Avast que veut dire ce message a l'écran ?

Ajouter un message à la discussion

ptitkoala

Posté le 25/04/2008 @ 22:16

clbugnot

Posté le 25/04/2008 à 22:41

Grand Maître astucien

Bonjour ptitkoala

Ton PC est probablement infecté par le virus bagle. Problème pour le forum Sécurité. Clique l'icone dans le bandeau au-dessus de ton premier post et demande au modérateur d'y déplacer ton sujet.

Modifié par clbugnot le 25/04/2008 22:42

pcastuces

Posté le 26/04/2008 à 22:19

Equipe PC Astuces

Bonjour,

Le sujet a ÚtÚ dÚplacÚ par la modÚration dans un forum plus adÚquat.

Vous pouvez continuer la discussion Ó la suite.

A bient¶t.

chrifleur

Posté le 26/04/2008 à 22:28

Groupe Sécurité

bonsoir

si tu as téléchargé des cracks, et c'est le cas puisque c'est comme cela que bagle s'installe, supprime les car ils relancent l'infection dès que les ouvres

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,

clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau. renomme le mdelk.exe
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer.

poste le rapport obtenu puis fais ceci

suis ce tutoriel et poste le rapport obtenu

https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

poste un rapport hijack this et dis si ton antivirus fonctionne à nouveau

ptitkoala

Posté le 27/04/2008 à 08:19

Merci Chrifleur de m'avoir répondu.

J'ai bien suivie mot par mot ce qui était marqué dans ton message, mais je ne vois pas apparaître la phrase "Por favor, envienos .... etc"

Par contre quand j'ai lancé Elibagla, lorsque le log ma analysé mes DD, il a trouvé un fichier qui s'appelle MSSYSMGR.EXE -> BAGLE.dldr.

Que dois je faire maintenant ?

Désolée mais je ne voudrais pas faire une bétisse.

Merci d'avance de l'attention que tu porte a mon message

chrifleur

Posté le 27/04/2008 à 09:15

Groupe Sécurité

pour envoyer le fichier pas grave, simplement il n'y en a pas d'inconnus

laisse Elibabla travailler puis poste moi son rapport afin que je puisse l'étudier et voir si tout est bien parti...

ptitkoala

Posté le 27/04/2008 à 10:18

Voilà Chrifleur,

J'ai relancer ELIBAGLA, une premère fenêtre s'ouvre message : détectado gusano BAGLE, reinicie para complet la limpieza, j'ai cliqué sur OK et voilà ELIBAGLA qui travaille, puis au bout d'un moment d'ouvre une fenêtre avec le message suivant avec un point d'exclamation jaune qui dit " acceso denegado a la carpeta c:\windows\temp\av_proI.tm2~a00484(16) " en me donnant la possiblité d'appuyer sur OK.

En appuyant sur OK ELIBAGLA continue pendant 1 min, puis s'arrête, dans la case blanche dans la fenêtre ELIBAGLA est vide !! pas de rapport.

Qu'en pense tu ?

Je viens de lancer un scann en ligne avec KASPERSKY, j'attend qu'il soit fini pour te donner des nouvelles, si cela ne te dérange pas.

J'ai une crainte que Avast ne démarre plus, j'ai essayer ce matin de bonne heure de lancer spybot, mais il ne démarre pas non plus .....

Mon ordinateur est ma survie durant maladie, je fais beaucoup de montage photo de mes petits enfants. Je te remercie pour ton aide.

chrifleur

Posté le 27/04/2008 à 10:26

Groupe Sécurité

le rapport de elibabla, tu le trouveras ici

c:\infosat

j'attends ton rapport Kaspersky, il sera de toute façon très utile

fais aussi malwarebyte comme demandé

ptitkoala

Posté le 27/04/2008 à 10:44

Désolée je ne savais pas l'endroit où était le rapport, merci de me l'avoir indiqué, le voici :

Sun Apr 27 08:01:23 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sun Apr 27 08:02:50 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Simple Star\PhotoShow Deluxe\data\Xtras\MSSYSMGR.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 12325
Nº Total de Ficheros: 169790
Nº de Ficheros Analizados: 15477
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Sun Apr 27 08:22:03 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Apr 27 08:22:20 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 12325
Nº Total de Ficheros: 170093
Nº de Ficheros Analizados: 15476
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Sun Apr 27 09:36:42 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sun Apr 27 09:37:09 2008
EliBagle v11.31 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 12335
Nº Total de Ficheros: 171779
Nº de Ficheros Analizados: 15474
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Peut être que cela aidera pour solutionné mon souci !!

Kaspersky n'a pas encore terminé, dès que je te dirais .

Enocre merci

chrifleur

Posté le 27/04/2008 à 10:56

Groupe Sécurité

c'est bon laisse tomber Kaspersky, bagle est toujours présent!! tu fais ceci

suis bien les consignes, c'est important!!

Télécharge ComboFix.exe (par sUBs) sur ton Bureau de la façon décrite dans le tutoriel que je te donne, c'est important

https://forum.pcastuces.com/sujet.asp?f=25&s=37315

Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix . Merci. Tu le réactiveras ensuite, en fin de désinfection.

voir ici comment désactiver tes protections
https://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

Double clique sur ComboFix.exe (ComboFix)
tape 1 puis tape sur Entrée

A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...

Lorsque l'analyse sera terminée, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparait pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Modifié par chrifleur le 27/04/2008 11:16

ptitkoala

Posté le 27/04/2008 à 13:07

Me voilà de retour après avoir "suivie a la lettre tes explications, voici le rapport

* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\BUREAU\Application Data\MessengerSkinner
C:\Documents and Settings\BUREAU\Application Data\MessengerSkinner\Userdata\languages.xml
C:\Documents and Settings\BUREAU\Application Data\MessengerSkinner\Userdata\pack1.cab
C:\Program Files\autorun.inf
C:\Program Files\Temporary
C:\Program Files\WinAble
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\ban_list.txt
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\168406.exe
C:\WINDOWS\system32\drivers\downld\173140.exe
C:\WINDOWS\system32\drivers\downld\174921.exe
C:\WINDOWS\system32\drivers\downld\180562.exe
C:\WINDOWS\system32\drivers\downld\194359.exe
C:\WINDOWS\system32\drivers\downld\201328.exe
C:\WINDOWS\system32\drivers\downld\214328.exe
C:\WINDOWS\system32\drivers\downld\228906.exe
C:\WINDOWS\system32\drivers\downld\275875.exe
C:\WINDOWS\system32\drivers\downld\293656.exe
C:\WINDOWS\system32\drivers\downld\305000.exe
C:\WINDOWS\system32\drivers\downld\316843.exe
C:\WINDOWS\system32\drivers\downld\43019031.exe
C:\WINDOWS\system32\drivers\downld\43022140.exe
C:\WINDOWS\system32\drivers\downld\43032828.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-27 to 2008-04-27 ))))))))))))))))))))))))))))))))))))
.

2008-04-27 08:45 . 2008-04-27 08:45 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-26 08:12 . 2008-04-26 08:12 <REP> d-------- C:\Program Files\Serv-U
2008-04-26 08:12 . 2008-04-26 08:12 <REP> d-------- C:\Program Files\realvnc
2008-04-26 08:12 . 2008-04-26 08:12 561,298 --a------ C:\WINDOWS\Nokia_19_jpg.zip
2008-04-26 08:12 . 2008-04-26 08:12 3,668 --a------ C:\WINDOWS\system32\pk.bin
2008-04-26 08:12 . 2008-04-26 08:12 732 --a------ C:\WINDOWS\system32\inst.dat
2008-04-26 06:46 . 2008-04-26 06:46 <REP> d-------- C:\Documents and Settings\BUREAU\Application Data\vlc
2008-04-25 10:11 . 2008-04-25 10:11 <REP> d-------- C:\Program Files\Alwil Software
2008-04-25 10:01 . 2008-04-25 10:04 <REP> d-------- C:\Program Files\Kaspersky.Antivirus.Personal.Pro.v5.0.383-FR.Incl-Keys.par.eMule-Paradise.com
2008-04-24 17:59 . 2008-04-24 17:59 <REP> d-------- C:\Alien Skin
2008-04-23 19:43 . 2008-04-23 20:23 <REP> d-------- C:\Program Files\AKVIS
2008-04-15 20:09 . 2008-04-15 20:09 <REP> d-------- C:\Program Files\Alien Skin
2008-04-15 08:49 . 2008-04-15 08:49 <REP> d-------- C:\Program Files\Sun
2008-04-15 08:48 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-15 04:31 . 2008-04-19 07:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-15 04:31 . 2008-04-15 04:31 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-13 07:57 . 2008-04-13 07:57 <REP> d-------- C:\Documents and Settings\BUREAU\Application Data\TribalWeb
2008-04-06 22:18 . 2008-04-06 22:18 <REP> d-------- C:\virtualroots
2008-04-06 22:18 . 2008-04-06 22:18 <REP> d-------- C:\Program Files\HP
2008-04-05 10:17 . 2008-04-05 10:17 <REP> d-------- C:\WINDOWS\MSSecurityNS
2008-04-05 10:17 . 2008-04-05 10:17 <REP> d-------- C:\WINDOWS\MSSecurityNi
2008-04-05 08:29 . 2008-04-05 08:29 <REP> d-------- C:\WINDOWS\Xaos Folder
2008-04-04 18:03 . 2008-04-04 18:12 <REP> d-------- C:\Program Files\Photo to skech

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-27 09:58 --------- d-----w C:\Program Files\Générateur voix
2008-04-27 06:26 --------- d-----w C:\Program Files\emule
2008-04-26 06:12 --------- d-----w C:\Program Files\Macrogaming
2008-04-26 06:09 --------- d-----w C:\Program Files\a-squared Free
2008-04-26 04:48 --------- d-----w C:\Program Files\lphant
2008-04-24 08:11 --------- d-----w C:\Documents and Settings\BUREAU\Application Data\Alien Skin
2008-04-24 08:00 --------- d---a-w C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-04-23 20:05 --------- d-----w C:\Program Files\adslTV
2008-04-15 06:48 --------- d-----w C:\Program Files\Java
2008-04-13 05:57 --------- d-----w C:\Program Files\TRIBALWEB
2008-04-06 17:49 --------- d-----w C:\Documents and Settings\BUREAU\Application Data\gtk-2.0
2008-04-04 16:04 5,632 --sha-w C:\Program Files\Thumbs.db
2008-03-25 18:53 --------- d-----w C:\Documents and Settings\BUREAU\Application Data\AdobeUM
2008-03-24 07:59 21,185 ----a-w C:\WINDOWS\Fonts\basic_font.zip
2008-03-23 18:34 16,782 ----a-w C:\WINDOWS\Fonts\prmirror.zip
2008-03-23 07:57 81,991 ----a-w C:\WINDOWS\Fonts\countrybutton.zip
2008-03-23 07:57 65,631 ----a-w C:\WINDOWS\Fonts\kringle.zip
2008-03-23 07:57 65,343 ----a-w C:\WINDOWS\Fonts\rope.zip
2008-03-23 07:57 43,898 ----a-w C:\WINDOWS\Fonts\christmaslights.zip
2008-03-23 07:57 43,372 ----a-w C:\WINDOWS\Fonts\amazone.zip
2008-03-23 07:57 43,261 ----a-w C:\WINDOWS\Fonts\Kinkee.zip
2008-03-23 07:57 38,427 ----a-w C:\WINDOWS\Fonts\typouprn.zip
2008-03-23 07:57 35,771 ----a-w C:\WINDOWS\Fonts\flx_girl.zip
2008-03-23 07:57 33,754 ----a-w C:\WINDOWS\Fonts\DOLPHB__.zip
2008-03-23 07:57 33,106 ----a-w C:\WINDOWS\Fonts\crayon.zip
2008-03-23 07:57 11,130 ----a-w C:\WINDOWS\Fonts\JLRGift.zip
2008-03-23 06:25 51,492 ----a-w C:\WINDOWS\Fonts\ginette.zip
2008-03-23 06:25 43,272 ----a-w C:\WINDOWS\Fonts\karine.zip
2008-03-22 19:20 48,152 ----a-w C:\WINDOWS\Fonts\kaileen.zip
2008-02-23 09:51 22,314 ----a-w C:\WINDOWS\Fonts\dymaxion_script.zip
2008-01-20 11:10 15,397 ----a-w C:\Program Files\settings.dat
2007-09-05 17:14 2,643,113 ----a-w C:\Program Files\eMulePlus-1.2c.Installer.exe
2007-05-14 14:27 2,235 ----a-w C:\Program Files\i_about.txt
2007-04-23 15:31 441,768 ----a-w C:\Program Files\switchsetup.exe
2006-11-19 19:01 34,744,567 ----a-w C:\Program Files\PowerDVD_Trial.exe
2005-12-05 10:50 8,031,622 ----a-w C:\Program Files\MovieCollection5421.zip
2005-10-15 10:10 1,875,712 ----a-w C:\Program Files\beclean140.exe
2005-09-08 14:54 327 ----a-w C:\Program Files\lisezmoi.txt
2005-09-08 08:25 276 ----a-w C:\Documents and Settings\BUREAU\install.cmd
2005-07-21 19:37 468 -c--a-w C:\Program Files\Untitled.CDM
2004-12-11 10:43 75,056 ----a-w C:\Documents and Settings\Application Data\GDIPFONTCACHEV1.DAT
2004-09-30 08:19 226 -c--a-w C:\Program Files\temp.dec
2004-06-09 15:03 832,728 ----a-w C:\Program Files\NPSWF32.dll
2004-03-09 22:00 142,848 ----a-w C:\Program Files\Setup.exe
2003-03-21 11:37 16,056 ----a-w C:\Program Files\owcstp16.dll
2001-04-09 11:32 431 ----a-w C:\Program Files\SETUP.CFG
1998-06-04 10:53 46 ----a-w C:\Program Files\PMSL80F.ID

Encore merci pour ton aide

chrifleur

Posté le 27/04/2008 à 13:11

Groupe Sécurité

le rapport est incomplet, il me faut le rapport complet...

pendant que je l'examinerai, passe malwarebyte en suivant le tutoriel que je t'avais donné, en mode sans échec, et poste le rapport obtenu avec un rapport hijack this

ptitkoala

Posté le 27/04/2008 à 15:00

Voilà Chifleur le rapport est complet cette fois ci, je n'avais pas attendu la fin !!

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-27 to 2008-04-27 ))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-27 12:48 --------- d-----w C:\Program Files\Générateur voix
2008-04-27 06:26 --------- d-----w C:\Program Files\emule
2008-04-26 06:12 --------- d-----w C:\Program Files\Macrogaming
2008-04-26 06:09 --------- d-----w C:\Program Files\a-squared Free
2008-04-26 04:48 --------- d-----w C:\Program Files\lphant
2008-04-24 08:11 --------- d-----w C:\Documents and Settings\BUREAU\Application Data\Alien Skin
2008-04-24 08:00 --------- d---a-w C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-04-23 20:05 --------- d-----w C:\Program Files\adslTV
2008-04-15 06:48 --------- d-----w C:\Program Files\Java
2008-04-13 05:57 --------- d-----w C:\Program Files\TRIBALWEB
2008-04-06 17:49 --------- d-----w C:\Documents and Settings\BUREAU\Application Data\gtk-2.0
2008-04-04 16:04 5,632 --sha-w C:\Program Files\Thumbs.db
2008-03-25 18:53 --------- d-----w C:\Documents and Settings\BUREAU\Application Data\AdobeUM
2008-03-24 07:59 21,185 ----a-w C:\WINDOWS\Fonts\basic_font.zip
2008-03-23 18:34 16,782 ----a-w C:\WINDOWS\Fonts\prmirror.zip
2008-03-23 07:57 81,991 ----a-w C:\WINDOWS\Fonts\countrybutton.zip
2008-03-23 07:57 65,631 ----a-w C:\WINDOWS\Fonts\kringle.zip
2008-03-23 07:57 65,343 ----a-w C:\WINDOWS\Fonts\rope.zip
2008-03-23 07:57 43,898 ----a-w C:\WINDOWS\Fonts\christmaslights.zip
2008-03-23 07:57 43,372 ----a-w C:\WINDOWS\Fonts\amazone.zip
2008-03-23 07:57 43,261 ----a-w C:\WINDOWS\Fonts\Kinkee.zip
2008-03-23 07:57 38,427 ----a-w C:\WINDOWS\Fonts\typouprn.zip
2008-03-23 07:57 35,771 ----a-w C:\WINDOWS\Fonts\flx_girl.zip
2008-03-23 07:57 33,754 ----a-w C:\WINDOWS\Fonts\DOLPHB__.zip
2008-03-23 07:57 33,106 ----a-w C:\WINDOWS\Fonts\crayon.zip
2008-03-23 07:57 11,130 ----a-w C:\WINDOWS\Fonts\JLRGift.zip
2008-03-23 06:25 51,492 ----a-w C:\WINDOWS\Fonts\ginette.zip
2008-03-23 06:25 43,272 ----a-w C:\WINDOWS\Fonts\karine.zip
2008-03-22 19:20 48,152 ----a-w C:\WINDOWS\Fonts\kaileen.zip
2008-02-23 09:51 22,314 ----a-w C:\WINDOWS\Fonts\dymaxion_script.zip
2008-01-20 11:10 15,397 ----a-w C:\Program Files\settings.dat
2007-09-05 17:14 2,643,113 ----a-w C:\Program Files\eMulePlus-1.2c.Installer.exe
2007-05-14 14:27 2,235 ----a-w C:\Program Files\i_about.txt
2007-04-23 15:31 441,768 ----a-w C:\Program Files\switchsetup.exe
2006-11-19 19:01 34,744,567 ----a-w C:\Program Files\PowerDVD_Trial.exe
2005-12-05 10:50 8,031,622 ----a-w C:\Program Files\MovieCollection5421.zip
2005-10-15 10:10 1,875,712 ----a-w C:\Program Files\beclean140.exe
2005-09-08 14:54 327 ----a-w C:\Program Files\lisezmoi.txt
2005-09-08 08:25 276 ----a-w C:\Documents and Settings\BUREAU\install.cmd
2005-07-21 19:37 468 -c--a-w C:\Program Files\Untitled.CDM
2004-12-11 10:43 75,056 ----a-w C:\Documents and Settings\Application Data\GDIPFONTCACHEV1.DAT
2004-09-30 08:19 226 -c--a-w C:\Program Files\temp.dec
2004-06-09 15:03 832,728 ----a-w C:\Program Files\NPSWF32.dll
2004-03-09 22:00 142,848 ----a-w C:\Program Files\Setup.exe
2003-03-21 11:37 16,056 ----a-w C:\Program Files\owcstp16.dll
2001-04-09 11:32 431 ----a-w C:\Program Files\SETUP.CFG
1998-06-04 10:53 46 ----a-w C:\Program Files\PMSL80F.ID
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 --sha-r C:\WINDOWS\x2.64.exe
2007-05-07 14:12 56 --sh--r C:\WINDOWS\system32\0B44F8BDB9.sys
2005-09-21 09:57 56 --sh--r C:\WINDOWS\system32\1CEDC64A0E.sys
2005-09-02 15:16 8 --sh--r C:\WINDOWS\system32\72CF5BB1A0.sys
2005-10-07 17:14 308,224 --sha-r C:\WINDOWS\system32\avisynth.dll
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2007-05-07 14:40 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2006-04-27 08:24 2,945,024 --sha-r C:\WINDOWS\system32\Smab.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

------- Sigcheck -------

2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$hf_mig$\KB913446\SP2QFE\tcpip.sys
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2004-08-05 14:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys
2005-05-25 21:04 359808 88763a98a4c26c409741b4aa162720c9 C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys
2006-01-13 04:28 359808 583e063fdc888ca30d05c2724b0d7ef4 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2007-03-11 12:55 359808 b4e29943b4b04bd5e7381546848e6669 C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-03-11 12:55 359808 b4e29943b4b04bd5e7381546848e6669 C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((( snapshot@2008-04-27_14.00.00.48 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-27 11:46:26 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-27 12:38:29 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-27 11:07:21 119,452 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-27 12:42:54 119,684 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-27 11:07:21 146,100 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-04-27 12:42:54 146,396 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2008-04-27 11:07:21 592,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-27 12:42:54 593,220 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2008-04-27 11:07:21 694,742 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-04-27 12:42:54 695,498 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2e138f03-7d43-4359-85f9-237cfe2c8228}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07 196608]
"PhotoShow Deluxe Media Manager"="C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\xtras\mssysmgr.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-11 21:10 344064]
"EPSON Stylus CX3600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.exe" [2004-03-04 05:00 98304]
"EPSON Stylus CX3600 Series (Copie 1)"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.exe" [2004-03-04 05:00 98304]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52 221184]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 17:37 217088]
"Easy-PrintToolBox"="C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-07-02 10:50 180269]
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe" [2004-04-14 00:36 1470464]
"CloneCDTray"="C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe" [2002-12-02 16:17 73728]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-04-20 12:01 155648]
"LWBMOUSE"="C:\Program Files\FSC\Wireless Wheel Mouse\MOUSE32A.EXE" [2001-11-09 08:47 356352]
"MULTIMEDIA KEYBOARD"="C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-11-02 06:42 167936]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-04-27 11:50 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\BUREAU\Menu D‚marrer\Programmes\D‚marrage\
MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2006-06-14 08:50:20 3450880]
TribalWeb.lnk - C:\Program Files\TRIBALWEB\tribalweb.exe [2008-04-13 07:57:26 1077248]

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-18 09:33:18 110592]
InterVideo WinCinema Manager.lnk - C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe [2005-03-28 17:55:23 184320]
Text To Speech Live Player.lnk - C:\Program Files\G‚n‚rateur voix\ttslp.exe [2006-02-27 11:27:06 630784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gpedt47]
gpedt47.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=CLKERN.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= dvc.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll
"VIDC.I420"= i420vfw.dll
"vidc.xvid"= xvid.dll
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\mcoinstall.exe"=
"C:\\Program Files\\emule\\emule.exe"=
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe"=
"C:\\Program Files\\Messenger\\Pack_Noel_Creative.exe"=
"C:\\Program Files\\videolan\\vlc-0.8.4a-modified\\vlc-0.8.4a-crazy\\vlc.exe"=
"C:\\Program Files\\Java\\jre1.5.0_04\\bin\\javaw.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\filezilla\\UltraVNC\\vncviewer.exe"=
"C:\\Program Files\\filezilla\\UltraVNC\\winvnc.exe"=
"C:\\Program Files\\TRIBALWEB\\tribalweb.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"21:TCP"= 21:TCP:Serveur FTP TCP 21
"20:TCP"= 20:TCP:Serveur FTP TCP 20
"5800:TCP"= 5800:TCP:*:Disabled:BABOU1
"5801:TCP"= 5801:TCP:*:Disabled:BABOU2
"5900:TCP"= 5900:TCP:*:Disabled:BABOU3
"5901:TCP"= 5901:TCP:*:Disabled:BABOU4
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"4661:TCP"= 4661:TCP:lphant1
"4662:TCP"= 4662:TCP:lphant2
"4672:UDP"= 4672:UDP:lphant3
"4675:UDP"= 4675:UDP:lphant4

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43]
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2001-12-20 08:02]
R2 UxTuneUp;Extension de conception TuneUp;C:\WINDOWS\System32\svchost.exe [2004-08-05 14:00]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 16:22]
R3 HCWBT8xx;Hauppauge WinTV 848/9 WDM Video Driver;C:\WINDOWS\system32\drivers\HCWBT8XX.sys [2005-03-02 19:44]
S2 nhksrv;Netropa NHK Server;C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe []
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys []
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 15:23]
S3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\system32\DRIVERS\CamDrL21.sys [2002-06-10 16:16]
S3 PinnacleMovieBox;Pinnacle Systems MovieBox USB Device;C:\WINDOWS\system32\DRIVERS\PcleMBox.sys [2003-04-03 14:00]
S4 ewido security suite driver;ewido security suite driver;C:\Program Files\ewido anti-malware\guard.sys [2005-12-30 13:12]
S4 fwdrv;Kerio Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d51c882a-1911-11da-b3ad-0007cb0000ff}]
\Shell\AutoRun\command - M:\nideiect.com
\Shell\explore\Command - M:\nideiect.com
\Shell\open\Command - M:\nideiect.com

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-07 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-04-07 15:15:01 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 14:47:40
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 631

**************************************************************************
.
Temps d'accomplissement: 2008-04-27 14:55:20
ComboFix-quarantined-files.txt 2008-04-27 12:54:33
ComboFix2.txt 2008-04-27 12:00:17

Pre-Run: 8,274,477,056 octets libres
Post-Run: 8,261,263,360 octets libres

247

Je vais maintenant passer malwarebyte en suivant ton tuto.

@ +

chrifleur

Posté le 27/04/2008 à 16:26

Groupe Sécurité

après MalwareByte tu feras aussi ceci

C:\Program Files\Kaspersky.Antivirus.Personal.Pro.v5.0.383-FR.Incl-Keys.par.eMule-Paradise.com ==> à supprimer, vraisemblablement la cause ou une des causes de ton infection! mieux vaut un antivirus gratuit...je te conseille Antivir fiable et léger!!

Télécharge MSNFix.zip (de !aur3n7 et Regis59) sur le Bureau :

http://sosvirus.changelog.fr/MSNFix.zip

un tutoriel pour l'utiliser

http://sosvirus.changelog.fr/

Conseil : il faut toujours télécharger avant utilisation pour profiter des dernières mises à jour.

Remarque 1: Il est possible que l'antivirus détecte un virus au téléchargement, il s'agit de Process.exe.

Process.exe est un programme légitime mais potentiellement dangereux, et il est normal qu'un antivirus/antispyware digne de ce nom le détecte.

Remarque 2: MSNFix peut parfois rencontrer des problèmes avec les sessions comportant des caractères spéciaux. Si un message d'erreur s'affiche il conviendra donc de déplacer le dossier complet à la racine du disque dur (généralement c:\)

Décompresse-le (clic droit : Extraire ici).

Ouvre MSNFix et double clique sur le fichier MSNFix.bat (MSNFix)

Choisis l'option R

valide avec Entrée

L'analyse démarre, pendant ce temps, ne lancer aucune application afin de ne pas perturber son fonctionnement.

Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier. Un redémarrage du PC peut être demandé.

Le rapport est enregistré par défaut dans le dossier MSNFix et se présente sous la forme date_heure.txt.

Recommande à tes contacts d'appliquer la même procédure MSNFix, pour freiner la propagation et indique si l'éradication est réussie. S'ils ont le moindre souci, ils viennent sur le forum et postent leur rapport pour lecture et conseils...

puis encore ceci

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur Navilog1.zip pour télécharger Navilog1

Choisis Enregistrer

et enregistre-le sur ton Bureau.

Ensuite double clique sur Navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le Bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

et enfin ceci

Télécharge clean.zip, de Malekal
http://www.malekal.com/download/clean.zip

décompresse-le sur ton Bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton Bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
Choisis l'option 1 puis patiente
Poste le rapport obtenu
S’il te demande d’uploader un fichier, tu le fais…

j'attends donc ces rapports dans l'ordre

MalwareByte

MSNFix

Navilog

Clean

Hijack this

ptitkoala

Posté le 27/04/2008 à 17:30

Chrifleur, voici ci-dessous le rapport de malwareByte

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 689

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 254206
Temps écoulé: 1 hour(s), 48 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 53

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> No action taken.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\TARGA USB HDD\DRV\KCMDNIns.exe (Trojan.Inject) -> No action taken.
C:\WINDOWS\Fonts\1942_report.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\adine_kirnberg.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\adorable.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\alamain.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\alpha_mack_aoe.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\amazone.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\asian_dings.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\Balth___.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\basic_font.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\birthday_digits.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\birthdaze.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\bonnet.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\bullets4_japanese.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\carpenter_icg.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\chinese_new_year_by.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\christmaslights.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\cocaine_sans.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\countrybutton.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\crayon.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\crazy_killer.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\DOLPHB__.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\dymaxion_script.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\ecolier.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\flx_girl.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\gabriels_angels.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\gessele.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\ginette.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\halloween_bats.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\halloween_spider.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\hooked_on_booze.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\indonesianartsculture.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\jey.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\JLRGift.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\kaileen.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\karine.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\Kinkee.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\kringle.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\lovitz.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\mickey.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\nerwus.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\papa_noel.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\paquet_cadeaux.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\patchwork_letter.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\pc_snowballs.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\prmirror.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\rainies_kids.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\rm_bunny.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\rope.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\roughage.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\typouprn.zip (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Fonts\walt_disney.zip (Trojan.Downloader) -> No action taken.
C:\Program Files\Setup.exe (Rogue.Installer) -> No action taken.

Je continue la suite

chrifleur

Posté le 27/04/2008 à 17:49

Groupe Sécurité

je lis "no action taken", il faut supprimer en fin de scan....

recommence stp

ptitkoala

Posté le 27/04/2008 à 17:52

Voici le rapport de MSNFIX

MSNFix 1.712

C:\Documents and Settings\BUREAU\Bureau\MSNFix
Fix exécuté le 27/04/2008 - 17:37:01,26 By BUREAU
mode normal

************************ Recherche les fichiers présents

... C:\??????.exe
... C:\WINDOWS\Nokia_19_jpg.zip
... C:\WINDOWS\Nokia_19_jpg.zip
... C:\WINDOWS\system32\microsoft\backup.ftp
... C:\WINDOWS\system32\microsoft\backup.tftp
... C:\WINDOWS\Nokia_19_jpg.zip

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

/!\ ... C:\??????.exe
.. OK ... C:\WINDOWS\Nokia_19_jpg.zip
.. OK ... C:\WINDOWS\Nokia_19_jpg.zip
.. OK ... C:\WINDOWS\system32\microsoft\backup.ftp
/!\ ... C:\WINDOWS\system32\microsoft\backup.tftp
.. OK ... C:\WINDOWS\Nokia_19_jpg.zip

************************ Nettoyage du registre

Les fichiers encore présents seront supprimés au prochain redémarrage

************************ Suppression des fichiers

.. OK ... C:\??????.exe
.. OK ... C:\WINDOWS\system32\microsoft\backup.tftp

************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\dipcawxy.exe] D41D8CD98F00B204E9800998ECF8427E
[C:\qwavfiy.exe] D41D8CD98F00B204E9800998ECF8427E

[color=#FF0000]==>[/color] SVP merci d'envoyer le fichier C:\DOCUME~1\BUREAU\Bureau\Upload_Me.zip sur http://upload.changelog.fr

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 27042008_17421051.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Je continue

ptitkoala

Posté le 27/04/2008 à 17:56

Nos messages se sont croisés !!! je viens de relancer MalwareBytes comme tu viens de me le demander, sa prendra un peu de temps, je poste dès que c'est fini.

Merci pour ton aide

chrifleur

Posté le 27/04/2008 à 19:25

Groupe Sécurité

ok n'oublie pas de passer ensuite Navilog comme demandé..

il y a un bon paquet d'indésirables sur ce PC!!

ptitkoala

Posté le 27/04/2008 à 20:01

Voilà MalwareBytes vient de finir

voici le rapport

alwarebytes' Anti-Malware 1.11
Version de la base de données: 689

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 257035
Temps écoulé: 2 hour(s), 4 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Je vais passer Navilog comme tu ma demandé

@ tte à l'heure

ptitkoala

Posté le 27/04/2008 à 20:20

Voici le rapport de Navilog

Search Navipromo version 3.5.5 commencé le 27/04/2008 à 20:05:41,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "BUREAU"

Mise à jour le 27.04.2008 à 10h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1.win\applic~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1.win\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\BUREAU\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ANNIEB~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\BUREAU\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ANNIEB~1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\BUREAU\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\ANNIEB~1\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\BUREAU\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ANNIEB~1\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\BUREAU\locals~1\applic~1" :

* Dans "C:\DOCUME~1\ANNIEB~1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 27/04/2008 à 20:17:28,92 ***

Je vais continuer et passer Clean comme tu ma demandé.

A tte à l'heure

ptitkoala

Posté le 27/04/2008 à 21:13

Voici le rapport de CLEAN

27/04/2008 a 20:34:42,09

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\SpoonUninstall.exe FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND
"C:\Program Files\Viewpoint\" FOUND
*** Fin du rapport !

chrifleur

Posté le 27/04/2008 à 21:45

Groupe Sécurité

Comment aller en Mode sans échec lettre C
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur

Ouvre le dossier jaune nommé clean sur ton Bureau.
Double-clique sur clean.cmd
Choisis l'option 2 et copie sur le Bureau le rapport généré.
Si une fenêtre s'ouvre, laisse-la.
Clique sur Q pour quitter le programme

redémarre normalement et scanne ton Pc avec Kaspersky en suivant ce tutoriel

https://forum.pcastuces.com/kaspersky_online_scanner___tutoriel-f31s10.htm

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

Les bons plans du moment PC Astuces