[Résolu]Virus... MSN IBM* NaviPromo et autres

Ninie62

Voilà, j'ai bien suivi tes explications, toujours trés bien détaillé, à la lettre Very Happy

Maintenant je sais pas comment tu fais pour te retrouver dans tous ca Laughing

MERCI

**Marie**

Salut Ninie Very Happy

Tu as bien bossé. thumright

On continue et voilà

Télécharge ATF Cleaner by Atribune sur ton bureau.
C'est un petit programme qui va nettoyer les fichiers temporaires de Windows.

Double-clique sur ATF-Cleaner.exe pour lancer le programme.
Coche la case Select All (toutes les cases vont se cocher)
Clique ensuite sur le bouton Empty Selected
Clique ensuite sur l'onglet Firefox
Sélectionne toutes les cases sauf Firefox Saved Passwords et Select All
Clique ensuite sur Empty Selected

Supprime les fichiers suivants:
C:\WINDOWS\System32\quzi.exe
c:\windows\system32\tsfgljawdc.exe

Supprime les restes de NaviPromo

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va alors t'informer qu'il va redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
"*** Nettoyage Termine le ..... ***"
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre
Fais Menu Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats"
Si tu trouves ces certificats ci-dessous en particulier dans "éditeurs approuvés", supprime les :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"
Poste le rapport cleannavi sauvegardé auparavant.

Si tu n'as eu aucun problème pour supprimer les fichiers que je t'ai indiqués, va dans msconfig et réactive tout.

Redémarre le PC. Tu risques d'avoir quelques messages d'erreur au démarrage (genre: fichier trucmuche manquant). C'est normal, ne t'inquiète pas.

Poste un nouveau log HijackThis.

------------------------------------
En attendant la réouverture du forum Sécurité et Virus d'Informastuce vous pouvez demander de l'aide pour désinfecter votre pc sur mon forum perso http://www.vista-xp.fr/forum/aide-pour-supprimer-les-virus-analyses-hijackthis-f30.html
Inscrivez-vous puis postez votre demande d'aide.
Marie

Ninie62

Bonjour !

Alors je n’ai pas trouvé les fichiers C:\WINDOWS\System32\quzi.exe et c:\windows\system32\tsfgljawdc.exe

Le rapport avec navilog :

Clean Navipromo version 2.0.5 commencé le 02/08/2007 à 12:08:31,65

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Nejma\Application Data ***

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Nejma\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 02/08/2007 à 12:12:35,45 ***

Ninie62

Je n’ai trouvé aucun des certificats : electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

Quand j'ai redémaré mon pc, je n'au eu aucun message d'erreur. Et comme je n'ai pas trouvé les fichiers à supprimer je n'ai rien activé dans "msconfig"

Le log hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 12:46:24, on 02/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Nejma\Mes documents\infection\hijackthis\Ninie.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Editeur audio basic - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Akimania\Editeur Audio Basic\Studio enregistrement (file missing)
O9 - Extra 'Tools' menuitem: &Editeur audio basic - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Akimania\Editeur Audio Basic\Studio enregistrement (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178640838812
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

salut

**Marie**

OK! Le log est toujours propre. thumright

Le certificat a été supprimé par Navilog1. C'est pour ça que tu ne l'as pas trouvé.

On va tenter de réactiver les programmes dans msconfig. Pour nettoyer à fond, on est obligées de toutes façons.

Réactive tout dans msconfig et redémarre.
Tu peux avoir des messages d'erreur au redémarrage mais c'est pas grave.

Une fois le PC redémarré, poste un nouveau ComboFix et un nouveau HijackThis.

Ninie62

J’ai tout activé, et mon pc a démarré normalement Very Happy

Je n’ai pas eu de messages d’erreur.

Voila le log Combofix :

ComboFix 07-07-30.2 - "Nejma" 2007-08-02 16:28:16.3 [GMT 2:00] - NTFS
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.Vrai

((((((((((((((((((((((((( Files Created from 2007-07-02 to 2007-08-02 )))))))))))))))))))))))))))))))

2007-08-02 00:25 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-08-01 23:54 <REP> d-------- C:\Program Files\Navilog1
2007-08-01 19:20 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-01 14:30 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-08-01 14:29 <REP> d-------- C:\DOCUME~1\Nejma\.housecall6.6
2007-08-01 13:50 29,056 --a------ C:\WINDOWS\system32\drivers\ip6fw.sys
2007-07-30 23:20 <REP> d-------- C:\DOCUME~1\ADMINI~1.ORD\APPLIC~1\Lavasoft
2007-07-30 22:17 786,432 --ah----- C:\DOCUME~1\ADMINI~1.ORD\NTUSER.DAT
2007-07-30 22:17 <REP> dr------- C:\DOCUME~1\ADMINI~1.ORD\Mes documents
2007-07-30 22:17 <REP> dr------- C:\DOCUME~1\ADMINI~1.ORD\Menu D‚marrer
2007-07-30 22:17 <REP> dr------- C:\DOCUME~1\ADMINI~1.ORD\Favoris
2007-07-30 22:17 <REP> dr------- C:\DOCUME~1\ADMINI~1.ORD\Bureau
2007-07-30 22:17 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ORD\Voisinage r‚seau
2007-07-30 22:17 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ORD\Voisinage d'impression
2007-07-30 22:17 <REP> d--h----- C:\DOCUME~1\ADMINI~1.ORD\ModŠles
2007-07-30 22:17 <REP> d-------- C:\DOCUME~1\ADMINI~1.ORD\WINDOWS
2007-07-30 22:17 <REP> d-------- C:\DOCUME~1\ADMINI~1.ORD\APPLIC~1\InterTrust
2007-07-27 16:26 <REP> d-------- C:\Program Files\Macrogaming
2007-07-25 18:06 <REP> d-------- C:\DOCUME~1\Nejma\APPLIC~1\Canon
2007-07-25 18:05 7,680 --a------ C:\WINDOWS\system32\CNMVS6s.DLL
2007-07-25 18:05 116,736 --a------ C:\WINDOWS\system32\CNMLM6s.DLL
2007-07-25 18:05 <REP> d--h----- C:\BJPrinter
2007-07-25 17:59 <REP> d-------- C:\Program Files\ScanSoft
2007-07-25 17:59 <REP> d-------- C:\Program Files\Fichiers communs\ScanSoft Shared
2007-07-25 17:59 <REP> d-------- C:\DOCUME~1\Nejma\APPLIC~1\ScanSoft
2007-07-25 17:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanWizard
2007-07-25 17:59 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanAppDataDir
2007-07-25 17:54 94,208 --a------ C:\WINDOWS\system32\CNCL130.DLL
2007-07-25 17:54 90,112 --a------ C:\WINDOWS\system32\CNCI130.DLL
2007-07-25 17:54 557,056 --a------ C:\WINDOWS\system32\CNCC130.DLL
2007-07-25 17:54 49,152 --a------ C:\WINDOWS\system32\cncisco.dll
2007-07-25 17:54 389,180 --a------ C:\WINDOWS\system32\UCS32P.DLL
2007-07-25 17:54 <REP> d--h----- C:\CanonMP
2007-07-25 17:54 <REP> d-------- C:\WINDOWS\StartHtmico
2007-07-25 17:54 <REP> d-------- C:\WINDOWS\MP130,110
2007-07-25 17:53 <REP> d-------- C:\Program Files\Canon
2007-07-19 23:00 <REP> d-------- C:\Program Files\IncrediMail
2007-07-18 14:17 <REP> d-------- C:\DOCUME~1\Nejma\APPLIC~1\Talkback
2007-07-02 23:15 <REP> d-------- C:\DOCUME~1\Nejma\APPLIC~1\Ulead Systems
2007-07-02 23:15 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ulead Systems
2007-07-02 23:14 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2007-07-02 23:14 47,616 --a------ C:\WINDOWS\system\IYUV_32.DLL
2007-07-02 22:34 65,536 --a------ C:\WINDOWS\amcap533.exe
2007-07-02 22:34 515,803 --a------ C:\WINDOWS\system32\drivers\Ca533av.sys
2007-07-02 22:34 131,072 --a------ C:\WINDOWS\system32\SP5X_32.DLL
2007-07-02 22:34 131,072 --a------ C:\WINDOWS\system\SP5X_32.DLL
2007-07-02 22:34 118,784 --a------ C:\WINDOWS\ShowBmp.exe
2007-07-02 22:34 10,986 --a------ C:\WINDOWS\system32\drivers\Bulk533.sys
2007-07-02 22:34 <REP> d-------- C:\WINDOWS\Setup533

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-01 14:29 1447 --a------ C:\WINDOWS\mozver.dat
2007-07-31 19:43 --------- d-------- C:\Program Files\a-squared Free
2007-07-30 23:41 --------- d-------- C:\Program Files\MSN Gaming Zone
2007-07-27 16:35 --------- d-------- C:\Program Files\Messenger Plus! Live
2007-07-25 18:10 --------- d-------- C:\DOCUME~1\Nejma\APPLIC~1\Arcsoft
2007-07-25 17:57 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-25 17:57 --------- d-------- C:\Program Files\ArcSoft
2007-07-22 13:54 --------- d-------- C:\Program Files\Ludiclub
2007-07-22 13:48 29424 --a------ C:\DOCUME~1\Nejma\APPLIC~1\GDIPFONTCACHEV1.DAT
2007-07-14 14:59 --------- d-------- C:\DOCUME~1\Nejma\APPLIC~1\dvdcss
2007-07-11 00:00 70818 --a------ C:\WINDOWS\system32\perfc00C.dat
2007-07-11 00:00 458682 --a------ C:\WINDOWS\system32\perfh00C.dat
2007-07-04 01:54 --------- d-------- C:\DOCUME~1\Nejma\APPLIC~1\Skype
2007-07-02 22:36 --------- d-------- C:\Program Files\Ulead Systems
2007-07-01 15:03 --------- d-------- C:\Program Files\MSN Messenger
2007-07-01 15:03 --------- d-------- C:\Program Files\Messenger
2007-06-27 21:06 --------- d-------- C:\Program Files\Skype
2007-06-27 21:06 --------- d-------- C:\Program Files\Fichiers communs\Skype
2007-06-27 13:10 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
2007-06-23 16:05 512 --ah----- C:\os466477.bin
2007-06-21 13:11 --------- d-------- C:\DOCUME~1\Nejma\APPLIC~1\Screenshot Sender
2007-06-11 21:19 --------- d-------- C:\Program Files\Athan
2007-06-11 16:09 3580 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-06-06 12:24 --------- d-------- C:\Program Files\Windows Live
2007-06-05 21:28 --------- d-------- C:\Program Files\Akimania
2007-06-03 19:58 --------- d-------- C:\DOCUME~1\Nejma\APPLIC~1\Paltalk
2007-05-25 19:27 25088 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-05-21 16:18 135519 --a------ C:\WINDOWS\HPHins11.dat
2007-05-16 17:13 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-09 19:23 0 -rahs---- C:\MSDOS.SYS
2007-05-09 19:23 0 -rahs---- C:\IO.SYS
2007-05-08 21:45 0 --a------ C:\WINDOWS\nsreg.dat

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-08-02 00:27]
"Windows Config System"="config.exe" []
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-05-10 20:38]
"SoundMan"="SOUNDMAN.EXE" [2003-04-24 16:53 C:\WINDOWS\SOUNDMAN.EXE]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-05-09 19:29]
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 12:00]
"OPSE reminder"="C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" [2003-07-07 10:30]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41]
"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-01-28 09:43]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-19 13:31]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 C:\WINDOWS\system32\Ati2mdxx.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 16:14]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur de calendrier Ulead.lnk - C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2007-07-02 22:37:32]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegedit"=0 (0x0)
"NoFind"=0 (0x0)
"NoRun"=0 (0x0)
"NoDesktop"=0 (0x0)
"NoClose"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"HideClock"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= C:\Program Files\Fichiers communs\viroq.html
FriendlyName=

R0 agpCPQ;Filtre de bus AGP Compaq;C:\WINDOWS\system32\DRIVERS\agpCPQ.sys
R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys
R3 LKbdFlt2;Logitech Keyboard Class Filter Driver;C:\WINDOWS\system32\DRIVERS\LKbdFlt2.sys
R3 Mtlmnt5;Mtlmnt5;C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys
R3 Slntamr;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\slntamr.sys
R3 SlWdmSup;SlWdmSup;C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINDOWS\system32\Drivers\Ca533av.sys
S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys
S3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft;C:\WINDOWS\system32\drivers\msmpu401.sys
S3 Mtlstrm;Mtlstrm;C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys
S3 NtMtlFax;NtMtlFax;C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys
S3 RecAgent;recagent;\??\C:\WINDOWS\System32\DRIVERS\RecAgent.sys
S3 SlNtHal;SlNtHal;C:\WINDOWS\system32\DRIVERS\Slnthal.sys
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-02 16:33:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-02 16:35:07
C:\ComboFix-quarantined-files.txt ... 2007-08-02 16:34
C:\ComboFix2.txt ... 2007-08-02 01:44
C:\ComboFix3.txt ... 2007-08-01 19:28

--- E O F ---

Ninie62

Le log hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 16:36:04, on 02/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Nejma\Mes documents\infection\hijackthis\Ninie.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\ereg.ini"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Editeur audio basic - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Akimania\Editeur Audio Basic\Studio enregistrement (file missing)
O9 - Extra 'Tools' menuitem: &Editeur audio basic - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Akimania\Editeur Audio Basic\Studio enregistrement (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178640838812
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Alors je suis encore infecté ? En tout cas merci Marie Wink

**Marie**

Non, ton PC est tout propret maintenant. Very Happy

Relance HijackThis et coche ces 2 lignes:

O4 - HKLM\..\Run: [Windows Config System] config.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

Clique sur Fix Checked et confirme.

Pour finir la désinfection, fais ceci:

Supprime/désinstalle tous les programmes que je t'ai fait installer (HijackThis, MSNFix, Navilog1, ComboFix)
Tu eux garder si tu veux ATF Cleaner et AVG AS

Vide les points de restauration système qui sont inévitablement infectés.
Ceci t'évitera de remonter un point de sauvegarde infecté si un jour tu veux lancer une restauration système.

Pour cela

Dans Panneau de configuration/Système/onglet Restauration du système, coche Désactiver la restauration du système sur tous les lecteurs puis clique sur OK.
Tout de suite après, décoche la case Désactiver ... puis clique sur OK de façon à remettre la restauration système en fonction.

Fais un scan antivirus en ligne TotalScan chez Panda. (Coche Full Scan)
Si tu as du mal à lancer le scan, consulte ce tuto
Le rapport doit être vierge aux cookies près. Si ce n'est pas le cas, poste le dans ta prochaine réponse.

Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints
Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/viewtopic.php?t=5
Enregistre toi sur le forum à partir du bouton register en haut :
- Si tu as plus de 13 ans, choisis : I Agree to these terms and am over or exactly 13 years of age
- Si tu as moins de 13 ans, clique sur : I Agree to these terms and am under 13 years of age
Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection Virus divers + Troj/DropRk-A + ver MSN + NaviPromo)
Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.

NB: J'ai vu dans ton log que ton antivirus était Avast.
Je pense que tu serais mieux protégé avec Antivir qu'avec Avast.
Avast n'est pas au mieux de sa forme en ce moment et laisse passer beaucoup de trucs. :x)
Antivir est un antivirus gratuit et léger dont les mises à jour sont quotidiennes et les nouvelles menaces sont rapidement intégrées dans sa base virale. (D'où la meilleure protection).
Son seul défaut: il est en anglais (ou en allemand). Mais tu l'installes et tu l'oublies (pas la peine de changer la configuration par défaut).

Pour télécharger Antivir.

Si tu décides de changer, dis le moi et je t'indiquerai 1 changement à faire dans la config d'antivir pour être prptégée aussi contre les rootkits. Wink

Ninie62

Un grand merci Marie thumright

T'es vraiment trop balaizzz Haha

J'ai fait le scan, rien a été trouvé Mr. Green

Oui je vais changer d'antivirus...

salut

**Marie**

Va sur le site de Malekal et recherche dans la page: Régler la configuration d'Antivir

Fais les 2 manips proposées, à savoir:

Activer l'antirootkit

Positionner "Alert, if last update older than" sur 1 jour.

salut

Ninie62

Oki c'est fait, vraiment un grand MERCI Very Happy

**Marie**

Contente d'avoir pu t'aider. Very Happy