Bonjour a tous!

Comme pas mal de personnes apparemment je me pris la saleté qui vous affiche "VIRUS ALERT!" a gauche de l horloge. Ce truc m empeche d acceder a pas mal de fonctionnalités du panneau démarrer, a effacer plusieurs raccourcis sur mon bureau et m empeche de parcourir l'une de mes partitions ( qui contient pas mal de fichiers importants: photos, cours etc). Un ptit coup de main serait la bienvenue: j ai deja fait plusieurs scans démarrage avec avast et la un scan est en cours.

Merci d avance, Hit0.

Bonjour,


Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

• Double clique sur HJTInstall.exe pour lancer l'installation.
• Clique sur Install.
• Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
• Accepte la licence en cliquant sur Yes.
• Clique sur "Do a system scan and save a logfile".
• Poste ici[ le rapport généré.

Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

Aide : Comment utiliser HijackThis.

Merci pour la rapidité de ta réponse Meryllim! Voici le log créé par HijackThis ( ouvert dans le bloc note a la fin de l'éxécution, je précise au cas ou ce ne serait pas cela que tu attends):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21: VIRUS ALERT!, on 30/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\PnkBstrB.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
d:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.p [...] Ojg5&lid=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: fdkowvbp - {BE19C4CA-A1DB-4BDD-8CC0-EB2E37C7110A} - C:\WINDOWS\fdkowvbp.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [MixWebUserDefault] C:\Documents and Settings\All Users\Application Data\Gram Math Mix Web\Trans Locks.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [ovilkzt] c:\windows\system32\ovilkzt.exe ovilkzt
O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\hitokiri\lsass.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [bcc9b54c] rundll32.exe "C:\WINDOWS\System32\awgnmeyi.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SAFE TIME] C:\DOCUME~1\hitokiri\APPLIC~1\LONGBE~1\thisclose.exe
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [Tuae] "C:\WINDOWS\RACLE~1\dllhost.exe" -vt yazb
O4 - HKCU\..\Run: [Hstlbfo] "C:\Documents and Settings\hitokiri\Mes documents\W?nSxS\l?gonui.exe"
O4 - HKCU\..\Run: [SfKg6w] C:\Documents and Settings\hitokiri\Application Data\Microsoft\Windows\tnvhn.exe
O4 - HKCU\..\Run: [WinTouch] C:\Documents and Settings\hitokiri\Application Data\WinTouch\WinTouch.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1220945662-299502267-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer = 89.2.0.1,89.2.0.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 89.2.0.1 89.2.0.2
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 89.2.0.1 89.2.0.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 89.2.0.1 89.2.0.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O21 - SSODL: eqvwamkl - {9C98C9AD-77DA-4A3F-B224-91DFEEAEBECF} - C:\WINDOWS\eqvwamkl.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\System32\PnkBstrB.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6488 bytes

Re,

Tu as plusieurs infections caractéristiques, on va commencer par les cibler précisément avec les fix appropriés. Ensuite nous supprimerons le reste

***

Si tu as des protections résidentes, désactive-les ( Avast! etc. ).

1) Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), clique sur "do a system scan only", coche ces lignes ( si présentes ) :

Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
Puis Fix Checked ! N.B : Il est très important de fermer toutes les applications en cours et de se déconnecter d'internet pour fixer avec hijackthis au risque d'interférer avec les résultats de la manip'.

Redémarre le PC pour que les changements soient pris en compte.

2) Télécharge DAFT :

• Sauvegarde-le sur ton bureau.
• Double-clique sur l'icône de DAFT, présente sur ton bureau.
• Clique sur le bouton scan.
• Sélectionne tout ce qui apparaît.
• Clique sur le bouton fix.
• Ensuite relance DAFT et re-scan avec, Si un message du type "All associations are OK" apparaît c'est que tout est OK,
• Ferme DAFT.

3) Enregistre-le sur ton Bureau.
Installe-le en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

Une fois l'installation terminée, fais un clic droit sur le raccourci navilog1 puis choisis "Exécuter en tant qu'administrateur". ( Pour Vista)

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2,3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

Le rapport se trouve ici :C:\fixnavi.txt

4) Télécharge SmitfraudFix (de S!ri).

• Enregistre le sur ton Bureau.
• Lance-le en double cliquant sur SmitfraudFix.exe
• Appuie sur une touche comme demandé.
• Exécute l’option 1, un rapport va apparaître, poste le.

Le rapport se trouve ici : C:\rapport.txt

Désolé, je vais ptetre passer pour un boulet...

Etape 1: ok.

Etape2: j ai téléchargé DAFT et suivi tes conseils. Seulement des le 1er scan le message "All associations are OK" est apparu (tant mieux?). J ai sauvegardé le log ( fichier daft.txt apparu sur le bureau) au cas ou.

Etape 3: ok. Voici le log:

Search Navipromo version 2.0.2 commencé le 30/07/2008 à 19:58:51,87

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***


C:\WINDOWS\msskinner trouvé !


*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\hitokiri\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight [...] _help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 07/30/08 at 19:58:52.
[-] ERROR: This version of F-Secure BlackLight has expired.
[+] Exited on 07/30/08 at 19:58:52 (return code = 3).


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1220945662-299502267-725345543-1003\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

C:\WINDOWS\system32\Abbcffhk.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\eegPrtwa.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\HhgfNnnn.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\SAGgPqss.ini2 trouvé ! infection Vundo possible non traité par cet outil !

2)Recherche Heuristique :
*
C:\WINDOWS\system32\ovilkzt.dat trouvé !
**
C:\WINDOWS\system32\ovilkzt.dat trouvé !
***
****
*****
C:\WINDOWS\system32\ovilkzt_nav.dat trouvé !
C:\WINDOWS\system32\znlckoc_navtmp.dat trouvé !
******
*******
********


*** Analyse Terminé le 30/07/2008 à 19:59:02,81 ***


Etape 4: ok. Voici le log:

SmitFraudFix v2.332

Rapport fait à 20:01:18,07, 30/07/2008
Executé à partir de C:\Documents and Settings\hitokiri\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\QuickTime\qttask.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\PnkBstrB.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\hitokiri\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\System32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\hitokiri


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\hitokiri\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\hitokiri\Favoris

C:\DOCUME~1\hitokiri\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\hitokiri\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\hitokiri\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: fdkowvbp.dll
Toolbar: fdkowvbp - {BE19C4CA-A1DB-4BDD-8CC0-EB2E37C7110A}
TypeLib: {D08059A9-206B-439E-B52F-6D6D6FBF4C04}
Interface: {D25F7AC9-132A-4B49-85B8-510E8B4A4CC0}
Classe: fdkowvbp.bxqw
Classe: fdkowvbp.ToolBar.1

[!] Suspicious: eqvwamkl.dll
SSODL: eqvwamkl - {9C98C9AD-77DA-4A3F-B224-91DFEEAEBECF}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 89.2.0.2

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1,89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1,89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5FF7EEC2-BD37-465B-8900-DF8AF090E510}: NameServer=89.2.0.1,89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=89.2.0.1 89.2.0.2
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=89.2.0.1 89.2.0.2


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci encore

Edit: Je précise, au cas ou, que je n ai pas coupé la protection résidente apres le reboot ni fermé toutes les applications ( en l'occurence seulement firefox). Cela pose t'il un probleme?

Re,

Tu as utilisé une version obsolète de Navilog1, désinstalle-la et télécharge celle que je t'ai indiquée et refais la manip' avec Navilog1.

Idem pour Smitfraudfix, as-tu pris ma version ou utilisé une ancienne ?

Yop

Malheureusement tu ne m as pas indiqué de version particuliere de navilog, aurais tu un lien ou bien un le numéro de cette version?

Pour Smitfraudfix, en revanche, j ai suivi le lien que tu avais indiqué.

J'anticipe: une fois la bonne version de navilog récupérée, je refais la manip comme tu l as dit, mais dois je refaire celle avec smitfraudfix ( la seconde depend pitetre de la premiere, j'en sais rien alors... )

Oups, tu as raison

> Télécharge Navilog (de Il-Mafioso)

Donc c'est ok

On résume : pour l'instant tu n'as que le scan avec Navilog1 à faire J'attends le rapport.

Bonne soirée

Woh y a deja du mieux: je vois les partitions dans mon poste de travail eheh

Voici le log navilog:

Search Navipromo version 3.6.1 commencé le 30/07/2008 à 20:58:30,98

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "hitokiri"

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers :

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***

C:\WINDOWS\msskinner trouvé !

*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\hitokiri\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\postgres\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\postgres\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\hitokiri\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\postgres\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Scan Catchme non réalisé.
Droits limités sur la session actuelle.

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\postgres\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

ovilkzt.dat trouvé !
ovilkzt_nav.dat trouvé !
ovilkzt_navps.dat trouvé !
znlckoc_navtmp.dat trouvé !

* Dans "C:\Documents and Settings\hitokiri\locals~1\applic~1" :


* Dans "C:\DOCUME~1\postgres\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\Abbcffhk.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\eegPrtwa.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\HhgfNnnn.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\SAGgPqss.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 30/07/2008 à 20:58:54,79 ***

Re,

Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

1) Télécharge SDFix (d’Andy Manchesta)

• Enregistre le sur ton le bureau.
• Lance le.
• Fais install afin qu’il puisse s’extraire.

Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavierjusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\
• Double clique sur RunThis.bat (L’extension bat peut ne pas apparaître)
• Appuie sur Y pour le lancer.
• Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
• Il est probable que le redémarrage soit un peu plus long que d’habitude.
• Une fois l’apparition de ton Bureau, il affichera Finished
• Appuie sur une touche.
• Un rapport est généré , poste le dans ta rép