HELP VIRUS
Forum Sécurité - Virus : HELP VIRUS
voila depuis hier soir mon ordinateur est infecté par un virus!!
Le problème s'est que je n'arrive pas à m'en débarassée malgré une analyse et un nettoyage avec mon anti virus (Norton). C'est la 1ere fois que j'ai réellement un telle problème je n'ai jamais eu de gros virus et je ne sais pas quoi faire!!!
Ce virus a installé 3 emoticones sur le bureau et également des icones dans ma barre d'outil d'internet "ekvgsnw"???
Il me lance egalement des fenetre pour des logiciel anti virus!!!
j'ai entendu parler de hijacking, qu'est ce que c'est? Cela peut il m'aider?
S'il vous plait j'ai besoin de votre aide rapidement!!
Merci d'avance!
luciole
Salut,
Poste un rapport Hijackthis en suivant ce tuto :
http://www.infos-du-net.com/forum/ [...] hijackthis
merci j'essaie!!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:35:16, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/y [...] ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/y [...] .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.p [...] Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {0F240256-9E39-4E57-AD5C-55700B7A2388} - C:\WINDOWS\dgtxrdfwrv.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ekvgsnw - {474928DE-BC0F-4637-ADC1-C6DD2D1161D7} - C:\WINDOWS\ekvgsnw.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\AntivirusFirewall\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus-1002] "C:\Documents and Settings\Lo\Local Settings\Application Data\br3027on.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 (User 'Jérôme')
O4 - HKUS\S-1-5-21-2058793968-3134274710-2060384720-1009\..\Run: [gzvuumlsah] c:\documents and settings\jérôme\local settings\application data\gzvuumlsah.exe gzvuumlsah (User 'Jérôme')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Antivirus Firewall.lnk = C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Bloquer cette fenêtre publicitaire - C:\Program Files\AntivirusFirewall\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\AntivirusFirewall\Anti-Spyware\ieshield.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-F [...] E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4C1A975-692A-492D-8B0D-CC032E694498}: NameServer = 81.253.149.1 80.10.246.3
O21 - SSODL: bxlrvps - {888E69B6-0567-4198-8D70-320B9EE53370} - C:\WINDOWS\bxlrvps.dll
O21 - SSODL: alofkmn - {DB145F86-F397-4720-BE2C-B2336C4E5DA1} - C:\WINDOWS\alofkmn.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Antivirus Firewall (BackWeb Plug-in - 6588780) - Securitoo Portal - C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
--
End of file - 11039 bytes
j'espere ke c'est ça!!!
et maintenant qu'est ce que je fait?
1)télécharge l'utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Tu le décompresses complètement sur ton bureau puis tu double cliques sur ce fichier SmitfraudFix.exe et tu choisis l’option 1
Cela va générer un rapport postes le
2)Fais un clic droit sur ce lien :
http://pagesperso-orange.fr/il.maf [...] vilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
jai cliker sur licone du bureau et une petitte fenetre bleu c'est ouverte ou on me demande de clikker sur une touche???
SmitFraudFix v2.298
Rapport fait à 11:03:18,23, 29/02/2008
Executé à partir de C:\Documents and Settings\Lo\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\PROGRA~1\ANTIVI~1\backweb\6588780\Program\SERVIC~1.EXE
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\Program Files\AntivirusFirewall\backweb\6588780\program\fsbwsys.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\fsrw.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\ANTIVI~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\backweb\6588780\Program\fspex.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
C:\WINDOWS\fkxvkns.exe PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lo
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lo\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Lo\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: dgtxrdfwrv.dll
BHO: SXG Advisor - {0F240256-9E39-4E57-AD5C-55700B7A2388}
TypeLib: {C0C6E327-28F6-40C9-B663-0EB8CBC46181}
Interface: {28430915-D249-4346-A422-CB9A1A1D6C18}
Interface: {65BBAD0E-FA97-48A8-898F-1077FA586C03}
[!] Suspicious: ekvgsnw.dll
Toolbar: ekvgsnw - {474928DE-BC0F-4637-ADC1-C6DD2D1161D7}
TypeLib: {D6F56B8F-C0F4-4858-B34D-75C08C8E3283}
Interface: {0425AEF2-D6BD-4535-A539-4945D6C79E68}
Classe: ekvgsnw.btks
Classe: ekvgsnw.ToolBar.1
[!] Suspicious: bxlrvps.dll
SSODL: bxlrvps - {888E69B6-0567-4198-8D70-320B9EE53370}
[!] Suspicious: alofkmn.dll
SSODL: alofkmn - {DB145F86-F397-4720-BE2C-B2336C4E5DA1}
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 81.253.149.1
DNS Server Search Order: 80.10.246.3
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A4C1A975-692A-492D-8B0D-CC032E694498}: NameServer=81.253.149.1 80.10.246.3
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A4C1A975-692A-492D-8B0D-CC032E694498}: NameServer=81.253.149.1 80.10.246.3
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Ok, attendons ton deuxième rapport
je le fait comment le 2eme rapport ?
J'y arrive pas ?
Point 2 :
2)Fais un clic droit sur ce lien :
http://pagesperso-orange.fr/il.maf [...] vilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
pour le 2eme rapport il disent que le scan peut durer une dizaine de minutes et là sa va faire plus et se n'est toujours pas finit!!
Est ce normal?
Tout dépend la taille de ton disque et du nombre de fichiers. Patientes un peu et tiens moi au courant. Ensuite on avisera
ok pas de problème!
merci beaucoup
Search Navipromo version 3.4.8 commencé le 29/02/2008 à 11:19:58,34
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
InternetGameBox
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
C:\Program Files\Instant Access trouvé !
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
dans un des messages ils disent ke j'ai un worm.Win32.NetSky
Ok , on y va :
Copie la suite dans ton bloc-note car en mode sans échec, tu n'auras pas accès à Internet. Ensuite :
Redémarre en mode sans échec. Si tu sais pas comment regardes le lien ci dessous. Privilégies impérativement la méthode avec la touche F8:
https://www.microsoft.com/technet/p [...] x?mfr=true
Choisis ta session habituelle jérôme
1)Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 4 et valide.
Le fix va te demander de saisir le nom de fichier.
Saisies ce qui est en gras ci-dessous et rien d'autre puis valide:
gzvuumlsah
Le fix va te demander de le resaisir, fais-le et valide
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
2)Relance le fichier smitfraudfix.exe et choisis cette fois l’option 2 et réponds oui à tout.
A la fin, sauvegardes le rapport final afin de pouvoir le retrouver.
3)Redémarre normalement et poste les rapports avec un nouveau log hijackthis
4)Dis moi avant qu'on continue comment va ton PC.
Rapport d'analyse
vendredi 29 février 2008 09:04:34 - 11:59:23
Nom de l'ordinateur : BOUVIER
Type d'analyse : Effectuer une analyse complète de l'ordinateur
Cible : C:\ D:\ + registre système + rootkits
--------------------------------------------------------------------------------
Résultat
Aucun antiprogramme détecté
--------------------------------------------------------------------------------
Statistiques
Analysés :
Fichiers : 198586
Registre système : 7030
Non analysés : 55
Résultat :
Virus : 0
Logiciel espion : 0
Eléments suspects: 0
Actions :
Désinfectés : 0
Renommés : 0
Supprimés : 0
Quarantaine : 0
Echec : 0
Secteurs d'amorçage :
Analysés : 1
Infectés : 0
Eléments suspects: 0
Désinfectés : 0
Fichiers non analysés :
Erreur d'ouverture du fichier C:\hiberfil.sys.
Erreur d'ouverture du fichier C:\pagefile.sys.
Erreur d'ouverture du fichier C:\WINDOWS\temp\JET8E26.tmp.
Impossible d'ouvrir le fichier dans l'archive C:\WINDOWS\system32\bios1.rom.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\default.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\SAM.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\SECURITY.
Erreur d'ouverture du fichier C:\WINDOWS\system32\config\system.
Erreur d'ouverture du fichier C:\WINDOWS\system32\CatRoot2\edb.log.
Erreur d'ouverture du fichier C:\WINDOWS\system32\CatRoot2\tmp.edb.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\FileCD\FileCD.iso.
L'analyse de C:\Program Files\Microsoft Office\Office\1036\ACMAIN9.CHM a été interrompue. [F-Secure AVP]
L'analyse de C:\Program Files\Java\jre1.5.0_11\lib\rt.jar a été interrompue. [F-Secure AVP]
L'analyse de C:\Program Files\Java\jre1.5.0_05\lib\rt.jar a été interrompue. [F-Secure AVP]
Erreur d'ouverture du fichier C:\Program Files\InstallShield Installation Information\{D76298C2-E532-4A11-BCFF-76F3F19DA84D}\setup.ilg.
Erreur d'ouverture du fichier C:\Program Files\InstallShield Installation Information\{88E5FCB8-5F25-11D5-B16F-0800460222F0}\setup.ilg.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\Hewlett-Packard\hp deskjet assistant\3820\sample1.pcl.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\002.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\006.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\007.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\008.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\010.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\013.part.
Impossible d'ouvrir le fichier dans l'archive C:\Program Files\eMule\Temp\014.part.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\Common\admin.pub.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\Common\policy.ipf.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\chandir.dat.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\L0000009.FCS.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\prs.dat.
Erreur d'ouverture du fichier C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\storydb.dat.
L'analyse de C:\Program Files\AntivirusFirewall\backweb\6588780\Users\Default\Data\523b\1312aa29\pex_nocp_6.15-50.jar a été interrompue. [F-Secure AVP]
Impossible d'ouvrir le fichier dans l'archive C:\i386\BIOS1.RO_.
L'analyse de C:\i386\DRIVER.CAB a été interrompue. [F-Secure AVP]
Erreur d'ouverture du fichier C:\Documents and Settings\NetworkService\NTUSER.DAT.
Erreur d'ouverture du fichier C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
Erreur d'ouverture du fichier C:\Documents and Settings\LocalService\NTUSER.DAT.
Erreur d'ouverture du fichier C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
Erreur d'ouverture du fichier C:\Documents and Settings\Lo\NTUSER.DAT.
L'analyse de C:\Documents and Settings\Lo\Local Settings\Temp\Div249.tmp\DivXInstaller.exe a été interrompue. [F-Secure AVP]
Erreur d'ouverture du fichier C:\Documents and Settings\Lo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.
Erreur d'ouverture du fichier C:\Documents and Settings\Lo\Application Data\ispnews\ispn.ini.
Impossible de lire le fichier C:\Documents and Settings\Laurent\Local Settings\Temporary Internet Files\Content.IE5\5KWJ5LSX\index_victoria_silvstedt[1].php\index_victoria_silvstedt[1]. [F-Secure Libra]
Erreur d'ouverture du fichier C:\Documents and Settings\Jérôme\NTUSER.DAT.
Impossible de lire le fichier C:\Documents and Settings\Jérôme\Local Settings\Temp\Temporary Internet Files\Content.IE5\YHKJMPE5\watch_all-vfl31093[1].js\watch_all-vfl31093[1]. [F-Secure Libra]
Impossible de lire le fichier C:\Documents and Settings\Jérôme\Local Settings\Temp\Temporary Internet Files\Content.IE5\TO0FX9OH\effects[1].js\effects[1]. [F-Secure Libra]
L'analyse de C:\Documents and Settings\Jérôme\Local Settings\Temp\Div67.tmp\DivXInstaller.exe a été interrompue. [F-Secure AVP]
L'analyse de C:\Documents and Settings\Jérôme\Local Settings\Temp\Div23.tmp\DivXInstaller.exe a été interrompue. [F-Secure AVP]
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Mozilla\Firefox\Profiles\g7oftqng.default\Cache\_CACHE_001_.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Mozilla\Firefox\Profiles\g7oftqng.default\Cache\_CACHE_002_.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Mozilla\Firefox\Profiles\g7oftqng.default\Cache\_CACHE_003_.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Google\Google Desktop\3a4cdca4bc45\dbdam.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\Jérôme\Local Settings\Application Data\Google\Google Desktop\3a4cdca4bc45\dbeam.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\All Users\SonicStage\Packages\Imported Files(53)\Matt Pokora et Ricky Martin - It's alright.mp3.
Impossible d'ouvrir le fichier dans l'archive C:\Documents and Settings\All Users\SonicStage\Packages\Imported Files\musique(18)\Sugababes - Taller In More Ways - 06 - Ugly.mp3.
Erreur d'ouverture du fichier C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp.
--------------------------------------------------------------------------------
Options
Version des définitions :
Virus : 2008-02-29_02
Logiciel espion : 2008-02-14_04
Moteurs d'analyse :
F-Secure AVP: 6.00.169, 2008-02-29
F-Secure Libra: 2.03.11, 2008-02-28
F-Secure Orion: 1.02.37, 2008-02-29
F-Secure Draco: 1.00.35, 2008-02-13
F-Secure BlackLight: 1.00.23
Options d'analyse :
Analyser tous les fichiers
Analyser le contenu des archives
Actions :
Virus : Interroger l'utilisateur après l'analyse
Logiciel espion : Interroger l'utilisateur après l'analyse
Pourquoi tu me poste ce rapport ?
par contre là ma session c'est pas jerome mais laurence, c'est a dire moi!!
je choisis quelle session la mienne ou jerome? et pkoi jerome?
je sais pas c'est des infos en plus!!
je sais pas comment faire "mode sans échec" et ton lien ne marche pas !
Comme ceci :
Redémarre l’ordinateur
Dès le chargement du BIOS, commence à appuyer sur la touche F8 de votre clavier. Procéde ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu commence à appuyer sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Si ceci se produit, redémarre l'ordinateur et essayede nouveau.
Dans le menu d'options avancées de Windows, sélectionne Mode sans échec si cette option n'est pas sélectionnée.
Utilise les touches fléchées (flèches de direction) pour sélectionner l'option .
Appuie sur Entrée
Windows démarre en mode sans échec. (Ceci peut prendre quelques minutes.)
est ce que c'est dangereux? parske jai vu kon pouvait tombait dans une boucle infernale? Est ce que je risque de perdre des trucs? Aprés est ce que je peut revenir en mode normal sans risque?
J'ai pas vu ton message pour les sessions.
En fait, un rootkit est présent sur la session de Jérome.
Si tu peux encore fais-ceci :
- Fais la manip avec smitfraudfix dans la session de lo en mode sans échec.
- Fais la manip avec Navilog1 dans la session de Jêrome en mode sans échec.
Ensuite pour poster les rapports, tu peux prendre ta session habituelle.
le mode sans echec est il dangereux pour mon ordianteur? est ce que je pourrai revenir en mode normal facilement?
Oui si tu ne redémarres en mode sans échec qu'en utilisant la touche F8.
Ton bureau sera différent, ne t'affole pas.
Il y a 1060 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
