Demande Analyse Rapports Hijack + Navilog

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande Analyse Rapports Hijack + Navilog

Messagede redvador » 08 Jan 2008, 20:59

Tout d'abord, bonjour à tous et déjà un énorme merci à ceux qui gèrent ce forum. Merci car avec les "tutos" épinglés je pense avoir pu régler une partie des problèmes que mon PC avait et j'ai pu connaître certains logiciels très utiles, tel AVG Antispyware.

Le problème commence pour moi à partir du moment où je vois apparaître certains messages du style "Attention! Votre PC est infesté..." puis lorsque je me suis rendu compte que quelqu'un utilisait mon PC pour télécharger (vu qu'on a explosé ma limite de téléchargement en quelques jours; exemple: 7GO rien que sur 24 heures). Je suis tombé sur ce forum et j'ai été tout heureux de trouver la procédure à effectuer avant l'analyse hijack etc.

Après avoir suivi cette procédure à la lettre , je sens une forte amélioration: plus de pubs intempestives etc. J'ai également pu détecter un "backdoor" que j'ai mis en quarantaine. MAIS (il en falait bien un :-) lorsque je vois le log hijack, je ne suis pas rassuré... entre autre avec cette ligne "O4 - HKLM\..\Run: [tafmsyflrx] c:\windows\system32\tafmsyflrx.exe tafmsyflrx" que vous troverez dans le rapport que je collerai à la suite de ce message. J'avoue, avant d'avoir consulté la procédure et surfer sur ce forum, avoir plusieurs fois tenter de supprimer ces lignes via Hijack et remarqué qu'à chaque fois, elles revenaient.

Ma demande est la suivante: puis-je avoir l'avis d'un spéblurpte sur mes rapports HJT2.txt et NAV1.txt ? D'avance un tout gros merci pour votre attention...

Log hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:31, on 8/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Utilitaires\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
C:\Program Files\Utilitaires\SourisLogitech\KHALMNPR.EXE
C:\Program Files\Utilitaires\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijacquesthis\HijaquesThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://standardliege.com/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.trouver.fr/google/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [rwtdlnmtad] c:\windows\system32\rwtdlnmtad.exe rwtdlnmtad
O4 - HKLM\..\Run: [zohrjii] c:\windows\system32\zohrjii.exe zohrjii
O4 - HKLM\..\Run: [harxxg] c:\windows\system32\harxxg.exe harxxg
O4 - HKLM\..\Run: [vdvpporjhp] c:\windows\system32\vdvpporjhp.exe vdvpporjhp
O4 - HKLM\..\Run: [ysivzr] c:\windows\system32\ysivzr.exe ysivzr
O4 - HKLM\..\Run: [mwazpevt] c:\windows\system32\mwazpevt.exe mwazpevt
O4 - HKLM\..\Run: [hszywy] c:\windows\system32\hszywy.exe hszywy
O4 - HKLM\..\Run: [ybmmajxo] c:\windows\system32\ybmmajxo.exe ybmmajxo
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [tafmsyflrx] c:\windows\system32\tafmsyflrx.exe tafmsyflrx
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Utilitaires\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Faciloservice - Unknown owner - C:\Program Files\Utilitaires\FaciloSave_Recuperation\Facilosave 2006\Faciloservice.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Utilitaires\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7894 bytes


Log Navilog1:


Search Navipromo version 3.3.9 commencé le mar. 08/01/2008 à 20:22:22,20

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 06.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Pierre\application data" ***



*** Recherche dossiers dans "C:\Documents and Settings\Pierre\MENUDM~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

iuelbvr.exe trouvé !
iuelbvr.dat trouvé !
iuelbvr_nav.dat trouvé !
iuelbvr_navps.dat trouvé !

* Recherche dans "C:\Documents and Settings\Pierre\local settings\application data" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

hszywy.dat trouvé !
iuelbvr.dat trouvé !
hszywy_nav.dat trouvé !
iuelbvr_nav.dat trouvé !

* Dans "C:\Documents and Settings\Pierre\local settings\application data" :


3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le mar. 08/01/2008 à 20:25:57,54 ***
Config:
Intel Pentium IV 3,2GHz avec 1GO de RAM.
Windows XP Pro (2002)
SP1
Firewall ZoneAlarm (version gratuite)
Antivirus Antivir Personal Edition
Spybot search & destroy
AVG Antispyware

Navigateur Firefox principalement + IE
redvador
 
Messages: 12
Inscription: 08 Jan 2008, 20:33
Localisation: Namur (Belgique)

Messagede nickW » 09 Jan 2008, 01:14

Bonsoir,

Premiers nettoyages:

Je te conseille d'imprimer la procédure, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: il va y avoir redémarrage, et tu n'auras pas accès à Internet).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.


Étape 1: Pas de processus de contrôle d'intégrité
Désactiver TeaTimer de Spybot-S&D.
Dans la SysBarre (zone située juste à gauche de l'horloge) faire un clic droit sur l'icône du Résident de Spybot-S&D et choisir "Quitter Résident de Spybot-S&D".
Lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer. Fermer Spybot-S&D.
Redémarrer le PC.


Étape 2: Ccleaner
Télécharger et installer Ccleaner Slim dans un dossier spécifique, par exemple C:\ccleaner
Page de téléchargement: http://www.ccleaner.com/download/builds

Lancer le programme.
Note: il est inutile de modifier les paramètres autres que ceux indiqués ci-dessous:
*- Si nécessaire, aller dans le menu Options et choisir le langage: Français.
*- Dans le menu Nettoyeur - onglet Windows, cocher (si ce n'est déjà fait):
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
Avancé: Vieilles données du Prefetch
*- Dans le menu Options - sous-menu Avancé, décocher:
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
*- Dans le menu Nettoyeur - onglet Applications, cocher:
Internet: Sun Java
*- Si ce paragraphe est présent, dans le menu Nettoyeur - onglet Applications, cocher (si ce n'est déjà fait):
Firefox/Mozilla: Cache Internet, Cookies

Cliquer sur Analyse
Dans le menu Options - sous-menu Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 3: Navilog1 (de IL-MAFIOSO), Option 2
Lancer l'outil par un double clic sur le raccourci Navilog1 présent sur le Bureau.
Suivre les indications, puis sur le Menu principal choisir l'option 2 et valider.
L'outil va annoncer qu'il va effectuer un redémarrage du PC: Enregistrer tous les documents personnels ouverts et fermer toutes les fenêtres affichées (mise à part celle de Navilog1).
Appuyer sur une touche comme demandé.
Si le PC ne redémarre pas automatiquement, lancer manuellement le redémarrage.
Lors du redémarrage, choisir la session habituelle.

Attendre jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuyer sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistrer ce fichier sous le nom navi2.txt
Fermer le Bloc-notes, ce qui va permettre le réaffichage du Bureau.
Note:
Si le Bureau ne réapparaît pas, ouvrir le Gestionnaire des tâches en utilisant simultanément les touches CTRL+ALT+SUPP.
Cliquer en haut sur le Menu Fichier et choisir Nouvelle tâche (Exécuter...).
Dans la nouvelle fenêtre Créer une nouvelle tâche qui s'est ouverte, dans la zone Ouvrir, taper exactement explorer puis cliquer sur le bouton OK. Le Bureau va réapparaître.

Rechercher des certificats malveillants:
Démarrer---->Paramètres---->Panneau de configuration---->Options Internet
Onglet Contenu
Dans le paragraphe Certificats, cliquer sur le bouton Certificats...
Si dans les onglets "Personnel" et "Éditeurs approuvés" se trouvent
electronic-group ou egroup ou Montorgueil ou VIP ou Sunny Day Design Ltd
il faut supprimer ces éléments.


Étape 4: Résultats
Envoyer en réponse:
*- le rapport de Navilog1, Option 2 (contenu du fichier navi2.txt)
*- un nouveau log HijackThis

en précisant si le problème initial est toujours là.
Indiquer aussi les difficultés rencontrées au cours des différentes étapes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede redvador » 10 Jan 2008, 13:28

Merci beaucoup pour la réponse!! Je fais la manip' ce soir et je poste les logs juste après...
Config:
Intel Pentium IV 3,2GHz avec 1GO de RAM.
Windows XP Pro (2002)
SP1
Firewall ZoneAlarm (version gratuite)
Antivirus Antivir Personal Edition
Spybot search & destroy
AVG Antispyware

Navigateur Firefox principalement + IE
redvador
 
Messages: 12
Inscription: 08 Jan 2008, 20:33
Localisation: Namur (Belgique)

Manips

Messagede redvador » 10 Jan 2008, 20:53

Bonsoir!
Voilà, manips effectuées sans problème. Plus de problème apparent et j'espère ne plus avoir de trojan ou autre virus (scan Antivir effectué et rien de détecté). Je copie les logs ci-après MAIS j'ai constaté que les lignes "bizarres" étaient toujours présentes dans le log Hijack. Pendant l'opération 3, rechercher les certificats malveillants j'ai pu voir qu'électronic-group était présent mais pas seul: il y avait OOO "Favorit" aussi! Comme il s'agissait des mêmes "éditeurs", je l'ai supprimé également. J'espère ne pas avoir fait une bêtise.

HJT2.txt:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:12, on 10/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Utilitaires\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
C:\Program Files\Utilitaires\SourisLogitech\KHALMNPR.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Hijacquesthis\HijaquesThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://standardliege.com/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.trouver.fr/google/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [rwtdlnmtad] c:\windows\system32\rwtdlnmtad.exe rwtdlnmtad
O4 - HKLM\..\Run: [zohrjii] c:\windows\system32\zohrjii.exe zohrjii
O4 - HKLM\..\Run: [harxxg] c:\windows\system32\harxxg.exe harxxg
O4 - HKLM\..\Run: [vdvpporjhp] c:\windows\system32\vdvpporjhp.exe vdvpporjhp
O4 - HKLM\..\Run: [ysivzr] c:\windows\system32\ysivzr.exe ysivzr
O4 - HKLM\..\Run: [mwazpevt] c:\windows\system32\mwazpevt.exe mwazpevt
O4 - HKLM\..\Run: [ybmmajxo] c:\windows\system32\ybmmajxo.exe ybmmajxo
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [tafmsyflrx] c:\windows\system32\tafmsyflrx.exe tafmsyflrx
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Faciloservice - Unknown owner - C:\Program Files\Utilitaires\FaciloSave_Recuperation\Facilosave 2006\Faciloservice.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Utilitaires\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7726 bytes


NAV2.txt:


Clean Navipromo version 3.3.9 commencé le jeu. 10/01/2008 à 20:27:15,60

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 06.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Mode suppression automatique



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

iuelbvr.exe trouvé !
Copie iuelbvr.exe réalisée avec succès !
iuelbvr.exe supprimé !

iuelbvr.dat trouvé !
Copie iuelbvr.dat réalisée avec succès !
iuelbvr.dat supprimé !

iuelbvr_nav.dat trouvé !
Copie iuelbvr_nav.dat réalisée avec succès !
iuelbvr_nav.dat supprimé !

iuelbvr_navps.dat trouvé !
Copie iuelbvr_navps.dat réalisée avec succès !
iuelbvr_navps.dat supprimé !

C:\WINDOWS\prefetch\iuelbvr*.pf trouvé !
Copie C:\WINDOWS\prefetch\iuelbvr*.pf réalisée avec succès !
C:\WINDOWS\prefetch\iuelbvr*.pf supprimé !


* Suppression dans "C:\Documents and Settings\Pierre\local settings\application data" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Pierre\application data" ***


*** Suppression dossiers dans "C:\Documents and Settings\Pierre\MENUDM~1\PROGRA~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Pierre\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *

hszywy.dat trouvé !
Copie hszywy.dat réalisée avec succès !
hszywy.dat supprimé !

hszywy_nav.dat trouvé !
Copie hszywy_nav.dat réalisée avec succès !
hszywy_nav.dat supprimé !

hszywy_navps.dat trouvé !
Copie hszywy_navps.dat réalisée avec succès !
hszywy_navps.dat supprimé !


* Dans "C:\Documents and Settings\Pierre\local settings\application data" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le jeu. 10/01/2008 à 20:32:06,17 ***


Voilà ce qui avait été demandé... Les éléments en gras dans le log Hijack m'inquiétent. De quoi s'agit-il???
Encore un tout tout tout tout grand merci pour l'aide! C'est vraiment gentil. Bien à toi,

Pierre
Config:
Intel Pentium IV 3,2GHz avec 1GO de RAM.
Windows XP Pro (2002)
SP1
Firewall ZoneAlarm (version gratuite)
Antivirus Antivir Personal Edition
Spybot search & destroy
AVG Antispyware

Navigateur Firefox principalement + IE
redvador
 
Messages: 12
Inscription: 08 Jan 2008, 20:33
Localisation: Namur (Belgique)

Manips

Messagede redvador » 10 Jan 2008, 20:53

Bonsoir!
Voilà, manips effectuées sans problème. Plus de problème apparent et j'espère ne plus avoir de trojan ou autre virus (scan Antivir effectué et rien de détecté). Je copie les logs ci-après MAIS j'ai constaté que les lignes "bizarres" étaient toujours présentes dans le log Hijack. Pendant l'opération 3, rechercher les certificats malveillants j'ai pu voir qu'électronic-group était présent mais pas seul: il y avait OOO "Favorit" aussi! Comme il s'agissait des mêmes "éditeurs", je l'ai supprimé également. J'espère ne pas avoir fait une bêtise.

HJT2.txt:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:39:12, on 10/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Utilitaires\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
C:\Program Files\Utilitaires\SourisLogitech\KHALMNPR.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Hijacquesthis\HijaquesThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://standardliege.com/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.trouver.fr/google/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [rwtdlnmtad] c:\windows\system32\rwtdlnmtad.exe rwtdlnmtad
O4 - HKLM\..\Run: [zohrjii] c:\windows\system32\zohrjii.exe zohrjii
O4 - HKLM\..\Run: [harxxg] c:\windows\system32\harxxg.exe harxxg
O4 - HKLM\..\Run: [vdvpporjhp] c:\windows\system32\vdvpporjhp.exe vdvpporjhp
O4 - HKLM\..\Run: [ysivzr] c:\windows\system32\ysivzr.exe ysivzr
O4 - HKLM\..\Run: [mwazpevt] c:\windows\system32\mwazpevt.exe mwazpevt
O4 - HKLM\..\Run: [ybmmajxo] c:\windows\system32\ybmmajxo.exe ybmmajxo
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [tafmsyflrx] c:\windows\system32\tafmsyflrx.exe tafmsyflrx
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Faciloservice - Unknown owner - C:\Program Files\Utilitaires\FaciloSave_Recuperation\Facilosave 2006\Faciloservice.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Utilitaires\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7726 bytes


NAV2.txt:


Clean Navipromo version 3.3.9 commencé le jeu. 10/01/2008 à 20:27:15,60

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 06.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Mode suppression automatique



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

iuelbvr.exe trouvé !
Copie iuelbvr.exe réalisée avec succès !
iuelbvr.exe supprimé !

iuelbvr.dat trouvé !
Copie iuelbvr.dat réalisée avec succès !
iuelbvr.dat supprimé !

iuelbvr_nav.dat trouvé !
Copie iuelbvr_nav.dat réalisée avec succès !
iuelbvr_nav.dat supprimé !

iuelbvr_navps.dat trouvé !
Copie iuelbvr_navps.dat réalisée avec succès !
iuelbvr_navps.dat supprimé !

C:\WINDOWS\prefetch\iuelbvr*.pf trouvé !
Copie C:\WINDOWS\prefetch\iuelbvr*.pf réalisée avec succès !
C:\WINDOWS\prefetch\iuelbvr*.pf supprimé !


* Suppression dans "C:\Documents and Settings\Pierre\local settings\application data" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Pierre\application data" ***


*** Suppression dossiers dans "C:\Documents and Settings\Pierre\MENUDM~1\PROGRA~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Pierre\local settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *

hszywy.dat trouvé !
Copie hszywy.dat réalisée avec succès !
hszywy.dat supprimé !

hszywy_nav.dat trouvé !
Copie hszywy_nav.dat réalisée avec succès !
hszywy_nav.dat supprimé !

hszywy_navps.dat trouvé !
Copie hszywy_navps.dat réalisée avec succès !
hszywy_navps.dat supprimé !


* Dans "C:\Documents and Settings\Pierre\local settings\application data" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le jeu. 10/01/2008 à 20:32:06,17 ***


Voilà ce qui avait été demandé... Les éléments en gras dans le log Hijack m'inquiétent. De quoi s'agit-il???
Encore un tout tout tout tout grand merci pour l'aide! C'est vraiment gentil. Bien à toi,

Pierre
Config:
Intel Pentium IV 3,2GHz avec 1GO de RAM.
Windows XP Pro (2002)
SP1
Firewall ZoneAlarm (version gratuite)
Antivirus Antivir Personal Edition
Spybot search & destroy
AVG Antispyware

Navigateur Firefox principalement + IE
redvador
 
Messages: 12
Inscription: 08 Jan 2008, 20:33
Localisation: Namur (Belgique)

Messagede nickW » 11 Jan 2008, 00:56

Bonsoir,

Suite du nettoyage:


Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Ccleaner
Dans le menu Nettoyeur, cliquer sur le bouton Lancer le nettoyage.
Fermer le programme.


Étape 2: AVG Anti-Spyware
Lancer AVG Anti-Spyware.
Cliquer sur le menu Analyse.
Cliquer sur l'onglet Paramètres.
Dans Comment réagir?, cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse?, vérifier que toutes les cases sont cochées.
Dans Programmes potentiellement dangereux, vérifier que toutes les cases sont cochées.
Vérifier que le bouton-radio Ne pas générer automatiquement de rapport est coché.

Cliquer sur le menu Mise à jour.
Si nécessaire, dans la colonne Paramètres (à droite), saisir les paramètres du proxy.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour puis fermer le programme.
Ne pas lancer d'analyse maintenant!


Étape 3: Mode sans échec
Redémarrer en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix checked:
(si des lignes sont absentes, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKLM\..\Run: [rwtdlnmtad] c:\windows\system32\rwtdlnmtad.exe rwtdlnmtad
O4 - HKLM\..\Run: [zohrjii] c:\windows\system32\zohrjii.exe zohrjii
O4 - HKLM\..\Run: [harxxg] c:\windows\system32\harxxg.exe harxxg
O4 - HKLM\..\Run: [vdvpporjhp] c:\windows\system32\vdvpporjhp.exe vdvpporjhp
O4 - HKLM\..\Run: [ysivzr] c:\windows\system32\ysivzr.exe ysivzr
O4 - HKLM\..\Run: [mwazpevt] c:\windows\system32\mwazpevt.exe mwazpevt
O4 - HKLM\..\Run: [hszywy] c:\windows\system32\hszywy.exe hszywy
O4 - HKLM\..\Run: [ybmmajxo] c:\windows\system32\ybmmajxo.exe ybmmajxo
O4 - HKLM\..\Run: [tafmsyflrx] c:\windows\system32\tafmsyflrx.exe tafmsyflrx
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} -

Fermer HijackThis.


Étape 5: AVG Anti-Spyware
Lancer AVG Anti-Spyware et cliquer sur le menu Analyse.
Cliquer sur Analyse complète du système.
IMPORTANT: Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.

A la fin de l'analyse, cliquer sur Appliquer toutes les actions
Ensuite, Sauver le rapport: Enregistrer le rapport d'analyse puis Enregistrer le rapport sous.
Fermer AVG Anti-Spyware.


Étape 6: Redémarrage et Résultats
Redémarrer en mode normal.
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de AVG Anti-Spyware enregistré lors de l'étape 5

Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

2ème manips

Messagede redvador » 11 Jan 2008, 23:18

Bonsoir bonsoir!
Voilà, j'ai effectué les dernières manipulations comme indiqué. Je pensais que tout avait disparu car avant de me reconnecté au web et/ou de relancer le teatimer de Spybot, le log Hijack ne contenait plus éléments supprimés en mode sans échec. Je n'ai malheureusement plus ce log, en souvegardant le deuxième je l'ai écrasé... (oui je sais, c'est bête)

Avec AVG Antispyware, il a de nouveau (!) trouvé le Backdoor Zapchast que j'avais déjà détecté et que je pensais avoir éléminé... (idem avec le Trojan)
Je copie donc les log à la suite de ce message.

Pour ce qui concerne les coneils en sécrité, je suis 200% preneur! J'écouterai avec attention. Une fois de plus: merci énormément pour le coup de pouce!

Bonne soirée/nuit/journée :-)


Pierre

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:04:21, on 11/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Utilitaires\SourisLogitech\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Utilitaires\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Hijacquesthis\HijaquesThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://standardliege.com/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.trouver.fr/google/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\UTILIT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Utilitaires\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [rwtdlnmtad] c:\windows\system32\rwtdlnmtad.exe rwtdlnmtad
O4 - HKLM\..\Run: [zohrjii] c:\windows\system32\zohrjii.exe zohrjii
O4 - HKLM\..\Run: [harxxg] c:\windows\system32\harxxg.exe harxxg
O4 - HKLM\..\Run: [vdvpporjhp] c:\windows\system32\vdvpporjhp.exe vdvpporjhp
O4 - HKLM\..\Run: [ysivzr] c:\windows\system32\ysivzr.exe ysivzr
O4 - HKLM\..\Run: [mwazpevt] c:\windows\system32\mwazpevt.exe mwazpevt
O4 - HKLM\..\Run: [ybmmajxo] c:\windows\system32\ybmmajxo.exe ybmmajxo
O4 - HKLM\..\Run: [tafmsyflrx] c:\windows\system32\tafmsyflrx.exe tafmsyflrx
O4 - HKLM\..\Run: [hszywy] c:\windows\system32\hszywy.exe hszywy
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\Program Files\Utilitaires\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\Multimedia\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Utilitaires\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Utilitaires\SourisLogitech\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAID Manager.lnk = C:\Program Files\ITE\ITE IT8212 ATA RAID Controller\RaidMgr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\ProtectionNet\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Faciloservice - Unknown owner - C:\Program Files\Utilitaires\FaciloSave_Recuperation\Facilosave 2006\Faciloservice.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7719 bytes



AVG Antispyware log:


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:05:13 7/01/2008

+ Résultat de l'analyse:



HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Erreur lors du nettoyage.
HKU\S-1-5-21-57989841-583907252-839522115-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé et sauvegardé (mise en quarantaine).
C:\Program Files\Utilitaires\Firefox\plugins\npclntax.dll -> Adware.Zango : Nettoyé et sauvegardé (mise en quarantaine).
C:\WINDOWS\system\DRIVER\ntauth.dll -> Backdoor.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport
Config:
Intel Pentium IV 3,2GHz avec 1GO de RAM.
Windows XP Pro (2002)
SP1
Firewall ZoneAlarm (version gratuite)
Antivirus Antivir Personal Edition
Spybot search & destroy
AVG Antispyware

Navigateur Firefox principalement + IE
redvador
 
Messages: 12
Inscription: 08 Jan 2008, 20:33
Localisation: Namur (Belgique)

Messagede nickW » 12 Jan 2008, 00:47

onsoir,

Un petit problème avec le log d'AVG Anti-Spyware:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:05:13 7/01/2008

+ Résultat de l'analyse:



Un log daté du 10/01/2008 est-il présent sur ton PC?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Log AVG

Messagede redvador » 12 Jan 2008, 10:26

Bonjour,
Oui autant pour moi, ça n'était pas le bon. Désolé. Le log date d'hier, le 11/01/08. Je le recopie juste après...

AVG Report-Scan:

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 22:51:04 11/01/2008

+ Résultat de l'analyse:



C:\System Volume Information\_restore{B91F2B52-3C0F-46CE-B13C-C664D2712CA8}\RP653\A0072749.dll -> Adware.Zango : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{B91F2B52-3C0F-46CE-B13C-C664D2712CA8}\RP653\A0072748.dll -> Backdoor.Zapchast : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport


Ce qui me semble vraiment étrange c'est que le premier log que j'ai fait avec hijack semblait "sain" jusqu'à ce que Spybot et/ou la connexion Internet soit lancée. J'ai presque envie de recommencer la manip mais sans relancer spybot (je supprime et je télécharge une autre application). Est-ce possible que Spybot soit infesté de l'intérieur?
Config:
Intel Pentium IV 3,2GHz avec 1GO de RAM.
Windows XP Pro (2002)
SP1
Firewall ZoneAlarm (version gratuite)
Antivirus Antivir Personal Edition
Spybot search & destroy
AVG Antispyware

Navigateur Firefox principalement + IE
redvador
 
Messages: 12
Inscription: 08 Jan 2008, 20:33
Localisation: Namur (Belgique)

Messagede nickW » 13 Jan 2008, 23:18

Bonsoir,

Ce qu'a détecté AVG Anti-Spyware se trouve dans le dossier de la Restauration système.
Il n'y a aucun danger (... tant que tu ne fais pas de Restauration).
Lorsque ton PC sera totalement nettoyé, je t'indiquerai comment nettoyer ces fichiers et créer un nouveau point de restauration.

Lorsque tu as relancé TeaTimer de Spybot-S&D, as-tu vu apparaître des messages d'avertissement concernant des modifications du Registre?


Peux-tu créer puis envoyer deux nouveaux logs:
*- un log HijackThis
*- un log Navilog1 Option 1.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 11 invités