstalle via Ajout/Suppression de Programmes (si présents) :
  • Spyware Secure
  • Avast!

    - Poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
    - Poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK

    Tu recocheras après.

    Puis supprime les dossiers correspondants :
  • Dans Programfiles
  • Dans Programfiles\Fichiers communs
  • Dans %allusersprofile%\application data
    ( XP -> C:\Documents and Settings\All users\Application Data,
    Vista -> C:\Users\ton nom\appdata\roaming)
  • Etc ... (Tu peux rechercher les dossiers à supprimer par une recherche Windows [Démarrer\rechercher])

    Télécharge Ccleaner sur ton Bureau.

  • Clique sur "download the latest version"
  • Installe-le en laissant seulement les options suivantes cochées :
    - Ajouter un raccourci sur le Bureau
    - Contrôler automatiquement les mises à jour de CCleaner
  • Lance le Nettoyage
  • Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.

    Aide : Comment utiliser CCleaner.

    Télécharge et exécute : http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...

    ********

  • Double clique sur le raccourci de Navilog1.
  • Choisis l'option 2 puis valide. (Entrée)
  • Laisse toi guider.
  • Ton ordinateur va redémarrer, sinon fais le manuellement.
  • Ton bureau va disparaître.
  • Patiente jusqu'à l'apparition de ce message :
    "*** Nettoyage Termine le ..... ***"
  • Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  • Sauvegarde le rapport.
  • Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
    Tapes explorer et valide. Cela te fera apparaitre ton bureau


    Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    Montorgueil ; VIP

    Si tu les trouves, fais ceci :
    * Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
    * Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.

    Ensuite pour chacun des certificats présents sur ton bureau :
    * Va sur le site Web :
    http://www.bleepingcomputer.com/submit-malware.php?chan...
    * Copie/colle ceci dans la case 'Link to Topic' :
    le nom du certificat (Montorgueil ,......)
    * Copie/colle ceci dans la case 'Browse to the File' :
    Le certificat correspondant que tu avais exportés vers ton bureau

    Si c'est fait, supprime enfin le certificat présent sur ton bureau.

    Les programmes suivants installent cette infection :

    * Go-astro
    * GoRecord
    * HotTVPlayer
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * sudoplanet
    * Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
    * Sur le site www.games-desktop.com (Ne pas aller dessus!)

  • Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)

    ********

    Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    11 Mai 2008 22:21:23

    -Je ne vois pas à quoi correspondent les fichiers à supprimer dans la première étape, tout les fichiers/dossiers grisé? je ne risque pas de supprimer un fichier système important si je fais ça?
    -Dans la 3eme étape la liste "éditeurs approuvés" est vide.
    -Le rapport Combo fix :

    ComboFix 08-05-11.1 - babalaupa 2008-05-11 22:05:15.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.366 [GMT 2:00]
    Endroit: C:\Documents and Settings\babalaupa\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Temp\1cb
    C:\Temp\1cb\syscheck.log
    C:\Temp\bkR11
    C:\Temp\bkR11\ftCa.log
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\msettings.ini
    C:\WINDOWS\system32\aeowhysr.ini
    C:\WINDOWS\system32\apdovefw.dll
    C:\WINDOWS\system32\cpoumwei.ini
    C:\WINDOWS\system32\dawdkasc.ini
    C:\WINDOWS\system32\dnycsllg.ini
    C:\WINDOWS\system32\fjubwapk.ini
    C:\WINDOWS\system32\fsrllfjl.ini
    C:\WINDOWS\system32\gufoakxg.ini
    C:\WINDOWS\system32\gxkaofug.dll
    C:\WINDOWS\system32\hggdday.dll
    C:\WINDOWS\system32\hyvftqur.ini
    C:\WINDOWS\system32\iinytwdh.ini
    C:\WINDOWS\system32\iuosbjjn.ini
    C:\WINDOWS\system32\kjuiaomj.ini
    C:\WINDOWS\system32\mblvkvlf.dll
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\njjbsoui.dll
    C:\WINDOWS\system32\pac.txt
    C:\WINDOWS\system32\qqsru.ini
    C:\WINDOWS\system32\qqsru.ini2
    C:\WINDOWS\system32\qrybublv.dll
    C:\WINDOWS\system32\rsyhwoea.dll
    C:\WINDOWS\system32\ruqtfvyh.dll
    C:\WINDOWS\system32\sobbtkks.ini
    C:\WINDOWS\system32\wfevodpa.ini

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_DOMAINSERVICE


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-11 to 2008-05-11 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-11 21:36 . 2008-05-11 22:05 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
    2008-05-11 14:11 . 2008-05-11 21:58 <REP> d-------- C:\Program Files\Navilog1
    2008-05-11 13:55 . 2008-05-11 13:55 <REP> d-------- C:\Program Files\Trend Micro

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-03 19:45 3,862 ----a-w C:\Documents and Settings\babalaupa\xrt_log.dat
    2008-04-22 18:40 --------- d-----w C:\Documents and Settings\babalaupa\Application Data\uTorrent
    2008-04-14 19:27 --------- d-----w C:\Program Files\Windows Live Safety Center
    2008-04-04 15:21 45,568 ----a-w C:\Documents and Settings\babalaupa\xrt_juoh.exe
    2008-04-04 15:21 169,855 ----a-w C:\Documents and Settings\babalaupa\xrt_collect.zip
    2008-03-31 19:19 --------- d-----w C:\Documents and Settings\babalaupa\Application Data\Canon
    2008-02-04 11:40 5,843,256 ----a-w C:\Program Files\Firefox Setup 2.0.0.11.exe
    2007-01-07 20:45 1,127,307 ----a-w C:\Program Files\wrar362fr.exe
    2006-12-25 12:23 645,670 ----a-w C:\Program Files\uTorrent-1.6-install.exe
    2006-12-24 16:47 359,112 ----a-w C:\Program Files\LimeWireWin.exe
    2006-12-23 18:26 13,179,392 ----a-w C:\Program Files\m5900mux.exe
    2005-04-06 09:55 456,384 ----a-w C:\WINDOWS\inf\WG311T\WG311T13.sys
    2004-10-19 17:58 35,232 ----a-w C:\WINDOWS\inf\WG311T\ME_INST.EXE
    2004-10-19 17:58 26,112 ----a-w C:\WINDOWS\inf\WG311T\install.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31D1536D-DCBF-4528-84A7-6B464EABBA77}]
    C:\WINDOWS\system32\ursqq.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E47BAB22-8876-4DF3-82D8-D7720752D64C}]
    C:\Program Files\MSN Gaming Zone\horefogeC:\WINDOWS\system32\lab3\mmildot83122.exe.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [ ]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
    "AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-06-07 11:46 2321600]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-03 21:38 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe" [2006-07-26 04:03 49263]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-17 15:35 98304]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:54 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxyvtq]
    cbxyvtq.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\Program Files\\uTorrent\\utorrent.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
    "C:\\WINDOWS\\explorer.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "51462:UDP"= 51462:UDP:utorrent.exe
    "51462:TCP"= 51462:TCP:utorrent.exe
    "35973:TCP"= 35973:TCP:essai
    "35973:UDP"= 35973:UDP:essai


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ace90a1-9598-11db-bd4a-00146c2ee7d6}]
    \Shell\1\Command - RUNAUT~1\autorun.pif
    \Shell\2\Command - RUNAUT~1\autorun.pif
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-05-07 22:00:00 C:\WINDOWS\Tasks\At1.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 07:00:00 C:\WINDOWS\Tasks\At10.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 08:00:00 C:\WINDOWS\Tasks\At11.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-04 09:00:00 C:\WINDOWS\Tasks\At12.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-04 10:00:00 C:\WINDOWS\Tasks\At13.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-07 11:00:00 C:\WINDOWS\Tasks\At14.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 12:00:08 C:\WINDOWS\Tasks\At15.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 13:00:00 C:\WINDOWS\Tasks\At16.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 14:00:00 C:\WINDOWS\Tasks\At17.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 15:00:00 C:\WINDOWS\Tasks\At18.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 16:00:00 C:\WINDOWS\Tasks\At19.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-07 23:00:00 C:\WINDOWS\Tasks\At2.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 17:00:00 C:\WINDOWS\Tasks\At20.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 18:00:00 C:\WINDOWS\Tasks\At21.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 19:00:00 C:\WINDOWS\Tasks\At22.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-11 20:00:00 C:\WINDOWS\Tasks\At23.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-07 21:00:00 C:\WINDOWS\Tasks\At24.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-07 23:59:59 C:\WINDOWS\Tasks\At3.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 01:00:00 C:\WINDOWS\Tasks\At4.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 02:00:00 C:\WINDOWS\Tasks\At5.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 03:00:00 C:\WINDOWS\Tasks\At6.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 04:00:00 C:\WINDOWS\Tasks\At7.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 05:00:00 C:\WINDOWS\Tasks\At8.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    "2008-05-08 06:00:00 C:\WINDOWS\Tasks\At9.job"
    - C:\WINDOWS\system32\NVgX2455.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-11 22:09:29
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Config.Msi\308e0.rbfrs communs\Adobe\Updater5\AdobeUpdater.exe
    C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\NETGEAR\WG311T\wlancfg5.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Java\jre1.5.0_08\bin\jucheck.exe
    C:\WINDOWS\system32\msiexec.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-11 22:16:08 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-11 20:15:40

    Pre-Run: 7,023,419,392 octets libres
    Post-Run: 6,912,098,304 octets libres

    188


    11 Mai 2008 22:25:00

    Autre chose: quel antivirus gratuit me conseillez vous?
    11 Mai 2008 23:42:21

    Re,

    ComboFix a fait beaucoup de ménage, mais il en reste.
    Tu ne m'as pas posté le rapport option 2 de navilog.
    L'antivirus, on voit ça après, t'inquiète ;) 

    Je ne comprends pas ce que tu veux dire :
    Citation :
    -Je ne vois pas à quoi correspondent les fichiers à supprimer dans la première étape, tout les fichiers/dossiers grisé? je ne risque pas de supprimer un fichier système important si je fais ça?

    Repose la question autrement ;) 
    12 Mai 2008 22:15:38


    En fait après avoir cocher l'option "afficher les fichiers système" je ne sais pas lesquels je dois supprimer.

    voici le rapport navilog option 2 :



    Clean Navipromo version 3.5.6 commencé le 12/05/2008 à 22:10:43,01

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "babalaupa"

    Mise à jour le 02.05.2008 à 22h00 par IL-MAFIOSO


    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS



    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\WINDOWS\System32" *


    * Suppression dans "C:\Documents and Settings\babalaupa\locals~1\applic~1" *



    *** Suppression dossiers dans "C:\WINDOWS" ***


    *** Suppression dossiers dans "C:\Program Files" ***


    *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\babalaupa\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\babalaupa\locals~1\applic~1" ***


    *** Suppression dossiers dans "C:\Documents and Settings\babalaupa\menudm~1\progra~1" ***



    *** Suppression fichiers ***


    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\babalaupa\locals~1\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :


    * Dans "C:\WINDOWS\system32" *


    * Dans "C:\Documents and Settings\babalaupa\locals~1\applic~1" *


    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok


    *** Certificats ***

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Nettoyage terminé le 12/05/2008 à 22:13:46,36 ***

    13 Mai 2008 21:38:59

    Tu supprimes les dossiers correspondants aux programmes désinstallés qui se trouvent dans les dossiers que je t'ai indiqué, puis tu me posteras un nouveau rapport ComboFix stp.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS