Ashavast.exe n'est pas une application win32 valide

Salut,

Tu es infecté par Bagle.

XP ou Vista ?

Merci Destrio5, je suis sous XP.

Télécharge FindyKill (par Chiquitine29) sur ton Bureau.

Lance l'installation avec les paramètres par défaut.

Double-clique sur le raccourci FindyKill sur ton Bureau.

Choisis F pour Français.

Au menu principal, choisis l'option 1 (Recherche).

Poste le rapport FindyKill.txt

Super, j'ai pu lancer findykill sans pb.
Voici le rapport :


############################## [ FindyKill V4.718 ]

# User : Administrateur (Administrateurs) # GDN-MOBILE
# Update on 01/03/09
# Start at: 19:07:08 | 02/03/2009

# AMD Turion(tm) 64 X2 Mobile Technology TL-58
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : avast! antivirus 4.8.1201 [VPS 090301-0] 4.8.1201 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 100,93 Go (41,8 Go free) # NTFS
# D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
# E:\ # Disque fixe local # 10,85 Go (10,02 Go free) [HP_RECOVERY] # NTFS
# F:\ # Disque amovible # 3,76 Go (740,7 Mo free) # FAT32
# G:\ # Disque amovible # 968,25 Mo (0,5 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\documents and settings\administrateur\local settings\application data\yammk.exe
C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe" (232)
"C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe" (460)

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]

Found ! - "C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\m\list.oct"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\m\data.oct"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\m\shared"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\m"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\srosa2.sys"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe"
Found ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\downld"

################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\Local AppWizard-Generated Applications\run
Found ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\bisoft
Found ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\run
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\bisoft
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Found ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

# Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]


# Contenu de l'autorun : E:\autorun.inf

[AUTORUN]
ShellExecute=Info.exe protect.ed 480 480


# Contenu de l'autorun : F:\autorun.inf

[autorun]
open=EmDesk.exe
icon=EmDesk.exe
label=Em-Desk

shell=EmDesk
shell\EmDesk=EmDesk
shell\EmDesk\command=EmDesk.exe

# Presence des fichiers :

Found ! [30/04/2004 16:01][---hs----] - E:\autorun.inf
Found ! [30/09/2007 21:42][--a------] - F:\autorun.inf

################## [ Registre / Mountpoint2 ]

Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{29968176-64a5-11dd-807a-00210002d9de}\Shell\explore\Command
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{29968176-64a5-11dd-807a-00210002d9de}\Shell\open\Command

################## [ ! Fin du rapport # FindyKill V4.718 ! ]

Supprime le fichier qui t'a infecté (Crack par exemple).

Double-clique sur le raccourci FindyKill sur ton Bureau.

Au menu principal, choisis l'option 2 (Suppression).

/!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Voila, c'est fait, tout à bien fonctionné, voici le rapport Findykill :


############################## [ FindyKill V4.718 ]

# User : Administrateur (Administrateurs) # GDN-MOBILE
# Update on 01/03/09
# Start at: 19:39:48 | 02/03/2009

# AMD Turion(tm) 64 X2 Mobile Technology TL-58
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : avast! antivirus 4.8.1201 [VPS 090301-0] 4.8.1201 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 100,93 Go (41,8 Go free) # NTFS
# D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
# E:\ # Disque fixe local # 10,85 Go (10,02 Go free) [HP_RECOVERY] # NTFS
# G:\ # Disque amovible # 968,25 Mo (0,5 Mo free) # FAT

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\documents and settings\administrateur\local settings\application data\yammk.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]

Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\m\list.oct"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\m\data.oct"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\m\shared"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\m"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\srosa2.sys"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\Administrateur\Application Data\drivers"

################## [ Registry / Infected keys ]

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_CURRENT_USER\Software\bisoft
Deleted ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\MuleAppData
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Deleted ! - HKEY_USERS\S-1-5-21-3605406410-415985972-3952721474-500\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

# Deleting files :

Deleted ! - E:\autorun.inf
Deleted ! - E:\info.exe

################## [ Registry / Mountpoint2 ]

Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{29968176-64a5-11dd-807a-00210002d9de}\Shell\explore\Command
Deleted ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{29968176-64a5-11dd-807a-00210002d9de}\Shell\open\Command

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

7984d216 C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe
8ff5fc9dcc71751820edd0b6eac49711 C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe

Suspect ! "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
# Taille : 798720 # MD5 : 8FF5FC9DCC71751820EDD0B6EAC49711


################## [ PEH Corrupted ]

C:\Program Files\Alwil Software\Avast4\ashAvast.exe
C:\Program Files\Alwil Software\Avast4\ashChest.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashLogV.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashPopWz.exe
C:\Program Files\Alwil Software\Avast4\ashQuick.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashSimp2.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Alwil Software\Avast4\ashSkPcc.exe
C:\Program Files\Alwil Software\Avast4\ashSkPck.exe
C:\Program Files\Alwil Software\Avast4\ashUpd.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\aswRegSvr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\copyx64.exe
C:\Program Files\Alwil Software\Avast4\sched.exe
C:\Program Files\Alwil Software\Avast4\VisthLic.exe
C:\Program Files\Alwil Software\Avast4\VisthUpd.exe

################## [ ! End of Report # FindyKill V4.718 ! ]

Réinstalle Avast car il est infecté.

Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

Double-clique sur RSIT.exe afin de lancer le programme.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

---> Infection Navipromo.

Télécharge Navilog1 (de IL-MAFIOSO) sur ton Bureau.

Double-clique sur Navilog1.exe afin de lancer l'installation.

Si le fix ne lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le Bureau.

Appuie sur F ou f puis valide par Entrée.

Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options.

Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix.

Patiente jusqu'au message : *** Analyse terminée le ..... ***

Le scan fini, le Bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse.

Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

Effectivement "navipromo" me fait penser aux fenêtres de pub qui s'ouvrent sans arrêt depuis quelques mois.
Voici le rapport fixnavi.txt :

Search Navipromo version 3.7.5 commencé le 03/03/2009 à 12:34:36,07

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-58 )
BIOS : KBC Version 71.2D
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1201 [VPS 090302-0] 4.8.1201 (Activated)


C:\ (Local Disk) - NTFS - Total:100 Go (Free:42 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:10 Go (Free:10 Go)
G:\ (USB) - FAT - Total:968 Mo (Free:0 Go)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"yammk"="\"c:\\documents and settings\\administrateur\\local settings\\application data\\yammk.exe\" yammk"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :

yammk.exe trouvé !
yammk.dat trouvé !
yammk_nav.dat trouvé !
yammk_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 03/03/2009 à 12:40:21,78 ***

Relance Navilog1, fais l'option 2 et poste le rapport (C:\cleannavi.txt).

Voici le rapport cleannavi.txt :

Clean Navipromo version 3.7.5 commencé le 03/03/2009 à 12:54:34,26

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 26.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-58 )
BIOS : KBC Version 71.2D
USER : Administrateur ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1201 [VPS 090302-0] 4.8.1201 (Activated)


C:\ (Local Disk) - NTFS - Total:100 Go (Free:42 Go)
D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
E:\ (Local Disk) - NTFS - Total:10 Go (Free:10 Go)
G:\ (USB) - FAT - Total:968 Mo (Free:0 Go)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\yammk*.pf trouvé !
Copie C:\WINDOWS\prefetch\yammk*.pf réalisée avec succès !
C:\WINDOWS\prefetch\yammk*.pf supprimé !


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


yammk.exe trouvé !
Copie yammk.exe réalisée avec succès !
yammk.exe supprimé !

yammk.dat trouvé !
Copie yammk.dat réalisée avec succès !
yammk.dat supprimé !

yammk_nav.dat trouvé !
Copie yammk_nav.dat réalisée avec succès !
yammk_nav.dat supprimé !

yammk_navps.dat trouvé !
Copie yammk_navps.dat réalisée avec succès !
yammk_navps.dat supprimé !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 03/03/2009 à 13:01:12,35 ***

Désinstalle Navilog1 et FindyKill.

Message édité par Destrio5.

Merci docteur, voici le rapport Usbfix :



-------------- UsbFix V2.414.3 ---------------

* User : Administrateur - GDN-MOBILE
* Outils mis a jours le 18/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 14:16:31 le 03/03/2009
* Windows Xp - Internet Explorer 6.0.2900.2180


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixeD: - Lecteur de CD-ROME: - Lecteur fixeF: - Lecteur amovibleG: - Lecteur amovible
+- Contenu de l'autorun : F:\autorun.inf

[autorun]
open=EmDesk.exe
icon=EmDesk.exe
label=Em-Desk

shell=EmDesk
shell\EmDesk=EmDesk
shell\EmDesk\command=EmDesk.exe


--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe
+- Listing des fichiers présents :

[05/08/2004 09:00][--ahs----] C:\ntdetect.com
[26/06/2008 14:04][-rahs----] C:\boot.ini
[03/03/2009 13:05][--a------] C:\cleannavi.txt
[03/03/2009 13:05][--a------] C:\FindyKill.txt
[03/03/2009 13:05][--a------] C:\fixnavi.txt
[03/03/2009 13:05][--a------] C:\UsbFix.txt
[][] C:\hiberfil.sys
[][] C:\IO.SYS
[][] C:\MSDOS.SYS
[][] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur de CD-ROM
+- Listing des fichiers présents :


--------------- [ Lecteur E ] ----------------

E: - Lecteur fixe
+- Listing des fichiers présents :

[28/07/2001 00:07][---hs----] E:\AUTOEXEC.BAT
[25/07/2001 16:00][---hs----] E:\NTDETECT.COM
[09/01/2002 13:52][---hs----] E:\BOOT.INI
[09/01/2002 13:52][---hs----] E:\Desktop.ini
[09/01/2002 13:52][---hs----] E:\st_log.ini
[09/01/2002 13:52][---hs----] E:\WINBOM.INI
[22/11/2004 18:28][---hs----] E:\Folder.htt
[28/07/2001 00:07][---hs----] E:\CONFIG.SYS
[28/07/2001 00:07][---hs----] E:\IO.SYS
[28/07/2001 00:07][---hs----] E:\MSDOS.SYS

--------------- [ Lecteur F ] ----------------

F: - Lecteur amovible
+- Listing des fichiers présents :

[30/09/2007 21:37][--a------] F:\EmDesk.exe
[30/09/2007 21:42][--a------] F:\autorun.inf
[11/10/2007 11:43][--a------] F:\licence.txt

--------------- [ Lecteur G ] ----------------

G: - Lecteur amovible
+- Listing des fichiers présents :


--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&..."

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
<NO NAME>=
StartCCC=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
LightScribe Control Panel=C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
MsmqIntCert=regsvr32 /s mqrt.dll
SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
SoundMAX=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
PDF Complete="C:\Program Files\PDF Complete\pdfsty.exe"
PTHOSTTR=C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
hpWirelessAssistant=%ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
CognizanceTS=rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
Recguard=C:\WINDOWS\Sminst\Recguard.exe
Reminder=C:\WINDOWS\Creator\Remind_XP.exe
Scheduler=C:\WINDOWS\SMINST\Scheduler.exe
HP Software Update=c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
Cpqset=C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
WatchDog=C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe
WinampAgent="C:\Program Files\Winamp\winampa.exe"
TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{29968176-64a5-11dd-807a-00210002d9de}\Shell\AutoRun\command
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{29968176-64a5-11dd-807a-00210002d9de}\Shell\open\Command

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [22/11/2004 18:28][---hs----] E:\Folder.htt
Supprimé ! - [30/09/2007 21:42][--a------] F:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre [http://www.virustotal.com/fr/ interprété] par un spécialiste /!\

[05/08/2004 09:00][--ahs----] C:\ntdetect.com
[26/06/2008 14:04][-rahs----] C:\boot.ini
[28/07/2001 00:07][---hs----] E:\AUTOEXEC.BAT
[25/07/2001 16:00][---hs----] E:\NTDETECT.COM
[09/01/2002 13:52][---hs----] E:\BOOT.INI
[09/01/2002 13:52][---hs----] E:\Desktop.ini
[09/01/2002 13:52][---hs----] E:\st_log.ini
[09/01/2002 13:52][---hs----] E:\WINBOM.INI
[30/09/2007 21:37][--a------] F:\EmDesk.exe

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
E:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
F:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
G:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------

Désinstalle UsbFix et Java SE Runtime Environment 6.

Mets à jour Java.

Mets à jour Internet Explorer.

Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.

Double-clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.

Sélectionne Exécuter un examen rapide.

Clique sur Rechercher.

L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Euh, question bête, comment met-on Java à jour STP (je n'ai aucun lien ni icone nul part...) ?
Pour IE6, c'est voulu, utilisé uniquement pour tester des sites dans le cadre de développements web (je ne surf pas avec), pour le surf c'est 100% firefox. Je peux le laisser en version 6 dans ces conditions ?
J'ai téléchargé malwarebytes mais pas encore exécuté, j'attends tes instructions.

---> C'est toi qui voit.

Pour Java, il suffit d'installer la dernière version.

Ok, j'ai laissé IE6 et installé Java puis suivi les instructions pour malwaresbytes, voici le rapport après suppression :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1814
Windows 5.1.2600 Service Pack 2

03/03/2009 16:01:57
mbam-log-2009-03-03 (16-01-57).txt

Type de recherche: Examen rapide
Eléments examinés: 64829
Temps écoulé: 3 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Relance MBAM, va dans Quarantaine et supprime tout.

Désinstalle Avast.

Installe Antivir et mets-le à jour.

Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.

Dans Antivir, choisis Outils puis Configuration.

Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

Fais un scan complet et poste le rapport.

Tutoriel : http://www.libellules.ch/tuto_antivir.php#Scan_disque_d...

Salut Destrio5,

Désolé pour les temps morts, j'ai 1 tonne de boulot en retard et j'essaye de remonter la pente à contre-courant... Je reprendrai le processus dès que possible, ce soir j'espères... Merci pour ton aide experte et ta patience en tout cas et à plus tard donc.

Pas de souci