Accès au Site
 FAQFAQ   RechercherCharte   RechercherRechercher   MembresMembres   UtilisateursUtilisateurs   S'enregistrerS'enregistrer   ProfilProfil   Vérifier ses messages privésVérifier ses messages privés   ConnexionConnexion
 
Infecté Gros problème : Bagle & EgdAccess

 
Répondre au sujet Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThisCréer un flux RSS 2.0
Auteur Message
sun
Newbie
Newbie


Inscrit le: 02 Juin 2007
Message(s): 7
Localisation: dunkerque
MessagePosté le: 02 Juin 2007 18:02    Sujet du message: Infecté Gros problème : Bagle & EgdAccess Répondre en citant
Bonjour, j'ai un trés gros soucis. Pas moyen d'installer un antivirus style Avast ni spybot serch and destroy. Impossibilité de terminer un scan en ligne. Je n'ai réussi qu'avec Ad Aware ; voici le résultat :


Ad-Aware SE Build 1.06r1
Logfile Created on:samedi 2 juin 2007 16:16:14
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R173 29.05.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dialer(TAC index:5):9 total references
Possible Browser Hijack attempt(TAC index:3):9 total references
Tracking Cookie(TAC index:3):12 total references
Win32.TrojanSpy.Banker(TAC index:10):1 total references
Zango(TAC index:4):5 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


02-06-2007 16:16:14 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 624
    ThreadCreationTime : 02-06-2007 13:24:04
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 688
    ThreadCreationTime : 02-06-2007 13:24:10
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 712
    ThreadCreationTime : 02-06-2007 13:24:11
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 760
    ThreadCreationTime : 02-06-2007 13:24:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Applications Services et Contrôleur
    InternalName       : services.exe
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 772
    ThreadCreationTime : 02-06-2007 13:24:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 916
    ThreadCreationTime : 02-06-2007 13:24:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 976
    ThreadCreationTime : 02-06-2007 13:24:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1044
    ThreadCreationTime : 02-06-2007 13:24:11
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1092
    ThreadCreationTime : 02-06-2007 13:24:12
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1200
    ThreadCreationTime : 02-06-2007 13:24:12
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:11 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 1384
    ThreadCreationTime : 02-06-2007 13:24:13
    BasePriority       : Normal
    FileVersion        : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 6.00.2900.2180
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Explorateur Windows
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : EXPLORER.EXE

#:12 [wincs32.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1860
    ThreadCreationTime : 02-06-2007 13:24:17
    BasePriority       : Normal


#:13 [cursorxp.exe]
    FilePath           : C:\Program Files\CursorXP\
    ProcessID          : 1940
    ThreadCreationTime : 02-06-2007 13:24:18
    BasePriority       : High


#:14 [ctfmon.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1948
    ThreadCreationTime : 02-06-2007 13:24:18
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : CTF Loader
    InternalName       : CTFMON
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : CTFMON.EXE

#:15 [wintems.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1964
    ThreadCreationTime : 02-06-2007 13:24:18
    BasePriority       : Normal


#:16 [hpqtra08.exe]
    FilePath           : C:\Program Files\HP\Digital Imaging\bin\
    ProcessID          : 2020
    ThreadCreationTime : 02-06-2007 13:24:19
    BasePriority       : Normal
    FileVersion        : 5.35.0.035
    ProductVersion     : 005.035.000.035
    ProductName        : hp digital imaging - hp all-in-one series
    CompanyName        : Hewlett-Packard Co.
    FileDescription    : HP Digital Imaging Monitor (CUE)
    InternalName       : HPQTRA00
    LegalCopyright     : Copyright (C) Hewlett-Packard Co. 1995-2001
    OriginalFilename   : HPQTRA00.EXE
    Comments           : HP Digital Imaging Monitor (CUE)

#:17 [spoolsv.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 600
    ThreadCreationTime : 02-06-2007 13:24:27
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
    ProductVersion     : 5.1.2600.2696
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:18 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1084
    ThreadCreationTime : 02-06-2007 13:24:38
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:19 [cdac11ba.exe]
    FilePath           : C:\WINDOWS\system32\drivers\
    ProcessID          : 1132
    ThreadCreationTime : 02-06-2007 13:24:38
    BasePriority       : Normal
    FileVersion        : 4.20.020
    ProductVersion     : 4.20.020 Windows NT 2002/12/10
    ProductName        : SafeCast Windows NT
    CompanyName        : Macrovision
    FileDescription    : Macrovision RTS Service
    InternalName       : CDANTSRV
    LegalCopyright     : Copyright (c) 1998-2002 Macrovision Corp.
    OriginalFilename   : CDANTSRV.EXE
    Comments           : StringFileInfo: U.S. English

#:20 [cachemanxp.exe]
    FilePath           : C:\PROGRA~1\CACHEM~1\
    ProcessID          : 1180
    ThreadCreationTime : 02-06-2007 13:24:38
    BasePriority       : Normal
    FileVersion        : 1.1.0.6
    CompanyName        : OuterTechnologies
    FileDescription    : CachemanXP - controls File Cache and recovers RAM
    LegalCopyright     : (c) 2004 by Outer Technologies
    Comments           : http://www.outertech.com

#:21 [mdm.exe]
    FilePath           : C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\
    ProcessID          : 1296
    ThreadCreationTime : 02-06-2007 13:24:39
    BasePriority       : Normal
    FileVersion        : 7.00.9064.9150
    ProductVersion     : 7.00.9064.9150
    ProductName        : Microsoft Development Environment
    CompanyName        : Microsoft Corporation
    FileDescription    : Machine Debug Manager
    InternalName       : mdm.exe
    LegalCopyright     : Copyright (C) Microsoft Corp. 1997-2000
    OriginalFilename   : mdm.exe

#:22 [nvsvc32.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1324
    ThreadCreationTime : 02-06-2007 13:24:39
    BasePriority       : Normal
    FileVersion        : 6.14.10.5303
    ProductVersion     : 6.14.10.5303
    ProductName        : NVIDIA Driver Helper Service, Version 53.03
    CompanyName        : NVIDIA Corporation
    FileDescription    : NVIDIA Driver Helper Service, Version 53.03
    InternalName       : NVSVC
    LegalCopyright     : (C) NVIDIA Corporation. All rights reserved.
    OriginalFilename   : nvsvc32.exe

#:23 [starwindservice.exe]
    FilePath           : C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\
    ProcessID          : 1300
    ThreadCreationTime : 02-06-2007 13:24:39
    BasePriority       : Normal
    FileVersion        : 2.6.1 Build 0x20050401
    ProductVersion     : 2.6.1 Build 0x20050401
    ProductName        : StarWind
    CompanyName        : Rocket Division Software
    FileDescription    : StarWind iSCSI Target (Alcohol Edition)
    InternalName       : StarWind
    LegalCopyright     : Copyright (c) Rocket Division Software 2003-2005. All rights reserved.
    OriginalFilename   : StarWind

#:24 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1264
    ThreadCreationTime : 02-06-2007 13:24:39
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:25 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 3020
    ThreadCreationTime : 02-06-2007 13:25:23
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:26 [iexplore.exe]
    FilePath           : C:\Program Files\Internet Explorer\
    ProcessID          : 3832
    ThreadCreationTime : 02-06-2007 13:33:09
    BasePriority       : Normal
    FileVersion        : 7.00.6000.16441 (vista_gdr.070219-1500)
    ProductVersion     : 7.00.6000.16441
    ProductName        : Windows® Internet Explorer
    CompanyName        : Microsoft Corporation
    FileDescription    : Internet Explorer
    InternalName       : iexplore
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : IEXPLORE.EXE

#:27 [ad-aware.exe]
    FilePath           : C:\PROGRA~1\Lavasoft\AD-AWA~1\
    ProcessID          : 1040
    ThreadCreationTime : 02-06-2007 14:13:22
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 Dialer Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : appid\{9c24e5a6-17ea-4eaf-82ec-d1c074b22d51}

 Dialer Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : clsid\{2472dccc-68ce-49da-aa81-e7e6d83c1dfa}

 Dialer Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : clsid\{2472dccc-68ce-49da-aa81-e7e6d83c1dfa}
    Value              : AppID

 Dialer Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : typelib\{592484a7-208c-4613-ac97-337d5d204bfb}

 Zango Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 4
    Category           : Adware
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : interface\{031cbf6a-c70e-4177-a0d4-c5268ee311fb}

 Zango Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 4
    Category           : Adware
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : interface\{85e06077-c824-43d0-a8dc-5efb17bc348a}

 Zango Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 4
    Category           : Adware
    Comment            :
    Rootkey            : HKEY_USERS
    Object             : S-1-5-21-3707629432-1164822797-817717784-1003\software\microsoft\windows\currentversion\ext\stats\{5cbe2611-c31b-401f-89bc-4cbb25e853d7}

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 7
Objects found so far: 7


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 Possible Browser Hijack attempt Object Recognized!
    Type               : Regkey
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising
    Value              : UninstallString

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising
    Value              : HelpLink

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising
    Value              : Publisher

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising
    Value              : URLInfoAbout

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising
    Value              : Contact

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising
    Value              : Comments

 Possible Browser Hijack attempt Object Recognized!
    Type               : RegValue
    Data               : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising "http://www.gamehouse.com/"
    TAC Rating         : 4
    Category           : Adware
    Comment            : (http://www.gamehouse.com/)
    Rootkey            : HKEY_LOCAL_MACHINE
    Object             : Software\Microsoft\Windows\CurrentVersion\Uninstall\Luxor: Amun Rising
    Value              : DisplayIcon

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 8
Objects found so far: 15

 Zango Object Recognized!
    Type               : RegValue
    Data               :
    TAC Rating         : 4
    Category           : Adware
    Comment            :
    Rootkey            : HKEY_USERS
    Object             : S-1-5-21-3707629432-1164822797-817717784-1003\software\microsoft\internet explorer\toolbar\Webbrowser
    Value              : {5cbe2611-c31b-401f-89bc-4cbb25e853d7}


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@www.smartadserver[3].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:10
    Value              : Cookie:propriétaire@www.smartadserver.com/
    Expires            : 28-05-2027 16:08:08
    LastSync           : Hits:10
    UseCount           : 0
    Hits               : 10

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@doubleclick[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:3
    Value              : Cookie:propriétaire@doubleclick.net/
    Expires            : 01-06-2010 16:07:42
    LastSync           : Hits:3
    UseCount           : 0
    Hits               : 3

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@mediaplex[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:2
    Value              : Cookie:propriétaire@mediaplex.com/
    Expires            : 22-06-2009 02:00:00
    LastSync           : Hits:2
    UseCount           : 0
    Hits               : 2

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@ad.yieldmanager[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:22
    Value              : Cookie:propriétaire@ad.yieldmanager.com/
    Expires            : 01-06-2009 15:29:12
    LastSync           : Hits:22
    UseCount           : 0
    Hits               : 22

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@adtech[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:2
    Value              : Cookie:propriétaire@adtech.de/
    Expires            : 30-05-2017 16:03:32
    LastSync           : Hits:2
    UseCount           : 0
    Hits               : 2

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@2o7[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            :
    Value              : C:\Documents and Settings\Propriétaire\Cookies\propriétaire@2o7[2].txt

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@doubleclick[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            :
    Value              : C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@estat[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            :
    Value              : C:\Documents and Settings\Propriétaire\Cookies\propriétaire@estat[1].txt

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@mediaplex[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            :
    Value              : C:\Documents and Settings\Propriétaire\Cookies\propriétaire@mediaplex[1].txt

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@weborama[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            :
    Value              : C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : propriétaire@www.smartadserver[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            :
    Value              : C:\Documents and Settings\Propriétaire\Cookies\propriétaire@www.smartadserver[1].txt

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 11
Objects found so far: 27



Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : system@clickbank[2].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            :
    Value              : C:\Documents and Settings\LocalService\Cookies\system@clickbank[2].txt

 Win32.TrojanSpy.Banker Object Recognized!
    Type               : File
    Data               : dllvirtual.exe
    TAC Rating         : 10
    Category           : Virus
    Comment            :
    Object             : C:\WINDOWS\system32\



Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 29


Deep scanning and examining files (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 29


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 29



 Possible Browser Hijack attempt Object Recognized!
    Type               : File
    Data               : Visit GameHouse.com.url
    TAC Rating         : 10
    Category           : Misc
    Comment            : Problematic URL discovered: http://www.gamehouse.com/
    Object             : C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\GameHouse\




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 Dialer Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : appid\packagehtml.dll

 Dialer Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : packagehtml.packctl

 Dialer Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CLASSES_ROOT
    Object             : packagehtml.packctl.1

 Dialer Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 5
    Category           : Dialer
    Comment            :
    Rootkey            : HKEY_CURRENT_USER
    Object             : software\freeware

 Dialer Object Recognized!
    Type               : File
    Data               : rasphone.pbk
    TAC Rating         : 5
    Category           : Dialer
    Comment            : DialX-Lite
    Object             : C:\Documents and Settings\Propriétaire\Application Data\microsoft\network\connections\pbk\



 Zango Object Recognized!
    Type               : Regkey
    Data               :
    TAC Rating         : 4
    Category           : Adware
    Comment            :
    Rootkey            : HKEY_CURRENT_USER
    Object             : software\zangotoolbar

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 6
Objects found so far: 36

17:55:59 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:01:39:45.406
Objects scanned:368271
Objects identified:36
Objects ignored:0
New critical objects:36


Je post un log Hijackthis a toute fin utile...

Logfile of HijackThis v1.99.1
Scan saved at 17:49:00, on 02/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3F69E49C-BC5E-35FE-2660-0C6914953800} - (no file)
O2 - BHO: Barre d'outils Texto Web - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - C:\WINDOWS\DOWNLO~1\textobar.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Barre d'outils Texto Web - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - C:\WINDOWS\DOWNLO~1\textobar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Windows Control Service] "C:\WINDOWS\system32\wincs32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpyEmergency] "C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergency.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: DirectX Service (Romez) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergencySrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


HELP ME PLZ Triste
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Angeldark
Equipe Sécurité
Equipe Sécurité


Inscrit le: 23 Mai 2007
Message(s): 121
MessagePosté le: 04 Juin 2007 19:03    Sujet du message: Répondre en citant
Bonjour,

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
sun
Newbie
Newbie


Inscrit le: 02 Juin 2007
Message(s): 7
Localisation: dunkerque
MessagePosté le: 09 Juin 2007 11:05    Sujet du message: Répondre en citant
Bonjour AngelDark, et merci de t'occuper de mon cas, c'est super sympa. Excuse moi de pas m'être manifesté avant, je travail en déplacement et je ne suis là que le weekend. Rolling Eyes J'ai fait ce que m'as demandé et je post le rapport.
PS : je serai présent sur le pc demain après midi ;)

09/06/2007 a 11:01:21,76
 
*** Recherche des fichiers dans C:
C:\StubInstaller.exe FOUND
 
*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\ALCXMNTR.EXE FOUND
C:\WINDOWS\exefld\ FOUND
 
*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\DRIVERS\etc\serv-u.ini FOUND
C:\WINDOWS\system32\hldrrr.exe FOUND
C:\WINDOWS\system32\wintems.exe FOUND
C:\WINDOWS\system32\DRIVERS\etc\conf.dll FOUND
"C:\Documents and Settings\Propri‚taire\Application Data\hidires\" FOUND
 
*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\" FOUND
"C:\Program Files\fichiers communs\ErrorSafe\" FOUND
"C:\Program Files\Fichiers communs\Totem Shared\" FOUND
"C:\Program Files\GameHouse\" FOUND
"C:\Program Files\Instant Access\" FOUND
"C:\Program Files\InternetGameBox\" FOUND
"C:\Program Files\Viewpoint\" FOUND
*** Fin du rapport !


Merci encore pour ton aide. Wink
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Angeldark
Equipe Sécurité
Equipe Sécurité


Inscrit le: 23 Mai 2007
Message(s): 121
MessagePosté le: 09 Juin 2007 23:10    Sujet du message: Répondre en citant
Ce n'est pas grave ;)

Télécharge ELIBAGLA en bas de cette page.
Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau.
Double-clique dessus pour l'ouvrir.
Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\
Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.

AIDE : Comment supprimer Bagle ?

&

Télécharge Navilog1.exe (IL-MAFIOSO)
Enregistre-le sur ton Bureau.
Lance l'installation en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2, 3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse

NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
sun
Newbie
Newbie


Inscrit le: 02 Juin 2007
Message(s): 7
Localisation: dunkerque
MessagePosté le: 10 Juin 2007 17:54    Sujet du message: Répondre en citant
Salut AngelDark, je post le 1er rapport (ELIBAGLA) :

     Sun Jun 10 17:05:49 2007
EliBagle v10.41  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\HIDIRES\HIDR.EXE --> Eliminado Bagle
C:\DOCUMENTS AND SETTINGS\PROPRIéTAIRE\APPLICATION DATA\HIDIRES\M_HOOK.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.41
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HLDRRR.EXE --> Eliminado Bagle
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

     Sun Jun 10 17:06:43 2007
EliBagle v10.41  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\


Log Navilog1.exe :

Search Navipromo version 2.0.3 commencé le 10/06/2007 à 17:29:17,70
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\Instant Access trouvé !
C:\Program Files\InternetGameBox trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\wintems.exe


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
 
 

Recherche Clé Magic Control
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-3707629432-1164822797-817717784-1003\Software\Lanconfig trouvé ! 
 
 
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\lbgmpysdhk.dat trouvé !
**
C:\WINDOWS\system32\lbgmpysdhk.dat trouvé !
***
****
C:\WINDOWS\system32\lbgmpysdhk_navps.dat trouvé !
*****
C:\WINDOWS\system32\lbgmpysdhk_nav.dat trouvé !
C:\WINDOWS\system32\lbgmpysdhk_navup.dat trouvé !
******
*******
********
C:\WINDOWS\system32\lbgmpysdhk.exe trouvé !
 
 
*** Analyse Terminé le 10/06/2007 à 17:51:44,81 ***


Merci encore pour ton aide précieuse ;)
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Angeldark
Equipe Sécurité
Equipe Sécurité


Inscrit le: 23 Mai 2007
Message(s): 121
MessagePosté le: 10 Juin 2007 22:58    Sujet du message: Répondre en citant
Re,

On continue Smile

Double clique sur le raccourci de Navilog1 présent sur ton Bureau.
Suis les instructions. Choisis ensuite l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

L'utilitaire va t'informer qu'il va redémarrer l'ordinateur.
**Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts**
Appuie maintenant sur une touche, comme demandé.
(si ton PC ne redémarre pas automatiquement, fais-le manuellement)

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Ainsi qu'un nouveau rapport Hijackthis.

Ferme Internet Explorer puis Démarrer/Panneau de Configuration/Options Internet.
Choisis l'onglet Contenu puis onglet Certificats.
Si tu trouves les programmes suivant (en particulier dans Editeurs approuvés), supprime-les :

electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
sun
Newbie
Newbie


Inscrit le: 02 Juin 2007
Message(s): 7
Localisation: dunkerque
MessagePosté le: 13 Juin 2007 16:40    Sujet du message: Répondre en citant
Salut angeldark, j'espère que tu vas bien ;)

Voici le rapport de cleannavi

Clean Navipromo version 2.0.3 commencé le 13/06/2007 à 16:28:42,17

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

 
** 2ème passage **
 
C:\WINDOWS\system32\wintems.exe absent !
C:\WINDOWS\system32\wintems.dat absent !
C:\WINDOWS\system32\wintems_nav.dat absent !
C:\WINDOWS\system32\wintems_navps.dat absent !
C:\WINDOWS\system32\wintems_navup.dat absent !
C:\WINDOWS\system32\wintems_navtmp.dat absent !
C:\WINDOWS\system32\wintems_m2s.xml absent !
C:\WINDOWS\prefetch\wintems*.pf absent !


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\Instant Access ...suppression...
C:\Program Files\Instant Access supprimé !

C:\Program Files\InternetGameBox ...suppression...
C:\Program Files\InternetGameBox supprimé !


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\tmlpcert2007 supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Propri‚taire\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi***
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
C:\WINDOWS\System32\lbgmpysdhk.dat trouvé !
Copie C:\WINDOWS\system32\lbgmpysdhk.dat réalise avec succes !
C:\WINDOWS\system32\lbgmpysdhk.dat supprimé !

**
***
****
C:\WINDOWS\System32\lbgmpysdhk_navps.dat trouvé !
Copie C:\WINDOWS\system32\lbgmpysdhk_navps.dat réalise avec succes !
C:\WINDOWS\system32\lbgmpysdhk_navps.dat supprimé !

*****
C:\WINDOWS\System32\lbgmpysdhk_nav.dat trouvé !
Copie C:\WINDOWS\system32\lbgmpysdhk_nav.dat réalise avec succes !
C:\WINDOWS\system32\lbgmpysdhk_nav.dat supprimé !

C:\WINDOWS\System32\lbgmpysdhk_navup.dat trouvé !
Copie C:\WINDOWS\system32\lbgmpysdhk_navup.dat réalise avec succes !
C:\WINDOWS\system32\lbgmpysdhk_navup.dat supprimé !

******
*******
********
C:\WINDOWS\System32\lbgmpysdhk.exe trouvé !
Copie C:\WINDOWS\system32\lbgmpysdhk.exe réalise avec succes !
C:\WINDOWS\system32\lbgmpysdhk.exe supprimé !


3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 13/06/2007 à 16:33:14,64 ***


Et voila le rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 16:37:56, on 13/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergencySrv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3F69E49C-BC5E-35FE-2660-0C6914953800} - (no file)
O2 - BHO: Barre d'outils Texto Web - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - C:\WINDOWS\DOWNLO~1\textobar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Barre d'outils Texto Web - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - C:\WINDOWS\DOWNLO~1\textobar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Control Service] "C:\WINDOWS\system32\wincs32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [BackupNotify] "c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe"
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpyEmergency] "C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergency.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spyemergencycnt.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: DirectX Service (Romez) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: Spy Emergency Shield Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergencySrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
sun
Newbie
Newbie


Inscrit le: 02 Juin 2007
Message(s): 7
Localisation: dunkerque
MessagePosté le: 13 Juin 2007 16:47    Sujet du message: Répondre en citant
J'ai également trouvé elictronic-group et montorgueil. Je les ai donc supprimés. Merci encore pour ton aide ;)
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Angeldark
Equipe Sécurité
Equipe Sécurité


Inscrit le: 23 Mai 2007
Message(s): 121
MessagePosté le: 13 Juin 2007 20:37    Sujet du message: Répondre en citant
Re,

On continue Smile

Redémarre en mode sans échec.

Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 2 puis patiente.

Redémarre normalement.

Poste le rapport clean : C:\rapport_clean.txt
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
sun
Newbie
Newbie


Inscrit le: 02 Juin 2007
Message(s): 7
Localisation: dunkerque
MessagePosté le: 16 Juin 2007 12:39    Sujet du message: Répondre en citant
Salut AngelDark, voici les rapports de clean :

Session administrateur :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 16/06/2007 a 11:38:51,48

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C:
tentative de suppression de C:\StubInstaller.exe
 
*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\ALCXMNTR.EXE
 
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\DRIVERS\etc\serv-u.ini
tentative de suppression de C:\WINDOWS\system32\DRIVERS\etc\conf.dll
 
*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Fichiers communs\DriveCleaner 2006 Free\"
tentative de suppression de "C:\Program Files\fichiers communs\ErrorSafe\"
tentative de suppression de "C:\Program Files\Fichiers communs\Totem Shared\"
tentative de suppression de "C:\Program Files\GameHouse\"
tentative de suppression de "C:\Program Files\Viewpoint\"
 
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


Session propriétaire :

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 16/06/2007 a 12:27:47,57

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C:
 
*** Suppression des fichiers dans C:\WINDOWS\
 
*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de "C:\Documents and Settings\Propri‚taire\Application Data\hidires\"
 
*** Suppression des fichiers dans C:\Program Files
 
*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


Merci encore pour ce que tu fais ! Smile
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Angeldark
Equipe Sécurité
Equipe Sécurité


Inscrit le: 23 Mai 2007
Message(s): 121
MessagePosté le: 17 Juin 2007 21:59    Sujet du message: Répondre en citant
Re,

Tu peux reposter un rapport Hijackthis ?
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
sun
Newbie
Newbie


Inscrit le: 02 Juin 2007
Message(s): 7
Localisation: dunkerque
MessagePosté le: 04 Juil 2007 17:47    Sujet du message: Répondre en citant
Salut AngelDark, dsl ne ne pas avoir répondu rapidement :s

Voila le log hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 17:45:29, on 04/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\wincs32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Systran\4_0\Premium\SYSTRA~1.EXE
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3F69E49C-BC5E-35FE-2660-0C6914953800} - (no file)
O2 - BHO: Barre d'outils Texto Web - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - C:\WINDOWS\DOWNLO~1\textobar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: Barre d'outils Texto Web - {4E7BD74F-2B8D-469E-C0FF-FD63A08DBF29} - C:\WINDOWS\DOWNLO~1\textobar.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Control Service] "C:\WINDOWS\system32\wincs32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [BackupNotify] "c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe"
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpyEmergency] "C:\Program Files\NETGATE\Spy Emergency 2006\SpyEmergency.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: DirectX Service (Romez) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Bon courage et encore merci ;)
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Angeldark
Equipe Sécurité
Equipe Sécurité


Inscrit le: 23 Mai 2007
Message(s): 121
MessagePosté le: 04 Juil 2007 22:10    Sujet du message: Répondre en citant
Re,

J'aimerais véridier qq chose :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Publicité
Répondre au sujet Le site -> Assiste PC Index du Forum -> Désinfection des virus & analyses de logs HijackThis Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

Navigation Autres sujets similaires

Sauter vers :
10 

 


Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum

| Le Site | Nous contacter | Annuaire | phpBB | phpBB SEO | Location de vacances | Informatruc | Forum Map | Site Map |