Se connecter / S'enregistrer
Votre question

HELP VIRUS

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Février 2008 10:10:23

voila depuis hier soir mon ordinateur est infecté par un virus!!
Le problème s'est que je n'arrive pas à m'en débarassée malgré une analyse et un nettoyage avec mon anti virus (Norton). C'est la 1ere fois que j'ai réellement un telle problème je n'ai jamais eu de gros virus et je ne sais pas quoi faire!!!
Ce virus a installé 3 emoticones sur le bureau et également des icones dans ma barre d'outil d'internet "ekvgsnw"???
Il me lance egalement des fenetre pour des logiciel anti virus!!!
j'ai entendu parler de hijacking, qu'est ce que c'est? Cela peut il m'aider?

S'il vous plait j'ai besoin de votre aide rapidement!!

Merci d'avance!

luciole

Autres pages sur : help virus

Contenus similaires
29 Février 2008 10:36:57

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:35:16, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*http://fr.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {0F240256-9E39-4E57-AD5C-55700B7A2388} - C:\WINDOWS\dgtxrdfwrv.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ekvgsnw - {474928DE-BC0F-4637-ADC1-C6DD2D1161D7} - C:\WINDOWS\ekvgsnw.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus-1002] "C:\Documents and Settings\Lo\Local Settings\Application Data\br3027on.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [gzvuumlsah] c:\documents and settings\jérôme\local settings\application data\gzvuumlsah.exe gzvuumlsah (User 'Jérôme')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4C1A975-692A-492D-8B0D-CC032E694498}: NameServer = 81.253.149.1 80.10.246.3
O21 - SSODL: bxlrvps - {888E69B6-0567-4198-8D70-320B9EE53370} - C:\WINDOWS\bxlrvps.dll
O21 - SSODL: alofkmn - {DB145F86-F397-4720-BE2C-B2336C4E5DA1} - C:\WINDOWS\alofkmn.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

--
End of file - 11039 bytes
29 Février 2008 10:38:10

j'espere ke c'est ça!!!
et maintenant qu'est ce que je fait?
29 Février 2008 10:45:49

1)télécharge l'utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Tu le décompresses complètement sur ton bureau puis tu double cliques sur ce fichier SmitfraudFix.exe et tu choisis l’option 1
Cela va générer un rapport postes le


2)Fais un clic droit sur ce lien :
http://pagesperso-orange.fr/il.mafioso/Navifix/Navilog1...
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
29 Février 2008 10:57:57

jai cliker sur licone du bureau et une petitte fenetre bleu c'est ouverte ou on me demande de clikker sur une touche???
29 Février 2008 11:08:09

SmitFraudFix v2.298

Rapport fait à 11:03:18,23, 29/02/2008
Executé à partir de C:\Documents and Settings\Lo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\fkxvkns.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Lo\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: dgtxrdfwrv.dll
BHO: SXG Advisor - {0F240256-9E39-4E57-AD5C-55700B7A2388}
TypeLib: {C0C6E327-28F6-40C9-B663-0EB8CBC46181}
Interface: {28430915-D249-4346-A422-CB9A1A1D6C18}
Interface: {65BBAD0E-FA97-48A8-898F-1077FA586C03}

[!] Suspicious: ekvgsnw.dll
Toolbar: ekvgsnw - {474928DE-BC0F-4637-ADC1-C6DD2D1161D7}
TypeLib: {D6F56B8F-C0F4-4858-B34D-75C08C8E3283}
Interface: {0425AEF2-D6BD-4535-A539-4945D6C79E68}
Classe: ekvgsnw.btks
Classe: ekvgsnw.ToolBar.1

[!] Suspicious: bxlrvps.dll
SSODL: bxlrvps - {888E69B6-0567-4198-8D70-320B9EE53370}

[!] Suspicious: alofkmn.dll
SSODL: alofkmn - {DB145F86-F397-4720-BE2C-B2336C4E5DA1}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 81.253.149.1
DNS Server Search Order: 80.10.246.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A4C1A975-692A-492D-8B0D-CC032E694498}: NameServer=81.253.149.1 80.10.246.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A4C1A975-692A-492D-8B0D-CC032E694498}: NameServer=81.253.149.1 80.10.246.3


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
29 Février 2008 11:11:24

Ok, attendons ton deuxième rapport
29 Février 2008 11:15:14

je le fait comment le 2eme rapport ?
J'y arrive pas ?
29 Février 2008 11:16:35

Point 2 :

2)Fais un clic droit sur ce lien :
http://pagesperso-orange.fr/il.mafioso/Navifix/Navilog1...
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
29 Février 2008 11:38:50

pour le 2eme rapport il disent que le scan peut durer une dizaine de minutes et là sa va faire plus et se n'est toujours pas finit!!
Est ce normal?
29 Février 2008 11:42:49

Tout dépend la taille de ton disque et du nombre de fichiers. Patientes un peu et tiens moi au courant. Ensuite on avisera
29 Février 2008 11:44:54

ok pas de problème!

merci beaucoup
29 Février 2008 12:07:13

Search Navipromo version 3.4.8 commencé le 29/02/2008 à 11:19:58,34

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


InternetGameBox


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\Instant Access trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
29 Février 2008 12:08:19

dans un des messages ils disent ke j'ai un worm.Win32.NetSky
29 Février 2008 12:13:00

Ok , on y va :

Copie la suite dans ton bloc-note car en mode sans échec, tu n'auras pas accès à Internet. Ensuite :
Redémarre en mode sans échec. Si tu sais pas comment regardes le lien ci dessous. Privilégies impérativement la méthode avec la touche F8:
https://www.microsoft.com/technet/prodtechnol/windowsse...

Choisis ta session habituelle jérôme


1)Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 4 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisies ce qui est en gras ci-dessous et rien d'autre puis valide:

gzvuumlsah

Le fix va te demander de le resaisir, fais-le et valide

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver

2)Relance le fichier smitfraudfix.exe et choisis cette fois l’option 2 et réponds oui à tout.
A la fin, sauvegardes le rapport final afin de pouvoir le retrouver.

3)Redémarre normalement et poste les rapports avec un nouveau log hijackthis

4)Dis moi avant qu'on continue comment va ton PC.
29 Février 2008 12:15:28

Rapport d'analyse
vendredi 29 février 2008 09:04:34 - 11:59:23
Nom de l'ordinateur : BOUVIER
Type d'analyse : Effectuer une analyse complète de l'ordinateur
Cible : C:\ D:\ + registre système + rootkits


--------------------------------------------------------------------------------

Résultat
Aucun antiprogramme détecté



--------------------------------------------------------------------------------

Statistiques
Analysés :
Fichiers : 198586
Registre système : 7030
Non analysés : 55
Résultat :
Virus : 0
Logiciel espion : 0
Eléments suspects: 0
Actions :
Désinfectés : 0
Renommés : 0
Supprimés : 0
Quarantaine : 0
Echec : 0
Secteurs d'amorçage :
Analysés : 1
Infectés : 0
Eléments suspects: 0
Désinfectés : 0
Fichiers non analysés :
Erreur d'ouverture du fichier C:\hiberfil.sys.
Erreur d'ouverture du fichier C:\pagefile.sys.
Erreur d'ouverture du fichier C:\WINDOWS\temp\JET8E26.tmp.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\system32\bios1.rom.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\default.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\SAM.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\SECURITY.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\system.
Erreur d'ouverture du fichier C:\WINDOWS\system32\CatRoot2\edb.log.
Erreur d'ouverture du fichier C:\WINDOWS\system32\CatRoot2\tmp.edb.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\FileCD\FileCD.iso.
L'analyse de C:\Program Files\Microsoft Office\Office\1036\ACMAIN9.CHM a été interrompue. [F-Secure AVP]
L'analyse de C:\Program Files\Java\jre1.5.0_11\lib\rt.jar a été interrompue. [F-Secure AVP]
L'analyse de C:\Program Files\Java\jre1.5.0_05\lib\rt.jar a été interrompue. [F-Secure AVP]
Erreur d'ouverture du fichier C:\Program Files\InstallShield Installation Information\{D76298C2-E532-4A11-BCFF-76F3F19DA84D}\setup.ilg.
Erreur d'ouverture du fichier C:\Program Files\InstallShield Installation Information\{88E5FCB8-5F25-11D5-B16F-0800460222F0}\setup.ilg.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\Hewlett-Packard\hp deskjet assistant\3820\sample1.pcl.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\002.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\006.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\007.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\008.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\010.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\013.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\014.part.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\Common\admin.pub.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\Common\policy.ipf.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chandir.dat.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\L0000009.FCS.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs.dat.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\storydb.dat.
L'analyse de C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\523b\1312aa29\pex_nocp_6.15-50.jar a été interrompue. [F-Secure AVP]
Impossible d'ouvrir le fichier dans l'archive C:\i386\BIOS1.RO_.
L'analyse de C:\i386\DRIVER.CAB a été interrompue. [F-Secure AVP]
Erreur d'ouverture du fichier C:\Documents and Settings\NetworkService\NTUSER.DAT.
Erreur d'ouverture du fichier C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
Erreur d'ouverture du fichier C:\Documents and Settings\LocalService\NTUSER.DAT.
Erreur d'ouverture du fichier C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
Erreur d'ouverture du fichier C:\Documents and Settings\Lo\NTUSER.DAT.
L'analyse de C:\Documents and Settings\Lo\Local Settings\Temp\Div249.tmp\DivXInstaller.exe a été interrompue. [F-Secure AVP]
Erreur d'ouverture du fichier C:\Documents and Settings\Lo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
Erreur d'ouverture du fichier C:\Documents and Settings\Lo\Application Data\ispnews\ispn.ini.
Impossible de lire le fichier C:\Documents and Settings\Laurent\Local Settings\Temporary Internet Files\Content.IE5\5KWJ5LSX\index_victoria_silvstedt[1].php\index_victoria_silvstedt[1]. [F-Secure Libra]
Erreur d'ouverture du fichier C:\Documents and Settings\Jérôme\NTUSER.DAT.
Impossible de lire le fichier C:\Documents and Settings\Jérôme\Local Settings\Temp\Temporary Internet Files\Content.IE5\YHKJMPE5\watch_all-vfl31093[1].js\watch_all-vfl31093[1]. [F-Secure Libra]
Impossible de lire le fichier C:\Documents and Settings\Jérôme\Local Settings\Temp\Temporary Internet Files\Content.IE5\TO0FX9OH\effects[1].js\effects[1]. [F-Secure Libra]
L'analyse de C:\Documents and Settings\Jérôme\Local Settings\Temp\Div67.tmp\DivXInstaller.exe a été interrompue. [F-Secure AVP]
L'analyse de C:\Documents and Settings\Jérôme\Local Settings\Temp\Div23.tmp\DivXInstaller.exe a été interrompue. [F-Secure AVP]
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Mozilla\Firefox\Profiles\g7oftqng.default\Cache\_CACHE_001_.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Mozilla\Firefox\Profiles\g7oftqng.default\Cache\_CACHE_002_.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Mozilla\Firefox\Profiles\g7oftqng.default\Cache\_CACHE_003_.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Google\Google Desktop\3a4cdca4bc45\dbdam.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Google\Google Desktop\3a4cdca4bc45\dbeam.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\All Users\SonicStage\Packages\Imported Files(53)\Matt Pokora et Ricky Martin - It's alright.mp3.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\All Users\SonicStage\Packages\Imported Files\musique(18)\Sugababes - Taller In More Ways - 06 - Ugly.mp3.
Erreur d'ouverture du fichier C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp.


--------------------------------------------------------------------------------

Options
Version des définitions :
Virus : 2008-02-29_02
Logiciel espion : 2008-02-14_04
Moteurs d'analyse :
F-Secure AVP: 6.00.169, 2008-02-29
F-Secure Libra: 2.03.11, 2008-02-28
F-Secure Orion: 1.02.37, 2008-02-29
F-Secure Draco: 1.00.35, 2008-02-13
F-Secure BlackLight: 1.00.23
Options d'analyse :
Analyser tous les fichiers
Analyser le contenu des archives
Actions :
Virus : Interroger l'utilisateur après l'analyse
Logiciel espion : Interroger l'utilisateur après l'analyse
29 Février 2008 12:17:47

Pourquoi tu me poste ce rapport ?
29 Février 2008 12:23:42

par contre là ma session c'est pas jerome mais laurence, c'est a dire moi!!
je choisis quelle session la mienne ou jerome? et pkoi jerome?
29 Février 2008 12:25:00

je sais pas c'est des infos en plus!!
29 Février 2008 12:25:49

je sais pas comment faire "mode sans échec" et ton lien ne marche pas !
29 Février 2008 12:31:17

Comme ceci :

Redémarre l’ordinateur

Dès le chargement du BIOS, commence à appuyer sur la touche F8 de votre clavier. Procéde ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu commence à appuyer sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Si ceci se produit, redémarre l'ordinateur et essayede nouveau.


Dans le menu d'options avancées de Windows, sélectionne Mode sans échec si cette option n'est pas sélectionnée.

Utilise les touches fléchées (flèches de direction) pour sélectionner l'option .
Appuie sur Entrée
Windows démarre en mode sans échec. (Ceci peut prendre quelques minutes.)
29 Février 2008 12:34:57

est ce que c'est dangereux? parske jai vu kon pouvait tombait dans une boucle infernale? Est ce que je risque de perdre des trucs? Aprés est ce que je peut revenir en mode normal sans risque?
29 Février 2008 12:35:18

J'ai pas vu ton message pour les sessions.
En fait, un rootkit est présent sur la session de Jérome.

Si tu peux encore fais-ceci :

- Fais la manip avec smitfraudfix dans la session de lo en mode sans échec.

- Fais la manip avec Navilog1 dans la session de Jêrome en mode sans échec.

Ensuite pour poster les rapports, tu peux prendre ta session habituelle.
29 Février 2008 12:40:47

le mode sans echec est il dangereux pour mon ordianteur? est ce que je pourrai revenir en mode normal facilement?
29 Février 2008 13:53:23

Oui si tu ne redémarres en mode sans échec qu'en utilisant la touche F8.
Ton bureau sera différent, ne t'affole pas.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS