Rapport Hijackthis

Bonjour,

J'ai récemment eu des problèmes avec Outlook ainsi que Maxthon. J'ai suivi la procédure proposée par votre site (Ad-aware, Spybot et Hijackthis) et vous envoie le rapport donné par ce dernier.

Vous serait-il possible de me dire si vous détecter quelque chose d'anormal et dans l'affirmative, que faire?

Merci d'avance

Aurélia

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:42:00, on 17/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Maxtor\OneTouch Status\MaxMenuMgr.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Windows\WindowsMobile\wmdSync.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Users\Aurélia\AppData\Local\qcqei.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [StartCCC] c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LaunchList] C:\Program Files\Pinnacle\Studio 11\LaunchList.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [BrMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [mxomssmenu] "C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [qcqei] "c:\users\aurélia\appdata\local\qcqei.exe" qcqei
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - https://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236751740771
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\system32\drivers\pclepci.sys
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
--
End of file - 11131 bytes

Bonsoir et Rapport Hijackthis 415566

Pour vista

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Va dans démarrer puis panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.

-------------------------------------------------------------------------

Ton PC est infecté par l'ad-aware Navipromo/Magic Control qui affiche des publicités intempestives.
Il s'installe via certains programmes, dont ceux-ci :

Funky Emoticons
go-astro
GoRecord
HotTVPlayer / HotTVPlayer & Paris Hilton
Live-Player
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
Officiale Emule (Version d'Emule modifiée)
Original Solitaire
SuperSexPlayer
Speed Downloading
Sudoplanet
Webmediaplayer

Fais attention de ne pas faire la même erreur, donc évite ces programmes

Télécharge sur le bureau Navilog1

(c est le numéro 1 en bas de la page) :
Si ton antivirus s'affole , le désactiver
sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur
sous XP : double-clic dessus pour l'installer et le lancer
taper F
Appuyer sur une touche jusqu' arriver aux options
Choisir Recherche ( = taper 1 )

ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes
un rapport : fixnavi.txt dans ==> C :
le copier et le coller dans la réponse

Merci Geoffrey!

Instructions suivies ! Wink

Voici le résultat!

Search Navipromo version 3.7.6 commencé le 17/04/2009 à 22:53:30,70
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO
Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz )
BIOS : Ver 1.00PARTTBL
USER : Aurélia ( Administrator )
BOOT : Normal boot

Firewall : ZoneAlarm Firewall 7.1.254.000 (Activated)
C:\ (Local Disk) - NTFS - Total:92 Go (Free:4 Go)
D:\ (Local Disk) - NTFS - Total:45 Go (Free:26 Go)
E:\ (CD or DVD)

Recherche executé en mode normal

*** Recherche dossiers dans "C:\Windows" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Recherche dossiers dans "C:\ProgramData" ***

*** Recherche dossiers dans "c:\users\aurlia~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "C:\Users\Aurélia\AppData\Local\virtualstore\Program Files" ***

*** Recherche dossiers dans "C:\Users\Aurélia\AppData\Local" ***

*** Recherche dossiers dans "C:\Users\Aurélia\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\Windows\system32" *
* Recherche dans "C:\Users\Aurélia\AppData\Local\Microsoft" *
* Recherche dans "C:\Users\Aurélia\AppData\Local\virtualstore\windows\system32" *
* Recherche dans "C:\Users\Aurélia\AppData\Local" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :
* Dans "C:\Windows\system32" :

* Dans "C:\Users\Aurélia\AppData\Local\Microsoft" :

* Dans "C:\Users\Aurélia\AppData\Local\virtualstore\windows\system32" :

* Dans "C:\Users\Aurélia\AppData\Local" :
qcqei.exe trouvé !
qcqei.dat trouvé !
qcqei_nav.dat trouvé !
qcqei_navps.dat trouvé !
qcqei.bat trouvé !
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche autres dossiers et fichiers connus :

Bonjours,

Pour que vous éradiquiez ces pub,
Geof ayant annoncé qu'il n'est pas disponible, il continuera avec vous pour la suite..

Utilisateur d'Ad-Aware (Ad-Watch peut interférer avec la désinfection).
• Cliquez-droit sur l’icône d’Ad-Aware (en bas à droite),
>> Dans ce menu, il y a 2 items cochables : Active et Automatique
o Active: pour mettre Ad-Watch On\Off sans le fermer,
o Automatic: les activités suspectes vont être bloquées automatiquement,.
► Décochez ces 2 items.
>> Vous les réactiverez après la désinfection <<

Utilisateur de SpybotSD (la protection du registre peut interférer avec la désinfection).
(au cas ou vous l'avez remis en fonction, depuis votre rapport hijackthis.)
Désactivez la protection résidente de SpybotSD.
• Lancez Spybot > Mode avancé > Outils >> Résident
• Décochez la case résident "tea timer" et refermez Spybot
>> Vous réactiverez la protection après la désinfection. <<

Utilisateur de Vista.
Désactiver l' UAC
>> Vous réactiverez l’UAC après la désinfection. <<.
__________________________________________________________________________________________

Navilog1 - Procédure de désinfection.

► Désactivez votre antivirus.

• Relancer Navilog1 Rapport Hijackthis Navilog1icne

,
• Sélectionner l'option 2 - Désinfection automatique et valider.

P.S. : Si votre Bureau ne réapparaît pas
- Faites CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
- Et rendez-vous à l'onglet "processus".
- Cliquez en haut à gauche sur fichiers et choisissez "exécuter"
- Entrez explorer et validez (Cela fera apparaître le Bureau).

► Afficher le rapport >> pour Geof.

► Réactiver l'UAC, votre antivirus et autre...

Suppression des Certificats.
Aller dans Démarrer > Panneau de config. > Options internet > onglet "Contenu" > [Certificats],
• Supprimer les Certificats correspondants à ceux qui sont dans le bas de votre rapport Navilog1.
• Vérifier en particulier dans "Éditeurs approuvés", mais aussi aux autres endroits.
>> Ne supprimez que ceux qui sont à supprimer.

Supprimer Navilog1 de votre ordinateur.
• Soit dans Ajout/suppression des programmes ou
• Avec l’Uninstall du répertoire d'installation. Et supprimer le répertoire : c:\Program Files\Navilog1

Bonjour et merci pour ces nouvelles pistes à suivre.

Je viens d'essayer de suivre la procédure, mais en utilisant Navilog, impossible de lancer la désinfection automatique(2) : il m'est demandé de relancée une recherche(1); j'ai donc essayé 2 fois de relancer cette recherche, en vain : après environ 30/40minutes d'attente , une fenêtre Windows s'ouvre stipulant "QGREP:les chaines de caractère n'ont pas été trouvées" et la fenêtre Navilog se vide.
Que faire?

Merci d'avance

Aurélia

Bonjour,

est-ce que le contrôle des comptes utilisateurs est bien désactivé ??

Et est-ce que tu exécutes navilog en tant qu'administrateur ??

Oui pour les deux! Smile

Bizarre

relance navilog
choisi cette fois ci l option 4 "désinfection manuelle"
tape ceci : qcqei
lance la désinfection et poste le rapport qui sera généré à la fin stp

C'est fait! Toujours le même problème : la fenêtre bleue de Navilog s'affiche, je suis tes indications, le scan se lance (après avoir redémarré l'ordi) et une fenêtre windows s'affiche, encore QGREP & chaines complémentaires ..??? Rapport Hijackthis 475349

Ok...

Télécharge Malwarebytes
Tu auras un tutoriel à ta disposition sur mon site web pour l'installer et l'utiliser correctement.
Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
Lance une analyse complète en cliquant sur "Exécuter un examen complet"
Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
L'analyse peut durer un bon moment.....
Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

Aucune infection! Wink

R.A.S.

Télécharge Random's System Information Tool (RSIT)
Un tutoriel sera à ta disposition sur mon site web pour l'installer et l'utiliser correctement.
Comment héberger les rapports trop longs de RSIT

Voila le nouveau rapport!

http://www.toofiles.com/fr/oip/documents/txt/log.html

Une question: je me susi rendue compte hier soir que je ne trouvais plus certains fichiers sur mon ordinateur, fichiers qui se trouvaient dans C:\users\Aurélia\AppData\Roaming\Microsoft\Windows\Recent ...un lien avec toutes ses manip' est-il possible?

Merci encore pour ton aide et ta rapidité de réponse! Surprised

Bonjour aurlia,

il y a encore pas mal d'infections sur tes disques amovibles, dont le virus adobeR...

Commence par faire ceci stp :

Telecharge et install UsbFix de C_XX & Chiquitine29
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "Exécuter en tant qu'administrateur" .
Choisi l'option 1 ( Recherche )
Laisse travailler l'outil.
Ensuite post le rapport UsbFix.txt qui apparaîtra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

RAPPORT UBBFIX :

############################## [ UsbFix V3.011 ]
# User : Aurélia (Administrateurs) # PC-DE-AURÉLIA
# Update on 23/04/09 by C_XX & Chiquitine29
# Start at: 16:16:09 | 23/04/2009
# Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# FW : ZoneAlarm Firewall[ Enabled ]7.1.254.000
# C:\ # Disque fixe local # 92,21 Go (5,31 Go free) [System] # NTFS
# D:\ # Disque fixe local # 45,12 Go (28,79 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque amovible # 3,75 Go (1,8 Go free) [CLÉ AURÉLIA] # FAT32

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Maxtor\Sync\SyncServices.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Maxtor\OneTouch Status\MaxMenuMgr.exe
C:\Program Files\Brother\ControlCenter3\brccMCtl.exe
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Users\Aurélia\AppData\Roaming\Maxthon2\Maxthon.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Maxtor\Maxtor Backup\MaxBackServiceInt.exe
\\?\C:\Windows\system32\wbem\WMIADAP.EXE
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
################## [ Registre # Startup ]
HKCU_Main: "Local Page"="C:\\Windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://recherche.neuf.fr/"
HKCU_Main: "Start Page"="http://www.google.fr/"
HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
HKLM_Run: StartCCC=c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
HKLM_Run: RtHDVCpl=RtHDVCpl.exe
HKLM_Run: SMSERIAL=C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
HKLM_Run: NeroFilterCheck=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
HKLM_Run: IAAnotif="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKLM_Run: Device Detector=DevDetect.exe -autorun
HKLM_Run: TkBellExe="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
HKLM_Run: LaunchList=C:\Program Files\Pinnacle\Studio 11\LaunchList.exe
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: BrMfcWnd=C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
HKLM_Run: ControlCenter3=C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun
HKLM_Run: mxomssmenu="C:\Program Files\Maxtor\OneTouch Status\maxmenumgr.exe"
HKLM_Run: AVG8_TRAY=C:\PROGRA~1\AVG\AVG8\avgtray.exe
HKLM_Run: ZoneAlarm Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
HKLM_Run: Windows Mobile-based device management=%windir%\WindowsMobile\wmdSync.exe
HKLM_Run: Ad-Watch=C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
HKCU_Run: Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
HKCU_Run: ehTray.exe=C:\Windows\ehome\ehTray.exe
HKCU_Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
HKCU_Run: RocketDock="C:\Program Files\RocketDock\RocketDock.exe"
HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU_Run: Nokia.PCSync="C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
HKCU_Run: PC Suite Tray="C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
HKCU_Run: WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
################## [ Informations ]

# Contenu de l'autorun F:\autorun.inf
07EF:0002:0001:0001
[autorun]
icon = .\mxoicon6.ico

################## [ Fichiers # Dossiers infectieux ]
Found ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{1634225b-c806-11dc-b266-00030d69a2a6}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{4466805b-a569-11dc-b04b-00030d69a2a6}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{4466805b-a569-11dc-b04b-00030d69a2a6}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{9729890d-67e3-11dd-a211-00030d69a2a6}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{c79e9d5b-b7ac-11dd-b822-00030d69a2a6}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{c79e9d5b-b7ac-11dd-b822-00030d69a2a6}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{ca2a3da1-57b2-11dc-8c7c-00030d69a2a6}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{ca2a3da1-57b2-11dc-8c7c-00030d69a2a6}\Shell\explore\Command
HKCU\Software\Microsoft\....\MountPoints2\{ca2a3da1-57b2-11dc-8c7c-00030d69a2a6}\Shell\open\Command
HKCU\Software\Microsoft\....\MountPoints2\{d445c437-8339-11dc-a14d-00030d69a2a6}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{d445c437-8339-11dc-a14d-00030d69a2a6}\Shell\open\Command
################## [ ! Fin du rapport # UsbFix V3.011 ! ]

Re,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "Exécuter en tant qu'administrateur" .
choisi l'option 2 ( Suppression )
Ton bureau disparaîtra et le pc redémarrera .
Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Bonjour!
J'ai lancé l'option 2 : pas de disparition du bureau ni de redémarrage de l'ordi, mais un scan et rapport quand même Wink

http://www.toofiles.com/fr/oip/documents/txt/usbfix2.html

Bonjour,

Très bien maintenant fais ceci stp :

==> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge et enregistre Combofix (de sUBs) sur ton bureau
(c est le numéro 5 en bas de la page) :
Je te conseille d'installer la console de récupération !!
désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ensuite envois le rapport stp

RE!
Ce qu'en dit Combofix...

http://www.toofiles.com/fr/oip/documents/txt/4246_combofix.html

Encore merci!

Bonjour,

refais un nouveau rapport RSIT stp

Bonjour,

Panique à bord! Exclamation

Après t'avoir envoyé le rapport de Combofix hier, j'ai éteint mon ordi. Je le rallume hier soir et m'en sers sans problème.
Mais ce matin, gros souci! Surprised

En le rallumant, 10 minutes d'écran noir avant de voir apparaître le bureau Shocked

et une fois le bureau et les icônes affichés...impossile de faire quoique ce soit, tellement l'ordi est lent!
Le gestionnaire de tâches ne s'ouvre pas, l'ordi redémarre et se bloque..

J'ai réessayé de l'allumer dans la jouréne, mais à chaque fois, même chose

Je n'ai rien téléchargé hier soir, et ne vois aps ce qui a pu engendré ce bug.

Bref,grand besoin de ton aide!!! Une idée? Idea

Bonsoir ananaslio

Je fais une petite incruste
fais le rapport RSIT que t'a demandé geoffrey5
Je me sauve bonne désinfection geoffrey5

Oups !

petite erreur, aurlia s'est connectée sous mon pseudo par erreur !
Désolée et merci Rapport Hijackthis 401757

Anne

Bonjour Geoffrey,

Un ami a réussi à remettre mon ordi sur pied (un programme qui buguait au démarrage apparement) Rolling Eyes

Je t'envoie donc le rapport RSIT que tu m'avais demandé (pas de rapport info par contre.. Question

)

http://www.toofiles.com/fr/oip/documents/txt/7653_log.html

Merci!

Bonsoir,

Ok maintenant pour vérifier :

Sous VISTA : Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection)
Télécharger et enregistrer lopSD sur ton bureau

(c est le numéro 4 en bas de la page) :
Double-clic Lop S&D
Faire l'installation
Fermer toutes les applications
Le lancer par un double-clic sur le raccourci qui est sur le bureau

* Avec VISTA => clic-droit et => Exécuter en tant qu'administrateur
Taper F pour français , puis presser entrée
Taper 1
Presser Entrée
Le PC va redémarrer

* Note= si l'antivirus annonce une infection dans TEMP , l'ignorer
Attendre l'apparition du rapport
Copier le rapport et le coller dans la réponse

* le rapport se trouve aussi à C:\lopR

» Rapport Hijackthis
» Rapport Hijackthis
» rapport hijackthis
» Rapport hijackthis
» Besoin d'aide, Virus Antivirus!