Se connecter / S'enregistrer
Votre question

Virus " Serwab" dans mon pc, j'arrive pas à l'enlever !

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Décembre 2006 15:38:29

Bonjour à tous,
je suis nouveau sur ce forum, je me suis inscrit car depuis une semaine j'ai récupérer le virus "serwab" qui me cause de gros problèmes. J'ai déja lu les différents post à ce sujet mais j'aurais voulu savoir si la correction de ce virus est individuelle ou si elle est similaire pour tout le monde ??
Pour le moment je n'ai pas osé faire grand chose mise à part une analyse sur "hijackthis" que j'ai pris soin de renommer en "Scanner.exe".
Voilà je vous transmet mon rapport afficher par hijakthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:18:49, on 27/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trust\MI-4550XP WIRELESS OPTICAL MINI MOUSE\Mouse32a.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\LimeWire\LimeWire.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Musu87\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults...*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\MI-4550XP WIRELESS OPTICAL MINI MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Program Files\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe"
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453980 6
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe


Merci

Autres pages sur : virus serwab arrive enlever

a b 8 Sécurité
27 Décembre 2006 15:43:18

Bonjour,

Juste une vérification.

Télécharge Blacklight (F-Secure), clique sur " I ACCEPT " en bas de la page :
Clique sur le premier " Download " afin de télécharger le programme
Sauvegarde le sur ton Bureau
Double-clique blbeta.exe et accepte la licence; clique Scan puis Next.

A la fin du scan, NE TOUCHE A RIEN !

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Nous devons analyser ce rapport, ferme donc le BlackLight.

Poste le rapport sur le forum.

AIDE : Tuto sur BlackLight (Malekal)
27 Décembre 2006 16:57:27

Voilà le rapport obtenu grâce à tes indications sur blacklight:

12/27/06 16:50:06 [Info]: BlackLight Engine 1.0.47 initialized
12/27/06 16:50:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/27/06 16:50:06 [Note]: 7019 4
12/27/06 16:50:06 [Note]: 7005 0
12/27/06 16:50:08 [Note]: 7006 0
12/27/06 16:50:08 [Note]: 7011 1660
12/27/06 16:50:08 [Note]: 7026 0
12/27/06 16:50:08 [Note]: 7026 0
12/27/06 16:50:08 [Note]: 7024 3
12/27/06 16:50:08 [Info]: Hidden process: C:\windows\system32\sfsdrfjciu.exe
12/27/06 16:50:08 [Note]: FSRAW library version 1.7.1020
12/27/06 16:54:11 [Info]: Hidden file: c:\WINDOWS\Prefetch\SFSDRFJCIU.EXE-09F2631A.pf
12/27/06 16:54:11 [Note]: 10002 1
12/27/06 16:54:29 [Info]: Hidden file: c:\WINDOWS\system32\sfsdrfjciu.dat
12/27/06 16:54:29 [Note]: 10002 1
12/27/06 16:54:29 [Info]: Hidden file: C:\windows\system32\sfsdrfjciu.exe
12/27/06 16:54:29 [Note]: 10002 1
12/27/06 16:54:29 [Info]: Hidden file: c:\WINDOWS\system32\sfsdrfjciu_nav.dat
12/27/06 16:54:29 [Note]: 10002 1
12/27/06 16:54:30 [Info]: Hidden file: c:\WINDOWS\system32\sfsdrfjciu_navps.dat
12/27/06 16:54:30 [Note]: 10002 1

Merci
Contenus similaires
27 Décembre 2006 16:59:47

Il semble qu'Angeldark ait eu raison, tu es infecté par un rootkit
a b 8 Sécurité
27 Décembre 2006 17:02:15

On a bien fait de vérifer ;) 

Les manipulations sont à faire sans interruption et dans l'ordre
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


Enregistre cette page pour avoir accès à la procédure en mode sans échec :
- Fichier
- Enregistrer Sous...
- Nom du fichier : Procédure
- Type : Page Web, complète
- Pour l'emplacement, chosis ton Bureau
- Clique maintenant sur Enregistrer

Télécharge :

Brute Force Uninstaller (de Merjin).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Navipromo.zip et décompresse-le sur ton bureau.

FAIS UN CLIQUE-DROIT ICI et choisis "Enregistrer la cible du lien sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde-le dans le dossier créé (C:\BFU).
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

FAIS UN CLIQUE-DROIT ICI et choisis "Enregistrer la cible du lien sous..." afin de télécharger Winsoftware.bfu (de Metallica). Sauvegarde-le dans le dossier créé (C:\BFU).
Tu dois maintenant avoir Winsoftware.bfu en plus dans le dossier C:\BFU .

Note : Si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

AIDE : Comment installer et utiliser BFU ?

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo.
Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.
Sélectionne ensuite l'option "Recherche et suppression automatique" en tapant sur la touche R.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attends que Complete script execution apparaisse pour cliquer sur OK.
Clique Exit pour fermer le programme BFU.

Fais pareli avec Winsoftware.bfu.

Redémarre normalement.

Poste les rapports :
- Hijackthis
- C:\egd.txt
- C:\Navipromo.txt
27 Décembre 2006 17:57:20

Voici les 3 rapports obtenus à la suite de manipulatios effectuées:

Rapport Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 15:18:49, on 27/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Trust\MI-4550XP WIRELESS OPTICAL MINI MOUSE\Mouse32a.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\LimeWire\LimeWire.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Musu87\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults...*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\MI-4550XP WIRELESS OPTICAL MINI MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Media Connect 2] "C:\Program Files\Windows Media Connect 2\WMCCFG.exe" /StartQuiet
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SDR6V_Check] "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\SDRmon.exe"
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453980 6
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe



Voici le rapport EGD.txt
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="sm56hlpr.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"NWEReboot"=""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"FLMOFFICE4DMOUSE"="C:\\Program Files\\Trust\\MI-4550XP WIRELESS OPTICAL MINI MOUSE\\Mouse32a.exe"
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Windows Media Connect 2"="\"C:\\Program Files\\Windows Media Connect 2\\WMCCFG.exe\" /StartQuiet"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"SDR6V_Check"="\"C:\\Program Files\\Fichiers communs\\DriveCleaner 2006 Free\\SDRmon.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"


Voici le rapport C:\Navipromo.txt (vérifications)

Rapport Navipromo.bat 0.71 effectué le 27/12/2006 à 17:32:25,17

L'opération se déroule en mode sans échec sous le compte Musu87

## Vérifications supplémentaires

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

* Navipromo

C:\WINDOWS\System32

sfsdrfjciu.exe
sfsdrfjciu.dat
sfsdrfjciu.dat

* Trojan Nebula



* Trojan Vundo


-------------

Rapport Navipromo.bat 0.71 effectué le 27/12/2006 à 17:34:10,90

L'opération se déroule en mode sans échec sous le compte Musu87

** Recherche...

1/ sfsdrfjciu trouvé, recherche de sfsdrfjciu*
C:\WINDOWS\system32\sfsdrfjciu.dat
C:\WINDOWS\system32\sfsdrfjciu.exe
C:\WINDOWS\system32\sfsdrfjciu_nav.dat
C:\WINDOWS\system32\sfsdrfjciu_navps.dat
C:\WINDOWS\prefetch\SFSDRFJCIU.EXE-09F2631A.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sfsdrfjciu REG_SZ c:\windows\system32\sfsdrfjciu.exe sfsdrfjciu

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode

################################################

** Nettoyage...

1/ Déplacement de sfsdrfjciu* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\sfsdrfjciu* déplacé avec succès !
C:\WINDOWS\prefetch\sfsdrfjciu* déplacé avec succès

------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\sfsdrfjciu.dat
C:\Navipromo\Backups\sfsdrfjciu.exe
C:\Navipromo\Backups\SFSDRFJCIU.EXE-09F2631A.pf
C:\Navipromo\Backups\sfsdrfjciu_nav.dat
C:\Navipromo\Backups\sfsdrfjciu_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression

Voici le rapport C:\Navipromo.txt (Recherche)

Rapport Navipromo.bat 0.71 effectué le 27/12/2006 à 17:32:25,17

L'opération se déroule en mode sans échec sous le compte Musu87

## Vérifications supplémentaires

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

* Navipromo

C:\WINDOWS\System32

sfsdrfjciu.exe
sfsdrfjciu.dat
sfsdrfjciu.dat

* Trojan Nebula



* Trojan Vundo


-------------

Rapport Navipromo.bat 0.71 effectué le 27/12/2006 à 17:34:10,90

L'opération se déroule en mode sans échec sous le compte Musu87

** Recherche...

1/ sfsdrfjciu trouvé, recherche de sfsdrfjciu*
C:\WINDOWS\system32\sfsdrfjciu.dat
C:\WINDOWS\system32\sfsdrfjciu.exe
C:\WINDOWS\system32\sfsdrfjciu_nav.dat
C:\WINDOWS\system32\sfsdrfjciu_navps.dat
C:\WINDOWS\prefetch\SFSDRFJCIU.EXE-09F2631A.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
sfsdrfjciu REG_SZ c:\windows\system32\sfsdrfjciu.exe sfsdrfjciu

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode

################################################

** Nettoyage...

1/ Déplacement de sfsdrfjciu* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\sfsdrfjciu* déplacé avec succès !
C:\WINDOWS\prefetch\sfsdrfjciu* déplacé avec succès

------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\sfsdrfjciu.dat
C:\Navipromo\Backups\sfsdrfjciu.exe
C:\Navipromo\Backups\SFSDRFJCIU.EXE-09F2631A.pf
C:\Navipromo\Backups\sfsdrfjciu_nav.dat
C:\Navipromo\Backups\sfsdrfjciu_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression



Je précise que j'ai obtenu 2 rapports "navipromo", un pour la vérification et un second pour la recherche.

Merci





a b 8 Sécurité
27 Décembre 2006 18:03:04

Re,

Supprime ce dossier :
C:\Navipromo\Backups\

-- Fais un scan en ligne Kaspersky :
- Scan le Poste de travail
- Sauvegarde puis colle le rapport en fin d'analyse
AIDE : Démonstration en images..

Si ce message apparaît :
"La licence de Kaspersky On-line Scanner est périmée"
Va dans Ajout/Suppression de programmes pour désinstaller l'Online Scanner
Retente ensuite le scan.

Comment ton pc se comporte-t-il ?
27 Décembre 2006 18:18:53

Lorsque je clik sur "démarrer online scanner" internet explorer me dit que la page est introuvable, je ne peu donc pas faire d'analyse...

j'ai remarqué que je ne reçoit désormais plus de pub sur le net ce qui est agréable, cela dit je n'ai pas récupéré ma bande passante de 5 méga,en effet ma bande passante n'est que de 133ko.

Merci
a b 8 Sécurité
27 Décembre 2006 20:44:56

Essaie un scan en ligne Panda.

Avec Internet Explorer
Fais un scan en ligne Panda
- Clique sur " Scan your PC "
- Ensuite sur " Check Now "
- /!\ Clique en bas sur " I don't Accept "
Entre ton adresse e-mail puis commence le scan
- Poste le rapport en fin d'analyse
Si tu as Avast! désactive-le lors du scan
28 Décembre 2006 18:59:04

Voila le rapport obtenu avec le scan de panda. J'ai réalisé le scan de tout l'ordinateur. je réprécise que je nai plus de pub qui appariassent mais que mon débit est très très faible.



Incident Status Location

Spyware:Cookie/RealMedia Not disinfected C:\Documents and Settings\Musu87\Application Data\Mozilla\Firefox\Profiles\b97f20xy.default\cookies.txt[.247realmedia.com/]
Spyware:Cookie/2o7 Not disinfected C:\Documents and Settings\Musu87\Application Data\Mozilla\Firefox\Profiles\b97f20xy.default\cookies.txt[.2o7.net/]
Spyware:Cookie/Adtech Not disinfected C:\Documents and Settings\Musu87\Application Data\Mozilla\Firefox\Profiles\b97f20xy.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Musu87\Application Data\Mozilla\Firefox\Profiles\b97f20xy.default\cookies.txt[.com.com/]
Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Musu87\Application Data\Mozilla\Firefox\Profiles\b97f20xy.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Musu87\Application Data\Mozilla\Firefox\Profiles\b97f20xy.default\cookies.txt[.xiti.com/]
Potentially unwanted tool:Application/DriveCleaner Not disinfected C:\Documents and Settings\Musu87\Bureau\installdrivecleanerstart_fr.exe
Spyware:Cookie/RealMedia Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@247realmedia[1].txt
Spyware:Cookie/YieldManager Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@ad.yieldmanager[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@adtech[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@atdmt[2].txt
Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@bluestreak[2].txt
Spyware:Cookie/Com.com Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@com[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@doubleclick[1].txt
Spyware:Cookie/DriveCleaner Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@drivecleaner[2].txt
Spyware:Cookie/Comclick Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@fl01.ct2.comclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@mediaplex[1].txt
Spyware:Cookie/WUpd Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@revenue[1].txt
Spyware:Cookie/Searchportal Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@searchportal.information[1].txt
Spyware:Cookie/DriveCleaner Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@stats.drivecleaner[2].txt
Spyware:Cookie/Reliablestats Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@stats1.reliablestats[1].txt
Spyware:Cookie/Tribalfusion Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@tribalfusion[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@weborama[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@xiti[2].txt
Spyware:Cookie/Zedo Not disinfected C:\Documents and Settings\Musu87\Cookies\musu87@zedo[2].txt
Adware:Adware/NaviPromo Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc1123\sfsdrfjciu.exe.off
Spyware:Cookie/Atlas DMT Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@atdmt[2].txt
Spyware:Cookie/Bluestreak Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@bluestreak[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@mediaplex[1].txt
Spyware:Cookie/Serving-sys Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@serving-sys[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@tradedoubler[1].txt
Spyware:Cookie/Weborama Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@weborama[2].txt
Spyware:Cookie/Xiti Not disinfected C:\RECYCLER\S-1-5-21-1376068795-646109471-2843753984-1007\Dc235\musu87@xiti[1].txt



merci
a b 8 Sécurité
28 Décembre 2006 19:01:07

Vide ta corbeille.

D'autres problèmes ?
28 Décembre 2006 19:24:03

le problème est que lorsque je réalise un test de bande passante on mindique que j'ai 5 méga mais en réalité lorsque je navigue cest la catastrophe , cest super lent et je ne télécharge que 1ko par seconde !! l'analyse de panda m'a annoncé qu'un rootkit se trouvait dans mon pc, je ne sais pas concrétement ce dont il s'agit mais je pense que le ralentissement des capacités de ma machine est due à sa.

Merci pour tout tes conseils ;) 
a b 8 Sécurité
28 Décembre 2006 19:25:33

Indique son emplacement stp.
28 Décembre 2006 20:22:22

Potentially unwanted tool:Application/DriveCleaner Not disinfected C:\Documents and Settings\Musu87\Bureau\installdrivecleanerstart_fr.exe


Je pense que cest sa ...
a b 8 Sécurité
28 Décembre 2006 20:32:58

Supprime :
installdrivecleanerstart_fr.exe
qui se trouve sur ton bureau.
29 Décembre 2006 10:29:05

Ouuuf pour le moment j'ai récupérer ma bande passante de 5 méga mais je ne m'emballe pas trop vite.. je laisse tourner ma bécane toute la journée et en fin de journée je te dit si c'est toujours ok. En tout cas je te remercie grandement pour le temps que tu m'a accorder, c'est vraiment coll de trouver des gens comme toi sur le net angedark !

Sinon qu'avait réelement mon ordinateur, il était infécté par quel type de problème ?? est-il totalement viré ??
a b 8 Sécurité
29 Décembre 2006 13:30:40

Ton pc était infecté par Egdaccess.
Il est viré maintenant ;) 

D'autres problèmes ?
30 Décembre 2006 10:38:48

Resolu


Mon pc tourne comme une horloge désormais. Merci à toi angeldark.
Bonnes fêtes !!! ;) 
a b 8 Sécurité
30 Décembre 2006 12:39:19

Edite ton premier message avec puis ajoute (Résolu) au titre.

Dénonce ton infection (EGDACCESS) pour faire condamner les auteurs, ça serait sympa.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection.
AIDE : Comment rapporter son infection sur Malware-Complaints ?

Consulte cette page pour éviter que ces problèmes ne réapparaissent.

Bonnes fêtes :hello: 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS