> Tous les forumsSécurité

 Infection par troyan, rapport HijackThisSujet résolu
Statut du sujet : RESOLU Imprimer
 aletadi
  Posté le 15/06/2007 @ 00:08  
 Petit astucien

235 Messages

Bonsoir à toutes et à tous,

Une nouvelle installation de NIS à trouvé lors de la première vérification complète de cette machine, une flopée de Troyan

Voici d'ailleurs le log généré par cette vérification:

Statistiques sur l'analyse :
Temps d'analyse : 3000
Options d'analyse :
Cibles d'analyse : C:, D:
Décompte :
Total des éléments analysés : 205621
- Fichiers et répertoires : 202634
- Entrées de registre : 238
- Processus et éléments de démarrage : 2679
- Eléments réseau et navigateur : 49
- Menaces inconnues potentielles : 16
- Autres : 5

Total des risques de sécurité détectés : 22
Total des éléments corrigés : 22
Total des éléments à vérifier : 0

menaces résolues :
Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
16 fichiers
c:\documents and settings\propriétaire\local settings\Temp\tmp5.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp6.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmpA.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmpB.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmpD.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmpE.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmpF.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp10.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp11.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp12.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp13.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp14.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp15.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp2.tmp - Supprimé
c:\Documents and Settings\Propriétaire\Local Settings\Temp\tmp3.tmp - Supprimé
1 cache de navigateur

Trojan.Pandex!inf
ID virus : 11512
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
1 fichier
c:\RECYCLER\s-1-5-21-1269039581-2950334131-844756473-1003\Dc2.tmp - Réparé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
7 fichiers
c:\WINDOWS\system32\sbdqmb.exe - Supprimé
c:\WINDOWS\system32\jabnr.exe - Supprimé
c:\WINDOWS\system32\jiix.exe - Supprimé
c:\WINDOWS\system32\qdzd.exe - Supprimé
c:\WINDOWS\system32\ackxxsq.exe - Supprimé
c:\WINDOWS\system32\alqez.exe - Supprimé
c:\WINDOWS\system32\cuqdeb.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
7 fichiers
c:\WINDOWS\system32\swjkxrdi.exe - Supprimé
c:\WINDOWS\system32\mfwecaoa.exe - Supprimé
c:\WINDOWS\system32\aeaaghvt.exe - Supprimé
c:\WINDOWS\system32\atqtiaaa.exe - Supprimé
c:\WINDOWS\system32\auxaaaaa.exe - Supprimé
c:\WINDOWS\system32\debafaau.exe - Supprimé
c:\WINDOWS\system32\dejqeetc.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
2 fichiers
c:\WINDOWS\system32\dmioxord.exe - Supprimé
c:\WINDOWS\system32\dmnpaaaa.exe - Supprimé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
5 fichiers
c:\WINDOWS\system32\fbevievp.exe - Supprimé
c:\WINDOWS\system32\eoydxt.exe - Supprimé
c:\WINDOWS\system32\eqbdqaoq.exe - Supprimé
c:\WINDOWS\system32\hchoxlw.exe - Supprimé
c:\WINDOWS\system32\hebwlfhz.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
1 fichier
c:\WINDOWS\system32\gowldega.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
4 fichiers
c:\WINDOWS\system32\mstscex.dll - Supprimé
c:\WINDOWS\system32\mwjtegrd.exe - Supprimé
c:\WINDOWS\system32\mwpnaaaa.exe - Supprimé
c:\WINDOWS\system32\oleauth32.dll - Supprimé
1 cache de navigateur

Trojan.Dropper
ID virus : 11027
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
1 fichier
c:\WINDOWS\system32\mxhkaaaa.exe - Supprimé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
2 fichiers
c:\WINDOWS\system32\mzyzvo.exe - Supprimé
c:\WINDOWS\system32\nbjjqrs.exe - Supprimé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
2 fichiers
c:\WINDOWS\system32\otwzd.exe - Supprimé
c:\WINDOWS\system32\oylf.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
4 fichiers
c:\WINDOWS\system32\pdyiaaaa.exe - Supprimé
c:\WINDOWS\system32\phbbiaaa.exe - Supprimé
c:\WINDOWS\system32\phvudaaa.exe - Supprimé
c:\WINDOWS\system32\pygpiaaa.exe - Supprimé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
2 fichiers
c:\WINDOWS\system32\rhbzruuh.exe - Supprimé
c:\WINDOWS\system32\sqpylqi.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
2 fichiers
c:\WINDOWS\system32\scsivsnn.exe - Supprimé
c:\WINDOWS\system32\sktqrkcl.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
6 fichiers
c:\WINDOWS\system32\ssovkvbd.exe - Supprimé
c:\WINDOWS\system32\vgkjaaaa.exe - Supprimé
c:\WINDOWS\system32\vlwraaaa.exe - Supprimé
c:\WINDOWS\system32\vlyajaaa.exe - Supprimé
c:\WINDOWS\system32\vtailaaa.exe - Supprimé
c:\WINDOWS\system32\vtcoehir.exe - Supprimé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
2 fichiers
c:\WINDOWS\system32\urwx.exe - Supprimé
c:\WINDOWS\system32\vyld.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
4 fichiers
c:\WINDOWS\system32\sgksbaaa.exe - Supprimé
c:\WINDOWS\system32\sgqaaaaa.exe - Supprimé
c:\WINDOWS\system32\sgyomjoh.exe - Supprimé
c:\WINDOWS\system32\jrmaohrh.exe - Supprimé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
4 fichiers
c:\WINDOWS\system32\fhxlzdn.exe - Supprimé
c:\WINDOWS\system32\zbmqcyt.exe - Supprimé
c:\WINDOWS\system32\bxrqjql.exe - Supprimé
c:\WINDOWS\system32\byhs.exe - Supprimé
1 cache de navigateur

Backdoor.Trojan
ID virus : 7586
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
1 fichier
c:\WINDOWS\system32\idon.exe - Supprimé
1 cache de navigateur

Trojan Horse
ID virus : 25464
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
1 fichier
c:\WINDOWS\system32\ssqaaaaa.exe - Supprimé
1 cache de navigateur

Infostealer.Bzup
ID virus : 40659
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
1 fichier
c:\WINDOWS\update.html - Supprimé
1 cache de navigateur

Trojan.Pandex!inf
ID virus : 11512
Type : Anomalie
Risque : Elevé (Elevé Furtivité, Elevé Suppression, Elevé Performances, Elevé Confidentialité)
Catégories : Virus
Etat : Totalement résolu
-----------
1 fichier
c:\WINDOWS\$ntservicepackuninstall$\winlogon.exe.000 - Réparé
1 cache de navigateur

Menaces non résolues :

_______________________________________________________

Au vu de ces résultats, j'ai entrepris un pré=nettoyage traditionel, et poste ici le log AVG, ainsi qu'un log HijackThis, pour demander q'un gentil, ou une gentille astucienne,y jette un coup d'oeil et m'aide à terminer la désinfection de ce PC dans les meilleurs conditions.

Voici les log.

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:23:34 14/06/2007

+ Résultat de l'analyse:

C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP71\A0034881.exe -> Backdoor.Rbot : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059898.dll -> Downloader.Agent.bnm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059904.dll -> Downloader.Agent.bnm : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0058829.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0058830.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059875.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059876.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059878.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059879.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059881.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059882.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059884.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059887.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059892.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059893.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059894.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059896.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059897.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059902.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059903.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059905.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059906.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059911.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059914.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059916.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059922.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059926.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059927.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059929.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059930.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059931.exe -> Proxy.Agent.mf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP70\A0032774.exe -> Proxy.Dlena.nam : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts -> Proxy.Small : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP71\A0034918.exe -> Trojan.Agent.alw : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\winhp32cln.exe -> Trojan.Agent.alw : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\drivers\kcp.sys -> Trojan.Agent.lf : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP73\A0040245.dll -> Trojan.Tanspy : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059901.exe -> Trojan.Tanspy : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system32\ipv6mops.dl_ -> Trojan.Tanspy : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP76\A0041581.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059877.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059880.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059883.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059885.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059886.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059888.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059889.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059890.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059891.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059895.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059899.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059900.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059907.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059908.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059909.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059910.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059912.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059913.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059915.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059917.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059918.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059919.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059920.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059921.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059923.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059924.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059925.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059928.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0059932.exe -> Trojan.Zapchast.ca : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

=================================================================

Logfile of HijackThis v1.99.1
Scan saved at 00:06:30, on 15/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MS_update_0704_KB74073.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - (no file)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6monr.dll
O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file)
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [DVDTray] "C:\Program Files\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [WinMedia] svchost
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MS_update_0704_KB74073.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/169b873b36aa8cbcb419/netzip/RdxIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160845601202
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

Merci déjà de votre aide
 Afficher le profil de aletadi Envoyer un message privé à aletadi
 
 
Publicité
 nardino  Posté le 15/06/2007 à 00:17  
  Groupe Sécurité


8719 Messages

Bonsoir,

Analyse de ton rapport en cours, @+

Afficher le profil de nardino Voir la configuration de nardinoEnvoyer un message privé à nardino
 Revenir en haut de la page
 aletadi  Posté le 15/06/2007 à 00:28  
Petit astucien

235 Messages
Merci Nardino, je suis à ton écoute.
Afficher le profil de aletadi Voir la configuration de aletadiEnvoyer un message privé à aletadi
 Revenir en haut de la page
 nardino  Posté le 15/06/2007 à 01:29  
  Groupe Sécurité


8719 Messages

De retour,

Cette procédure sera effectuée en mode sans échec pour la majeure partie.
Je te conseille :
-De l'imprimer et de cocher les actions effectuées au fur et à mesure.
-Ou de l'enregistrer sur le bureau avec le blocnote sous Procédure.txt par exemple.
-Ou Enregistrer sous : Procédure.html elle s'ouvrira avec ton navigateur.
-Ou Enregistrer sous : Procédure.mht si tu utilises Internet Explorer.

Prends le temps de bien lire, d'appliquer et si tu rencontres des difficultés, n'hésite pas à poser des questions.
Chaque phrase a son importance et il faut bien respecter cette procédure pour agir efficacement.
Cependant, si tu rencontres un problème, saute une étape et informe-nous sur cette difficulté.

A télécharger et installer

-ATF-Cleaner : http://www.atribune.org/content/view/25/1/
-OTMoveIt : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
Sur ton bureau ou dans un dossier que tu crées si tu veux le conserver par la suite.
-A-Squared Free : http://www.emsisoft.net/fr/software/download/
Installe-le et ouvre-le.
En haut dans "Choose your language" choisis French(Français)
Dans Statut de sécurité, clique sur le bouton Faire la mise à jour.
Une fois celle-ci effectuée, ferme le programme.

Démarrage en mode sans échec.

Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter) une fois surligné.
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire et peut prendre un peu plus de temps.
Il faut choisir la même session que celle qui est infectée et non pas la session Administrateur

Nettoyage des fichiers temporaires .

Ouvre ATF-Cleaner
Clique sur Select All et sur le bouton Empty selected, puis OK dans le popup Done qui s'ouvrira quelques secondes plus tard.
Si tu utilises Firefox et/ou Opéra, clique en haut et renouvelle le nettoyage en refusant d'effacer les mots de passe quand cela te sera demandé.
Puis Quit.

Hijackthis.

Tu lances HijackThis par le bouton Scanner seulementou Scan only et tu coches:

O2 - BHO: (no name) - {36645342-9475-2663-166A-466739207346} - (no file) ***Infostealer.Bzup trojan
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\system32\ipv6monr.dll ***Troj/Cimuz-AZ trojan
O3 - Toolbar: (no name) - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - (no file) ***HP toolbar, pas un trojan mais est-ce nécessaire ?
O4 - HKCU\..\Run: [WinMedia] svchost ***plus que douteuse
O4 - Global Startup: MS_update_0704_KB74073.exe ***Trojan.UpdateKB TROJAN
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/169b873b36aa8cbcb419/netzip/RdxIE601.cab ***Détecté par SpywareBlaster

Tu cliques sur Fixer objet ou Fix checked et tu refermes HijackThis.

Nettoyage.

Dans une fenêtre de l'explorateur Windows, Outils, Options des dossiers, Onglet Affichage:
Tu coches
-Afficher les dossiers et fichiers cachés
Tu décoches
-Cacher les extensions des fichiers dont le type est connu.
-Masquer les fichiers protégés du système d'exploitation.
Cette dernière ligne pourra être recochée à la fin du nettoyage, par mesure de sécurité.
Une fois fait, clique sur Appliquer.

Utilise OTMoveIt.
Pour cela ouvre-le:
Copie et colle la liste ci-dessous dans le volet de gauche et clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results à droite.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

C:\WINDOWS\system32\ipv6monr.dll

Recherche l'arborescence de celui-ci et supprime-le par la même méthode : MS_update_0704_KB74073.exe

Scan Anti-Malwares et anti-troyens.

Lance AVG Antispyware.
Tu choisis dans Analyse : Analyse complète du système.
Puis quand le scan est terminé, tu choisis Appliquer les actions, bouton en bas à gauche.
Tu sauves le rapport.

Lance a-squared.
Dans Scanner l'ordinateur, clique sur le bouton Scan Détail, puis Scan en bas.
Puis supprime tout ce qu'il trouve et sur Enregistrer le rapport.

Redémarrage en mode normal

Poste les rapports AVG AntiSpyware, A2Free, OTMoveIt et un nouveau log HijackThis établi en mode normal.
Donne des infos sur l'évolution de la situation et les problèmes éventuellement rencontrés lors de la procédure.

A suivre...



Modifié par nardino le 15/06/2007 01:32
Afficher le profil de nardino Voir la configuration de nardinoEnvoyer un message privé à nardino
 Revenir en haut de la page
 aletadi  Posté le 16/06/2007 à 00:54  
Petit astucien

235 Messages

Bonsoir nardino,

voici les résultats des actions entreprises

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:28:30 15/06/2007

+ Résultat de l'analyse:

C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0060022.exe -> Trojan.Agent.alw : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\\_restore{02154015-BE0F-4EA2-9B01-6F19FB6A5D01}\RP93\A0060023.sys -> Trojan.Agent.lf : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

__________________________________________________

Log OTMoveIt:

DllUnregisterServer procedure not found in C:\WINDOWS\system32\ipv6monr.dll
C:\WINDOWS\system32\ipv6monr.dll NOT unregistered.
C:\WINDOWS\system32\ipv6monr.dll moved successfully.
File/Folder not found.
C:\HijackThis\backups\backup-20070615-115212-566-MS_update_0704_KB74073.exe moved successfully.

Created on 06/15/2007 12:07:17
____________________________________________________

Version - a-squared Anti-Malware 3.0
Dernière mise à jour: 15/06/2007 11:37:55

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\, D:\
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 15/06/2007 22:55:02

c:\windows\update.exe Détecter: Trace.File.IRCBDoor
Value: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run --> reminder Détecter: Trace.Registry.FTPAttack
C:\hp\bin\KillWind.exe Détecter: Riskware.RiskTool.Win32.PsKill.p

Scanné

Fichiers: 140847
Traces: 119603
Cookies: 1
Processus: 12

Trouver

Fichiers: 1
Traces: 2
Cookies: 0
Processus: 0
Clés de Registre: 0

Fin du Scan: 16/06/2007 00:06:18
Temps du Scan: 01:11:16
__________________________________________________

Logfile of HijackThis v1.99.1
Scan saved at 00:35:06, on 16/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\a-squared Anti-Malware\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\HP DVD\Umbrella\DVDTray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [DVDTray] "C:\Program Files\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [a-squared] "C:\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160845601202
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\a-squared Anti-Malware\a2service.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

____________________________________________________________

____________________________________________________________

Le Pc refonctionne mieux, mais est encore très lent (surtout le démarrage).

La fonction "Auto protect" de Norton Internet Sécurity ne peut plus être activée!!! est-ce encore la faute d'un malware qui subsisterait?

Mais dans l'ensemble, je pense que la situation s'est grandement améliorée.

Voici donc, j'attends de tes nouvelles. Encore merci de ton aide.

Afficher le profil de aletadi Voir la configuration de aletadiEnvoyer un message privé à aletadi
 Revenir en haut de la page
 nardino  Posté le 16/06/2007 à 01:46  
  Groupe Sécurité


8719 Messages
Bonsoir,

Nettoyage des quarantaines.

Tu vides les quarantaines de;
-Norton
-A-Squarred
-AVGAntispyware.
-Hijackthis

Tu vides ta corbeille.

Tu mets à jour Adobe Reader, nous en sommes à la version 8.1
http://www.adobe.com/fr/products/acrobat/readstep2.html
Décocher Téléchargez également :Adobe Photoshop® Album Édition

Tu désactives la restauration système et tu redémarres.

Tu réactives la restauration système pour créer un nouveau point.

Par acquit de conscience, télécharge Navifix de Il-Mafioso :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Installe-le en cliquant sur le fichier Navilog1.exe

Ouvre le dossier créé dans Program files et clique sur Navilog1.bat
Dans la fenêtre DOS clique sur F pour être en français et Entrée.
Au menu principal suivant, choisis 1 et valide par Entrée.
Ne fais pas le choix 2,3 ou 4 sans l'avis de la personne qui t'aide.
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Il sera sauvegardé dans le dossier sous fixnavi.txt.

Télécharge et installe Code Stuff Starter : http://codestuff.tripod.com/download.shtml

Tu l'ouvres et tu cliques sur AllSection dans la colonne de gauche.
Si tu n'es pas en français, clique sur Configurations, Options, Language et choisis French.

Tu décoches toutes les lignes qui sont en rapport avec les suivantes :

O4 - HKLM\..\Run: [CamMonitor] c:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [DVDTray] "C:\Program Files\HP DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [a-squared] "C:\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

Ne t'inquiète pas si a l'usage tu veux réactiver l'une d'elles, il suffit de la recocher.
Si tu ne les trouves pas dans Starter tu les fixes avec HijackThis.

A suivre...

Modifié par nardino le 16/06/2007 01:48
Afficher le profil de nardino Voir la configuration de nardinoEnvoyer un message privé à nardino
 Revenir en haut de la page
 nardino  Posté le 16/06/2007 à 10:24  
  Groupe Sécurité


8719 Messages

Bonjour.

Un outil spécifique pour l'infection dont tu es victime:

Télécharge SDFix (de AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe pour l'installer dans à la racine du système (C:\SDFix).

Redémarre ton ordinateur en mode sans échec sous la même session et non pas sous le compte administrateur.


* Ouvre le dossier C:\SDFix, double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long pour redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom Report.txt.
* Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

Afficher le profil de nardino Voir la configuration de nardinoEnvoyer un message privé à nardino
 Revenir en haut de la page
 aletadi  Posté le 17/06/2007 à 14:16  
Petit astucien

235 Messages

Salut nardino.

Voici donc les deux derniers Log que tu m'as demandé.


SDFix: Version 1.88

Run by Propri‚taire on 17/06/2007 at 13:14

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...


Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\SYSTEM32\IALMCOIN.DLL - Deleted

Removing Temp Files...

ADS Check:

Checking C:\WINDOWS\
C:\WINDOWS
No streams found.

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.


Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\wxplr.exe"="C:\\WINDOWS\\system32\\wxplr.exe:*:Disabled:wxplr"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\WINDOWS\\system32\\rqzkrh.exe"="C:\\WINDOWS\\system32\\rqzkrh.exe:*:Disabled:rqzkrh"
"C:\\WINDOWS\\system32\\firewall.exe"="C:\\WINDOWS\\system32\\firewall.exe:*:Enabled:firewall"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Listing Files with Hidden Attributes:

C:\WINDOWS\SoftwareDistribution\Download\753d5d5c56354486d8c44dd4c57465e1\BIT21.tmp

Listing User Accounts:

comptes d'utilisateurs de \\NOM-BGYSOYRL7XQ

Administrateur ASPNET HelpAssistant
Invit‚ Propri‚taire SUPPORT_388945a0
SUPPORT_fddfa904
La commande s'est termin‚e correctement.


Finished
==================================================================

Search Navipromo version 2.0.3 commencé le 17/06/2007 à 12:29:34,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


*** Recherche dossiers dans C:\WINDOWS ***


*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Recherche dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 06/17/07 at 12:29:37.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .....................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/17/07 at 12:38:36 (return code = 0).


*** Recherche fichiers ***


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 17/06/2007 à 12:39:11,09 ***
=========================================================

Je pense que la situation est déjà bien décantée. Le Pc fonctionne bien maintenant

Merci encore de ton aide.

Afficher le profil de aletadi Voir la configuration de aletadiEnvoyer un message privé à aletadi
 Revenir en haut de la page
 nardino  Posté le 17/06/2007 à 19:37  
  Groupe Sécurité


8719 Messages

Bonsoir,

Si la situation est redevnue normale sur ton pc, voici quelques conseils pour finir.

Vide la corbeille.

Supprime les points de restauration en désactivant la fonction :

Désactiver ou activer la Restauration du système de Windows XP

Redémarre et réactive-la pour créer un point sain de restauration.

Supprime les dossiers Sdfix et désinstalle Navifix par Ajout/Suppression des programmes.

Mets à jour ta version de Adobe Reader:

Acrobat Reader 8.1 :

Décocher Téléchargez également :Adobe Photoshop® Album Édition

Installe un parfeu et désactive celui de Microsoft

Par exemple : Kerio Personal Firewall

Tuto-Kério PareFeu

Afficher le profil de nardino Voir la configuration de nardinoEnvoyer un message privé à nardino
 Revenir en haut de la page
 aletadi  Posté le 18/06/2007 à 22:58  
Petit astucien

235 Messages

Salut nardino.

Le Pc refonctionne très bien maintenant. J'ai terminer les dernières actions et appliqué tes derniers conseils. Je te remercie pour ton aide précieuse

A bientôt ; et bien à toi

Alexis

Afficher le profil de aletadi Voir la configuration de aletadiEnvoyer un message privé à aletadi
 Revenir en haut de la page
Haut de la page 
Inscrivez-vous !
- Posez vos questions

- Résolvez vos problèmes

- Aidez les autres

- Participez et créez vos discussions

- Dialoguez en privé avec d'autres membres

- Suivez vos sujets préférés

- Affichez les signatures des membres

TOUT EST GRATUIT !

Je crée mon compte




Vous avez besoin d'aide ?
Des centaines d'experts sont à votre disposition sur les forums PC Astuces pour vous aider gratuitement, 24h/24, 7j/7.

Les derniers sujets résolus !
 

 > Tous les forumsSécurité

 
Forum PC Astuces© 1997-2008 WebastucesAller en haut de la page