cheval de troie ??

[lily76240]

Bonjour, depuis deux jours une fenêtre d'internet explorer(j'utilise mozilla firefox) s'ouvre et se referme au bout de 3 secondes avec pour adresse "apartmentjackpot.com".
J'ai donc lancer mon antivirus (McAfee) il me détecte un cheval de troie :

Journal de détection :

Nom de détection : Generic.dx (Cheval de Troie), Generic.dx (Cheval de Troie)

Fichier : C:Program FilesNavilog1is-6A2CD.tmp

Processus : C:UsersLilyAppDataLocalTempis-U0NGT.tmpis-CP24F.tmp

Description du processus : SetupUninstall


McAfee l'a mis en quarantaine et je l'ai supprimé,mais j'ai du oublier quelque chose (je suis novice) car la page s'affiche toujours.
J'ai donc parcourus votre forum, mais rien y fait.

Voilà donc où j'en suis :

J'ai télécharger puis lancé HiJackThis V2.0.2, voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:15, on 06/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:Windowssystem32 askeng.exe
C:Windowssystem32Dwm.exe
C:WindowsExplorer.EXE
C:WindowsRtHDVCpl.exe
C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatchTray9.exe
C:Program FilesPowercinemaPCMService.exe
C:Program FilesSiteAdvisor6172SiteAdv.exe
C:Program FilesJavajre1.6.0_07injusched.exe
C:Program FilesCommon FilesRealUpdate_OB ealsched.exe
C:Program FilesMcAfee.comAgentmcagent.exe
C:Program FilesHPHP Software UpdatehpwuSchd2.exe
C:Program FilesCommon FilesLogiShrdLComMgrCommunications_Helper.exe
C:Program FilesLogitechQuickCamQuickcam.exe
C:Program FilesiTunesiTunesHelper.exe
C:Windowsmondrv411.exe
C:Program FilesPackard BellSetUpMyPCSmpSys.exe
C:Program FilesVeoh NetworksVeohVeohClient.exe
C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe
C:Program FilesWindows Media Playerwmpnscfg.exe
C:Program FilesHPDigital Imaginginhpqtra08.exe
C:Program FilesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:Program Filesppcboosterppcb_32.exe
C:Program FilesCommon FilesLogiShrdLVCOMSERLVComSer.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.EXE
C:Program FilesCommon FilesLogitechKhalSharedKHALMNPR.EXE
C:Program FilesCommon FilesLogishrdLQCVFXCOCIManager.exe
C:Program FilesIncrediMailinIMApp.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe
C:WindowsSystem32mobsync.exe
C:Program FilesCommon FilesRoxio Shared9.0SharedCOMCPSHelpRunner.exe
C:Program FilesHPDigital ImaginginhpqSTE08.exe
C:Windowssystem32conime.exe
C:PROGRAM FILESA-SQUARED FREEA2FREE.EXE
C:Program FilesMozilla Firefoxfirefox.exe
C:UsersLilyDesktopBaby.exe
c:PROGRA~1mcafeemscmcupdui.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://mystart.incredimail.com/french/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:Program FilesSiteAdvisor6172SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:PROGRA~1mcafeemskmcapbho.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:Program FilesMcAfeeVirusScanscriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesCommon FilesMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:Program FilesGoogleGoogle_BAEBAE.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:Program FilesSiteAdvisor6172SiteAdv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:Program FilesVeoh NetworksVeohPlugins egVeohToolbar.dll
O4 - HKLM..Run: [Windows Defender] %ProgramFiles%Windows DefenderMSASCui.exe -hide
O4 - HKLM..Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM..Run: [RoxWatchTray] "C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatchTray9.exe"
O4 - HKLM..Run: [Google Desktop Search] "C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe" /startup
O4 - HKLM..Run: [PCMService] "c:Program FilesPowercinemaPCMService.exe"
O4 - HKLM..Run: [toolbar_eula_launcher] C:Program FilesPackard BellGOOGLE_EULAEULALauncher.exe
O4 - HKLM..Run: [SiteAdvisor] C:Program FilesSiteAdvisor6172SiteAdv.exe
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_07injusched.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [mcagent_exe] C:Program FilesMcAfee.comAgentmcagent.exe /runkey
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [LogitechCommunicationsManager] "C:Program FilesCommon FilesLogiShrdLComMgrCommunications_Helper.exe"
O4 - HKLM..Run: [LogitechQuickCamRibbon] "C:Program FilesLogitechQuickCamQuickcam.exe" /hide
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeQTTask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [mondrv411] C:Windowsmondrv411.exe
O4 - HKCU..Run: [StartCCC] C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe
O4 - HKCU..Run: [SmpcSys] C:Program FilesPackard BellSetUpMyPCSmpSys.exe
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailinIncMail.exe /c
O4 - HKCU..Run: [Veoh] "C:Program FilesVeoh NetworksVeohVeohClient.exe" /VeohHide
O4 - HKCU..Run: [ISUSPM] "C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe" -scheduler
O4 - HKCU..Run: [WMPNSCFG] C:Program FilesWindows Media PlayerWMPNSCFG.exe
O4 - HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE RESEAU')
O4 - Startup: ppcb_32.lnk = C:Program Filesppcboosterppcb_32.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imaginginhpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:Program FilesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointSetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:PROGRA~1JavaJRE16~4.0_0inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:PROGRA~1JavaJRE16~4.0_0inssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:UsersLilyAppDataRoamingMicrosoftWindowsStart MenuProgramsIMVURun IMVU.lnk (file missing)
O13 - Gopher Prefix:
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:Program FilesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: C:PROGRA~1GoogleGOOGLE~3GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:Program Filesa-squared Freea2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesCommon FilesAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:Windowssystem32Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:Program FilesCommon FilesBOONTY SharedServiceBoonty.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:Program FilesPowercinemaKernelTVCLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:Program FilesPowercinemaKernelTVCLSched.exe
O23 - Service: GoogleDesktopManager - Google - C:Program FilesGoogleGoogle Desktop SearchGoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:Program FilesCommon FilesLogiShrdLVCOMSERLVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:Program FilesCommon FilesLogiShrdLVMVFMLVPrcSrv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:Program Filesma-config.commaconfservice.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:PROGRA~1McAfeeMSCmcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:program filescommon filesmcafeemnamcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:PROGRA~1McAfeeVIRUSS~1mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:PROGRA~1COMMON~1mcafeemcproxymcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:PROGRA~1McAfeeVIRUSS~1mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:PROGRA~1McAfeeVIRUSS~1mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:Program FilesMcAfeeMPFMPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:Program FilesMcAfeeMSKMskSrver.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:Program FilesSymantecLiveUpdateALUSchedulerSvc.exe (file missing)
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:Program FilesCommon FilesSureThing Sharedstllssvr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:Program FilesCommon FilesSymantec SharedCCPD-LCsymlcsvc.exe (file missing)

--
End of file - 11584 bytes



J'ai télécharger et lancé a-squared Free 3.5 -toujours en cours, j'attend le rapport pour vous l'envoyer- qui m'as trouvé pour le moment 25 cookies à risque faible et moyens.

Suis-je sur la bonne piste? Est-il utile que je vous poste le rapport de a-squared?

Merci de votre aide.

[Pac428]

Bonsoir Lilly et Bienvenue.
Commences par supprimer la ligne :
O23 - Service: Boonty Games - BOONTY - C:Program FilesCommon FilesBOONTY SharedServiceBoonty.exe
Si besoin, tutoriel HijackThis => ICI <=
J'ai vu aussi des trucs de "eorezo" qui trainent ... évites.
Je ne connais pas A-squared, mais s'il dit quelque chose,
fais savoir.
++

[lily76240]

Alors, voilà le rapport de a-squared :
Version - a-squared Free 3.5
Dernière mise à jour : 06/11/2008 22:11:13

Paramètres des balayages :

Eléments : Mémoire, Traces, Cookies, C:
Balaye dans les archives : Marche
Analyse heuristique : Marche
Balaye dans les ADS : Marche

Début du balayage : 06/11/2008 22:12:08

Value: HKEY_LOCAL_MACHINESOFTWAREReflexive EntertainmentBig Kahuna Words --> InstallPath Objets détectés : Trace.Registry.Big Kahuna Words!A2
c:program filesfunkitron Objets détectés : Trace.Directory.Bumper Deluxe!A2
c:program fileslegacy interactive Objets détectés : Trace.Directory.Law and Order - Criminal Intent The Vengeful Heart!A2
c:userslilyappdata oamingpogo games Objets détectés : Trace.Directory.Lottso!A2
c:userslilyappdata oamingpogo gamescommon Objets détectés : Trace.Directory.Lottso!A2
c:userslilyappdata oamingpogo gamescommoncache Objets détectés : Trace.Directory.Lottso!A2
c:userslilyappdata oamingpogo gameslottso2 Objets détectés : Trace.Directory.Lottso!A2
c:userslilyappdata oamingpogo gameslottso2cache Objets détectés : Trace.Directory.Lottso!A2
c:userslilyappdata oamingpogo gameslottso2properties Objets détectés : Trace.Directory.Lottso!A2
c:userslilyappdata oamingpogo gameslottso2propertiesplayer.prod.dat Objets détectés : Trace.File.Lottso!A2
c:userslilyappdata oamingpogo gameslottso2properties egistry.properties Objets détectés : Trace.File.Lottso!A2
Value: HKEY_LOCAL_MACHINESOFTWAREPogoDownloadableslottso2Test3D --> DisplayGUID Objets détectés : Trace.Registry.Lottso!A2
Value: HKEY_LOCAL_MACHINESOFTWAREPogoDownloadableslottso2Test3D --> FailureReason Objets détectés : Trace.Registry.Lottso!A2
Value: HKEY_LOCAL_MACHINESOFTWAREPogoDownloadableslottso2Test3D --> MinVidMemory Objets détectés : Trace.Registry.Lottso!A2
Value: HKEY_LOCAL_MACHINESOFTWAREPogoDownloadableslottso2Test3D --> RecVidMemory Objets détectés : Trace.Registry.Lottso!A2
Value: HKEY_LOCAL_MACHINESOFTWAREPogoDownloadableslottso2Test3D --> Version Objets détectés : Trace.Registry.Lottso!A2
Value: HKEY_LOCAL_MACHINESOFTWAREPogoDownloadableslottso2Test3D --> Warning Objets détectés : Trace.Registry.Lottso!A2
Value: HKEY_USERSS-1-5-21-288176912-267278747-1224061261-1002SoftwareMicrosoftInternet ExplorerSearchScopes{56256A51-B582-467e-B8D4-7786EDA79AE0} --> DisplayName Objets détectés : Trace.Registry.MyWebSearch Toolbar!A2
Value: HKEY_USERSS-1-5-21-288176912-267278747-1224061261-1002SoftwareMicrosoftInternet ExplorerSearchScopes{56256A51-B582-467e-B8D4-7786EDA79AE0} --> URL Objets détectés : Trace.Registry.MyWebSearch Toolbar!A2
Value: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchScopes{56256A51-B582-467e-B8D4-7786EDA79AE0} --> DisplayName Objets détectés : Trace.Registry.MyWebSearch Toolbar!A2
Value: HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchScopes{56256A51-B582-467e-B8D4-7786EDA79AE0} --> URL Objets détectés : Trace.Registry.MyWebSearch Toolbar!A2
Key: HKEY_CLASSES_ROOTclsid{147a976f-eee1-4377-8ea7-4716e4cdd239} Objets détectés : Trace.Registry.MyWebSearchToobar
Key: HKEY_CLASSES_ROOTinterface{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} Objets détectés : Trace.Registry.MyWebSearchToobar
C:UsersLilyAppDataRoamingMozillaFirefoxProfiles26812qbf.defaultcookies.sqlite:2 Objets détectés : Trace.TrackingCookie.incredimail!A2
C:UsersLilyAppDataRoamingMozillaFirefoxProfiles26812qbf.defaultcookies.sqlite:1226004275265982 Objets détectés : Trace.TrackingCookie.com!A2

Analysé

Fichiers : 151794
Traces : 486753
Cookies : 75
Processus : 80

Objets trouvés

Fichiers : 0
Traces : 23
Cookies : 2
Processus : 0
Clés de Registre : 0

Fin du balayage : 06/11/2008 23:54:08
Temps du balayage : 1:42:00


Après ça, j'ai fait un scan sur http://check.sdv.fr/

Conclusion:

Aucun port ne semble ouvert sur votre machine.
Votre securité est excellente.



J'ai bien supprimé "O23 - Service: Boonty Games - BOONTY - C:Program FilesCommon FilesBOONTY SharedServiceBoonty.exe" par contre je ne sait pas que c'est que "eorezo"

Pour le moment, la fenêtre ne sait pas réouverte, mais je préfère attendre encore avant de crier victoire.

Merci de ton aide Pac
++

[Pac428]

Je croise les doigts avec toi Lilly
Eorezo est un site qui propose des tas de barres
et autres fabuleux trucs gratos ... un vrai nid à problèmes.
Si tu en as, je te conseille de les virer, mais bon ...
Si tu veux jeter un coup d'oeil à notre dossier "Nettoyage" => ICI <=
ça peut peut-être t'aider à consolider.
++

[lily76240]

Et bien non elle est revenu , merci pour le conseil du nettoyage, par contre je me demande bien d'où viens ce "eorezo" vu que je ne suis pas fan de ce genre de truc et que je suis seule à utiliser mon pc

Ce qui est bizarre avec cette fenêtre, c'est qu'elle fait un petit bruit en s'ouvrant et en se refermant, elle n'as pas le temps e s'afficher, ça marque le nom dans la barre d'adresse et elle disparait aussitôt, ça m'énerve, je ne suis pas couchée

[r@in | b0w]

Bonjour.

_ Via HiJackThis, tu supprimes les lignes suivantes:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeQTTask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [mondrv411] C:Windowsmondrv411.exe
O4 - Startup: ppcb_32.lnk = C:Program Filesppcboosterppcb_32.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:UsersLilyAppDataRoamingMicrosoftWindowsStart MenuProgramsIMVURun IMVU.lnk (file missing)
O23 - Service: Boonty Games - BOONTY - C:Program FilesCommon FilesBOONTY SharedServiceBoonty.exe


_ Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:Windowsmondrv411.exe
et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.

Tu renouvelles l'opération pour les fichiers C:UsersLilyDesktopBaby.exe & C:Program FilesPackard BellGOOGLE_EULAEULALauncher.exe.


_ Ensuite, tu as installé Navilog1?

Si non, tu télécharges Navilog1.
Il faut désactiver l'UAC avant d'utiliser Navilog1.

Pour cela, il faut cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Comptes d'utilisateurs puis sur Activer ou désactiver le contrôle des comptes d'utilisateurs.

Une fenêtre de confirmation s'ouvrira, décoches la ligne Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis cliques sur Ok.

Le redémarrage demandé sera nécessaire pour que l'UAC soit inactive.

Tu lances l'installation en double cliquant dessus.

Tu sélectionnes Français puis cliques sur Ok; tu cliques ensuite sur Suivant, tu laisses l'option de l'icône sur le bureau puis tu cliques à nouveau sur Suivant et finalement Installer.

Ensuite, tu cliques sur Terminer pour quitter le programme d'installation.

Avant de lancer Navilog1, tu désactives ta connexion Internet & ton antivirus car ce dernier peut bloquer l'exécution de l'utilitaire.
Tu les réactiveras après l'utilisation de Navilog1.

Tu lances ensuite l'utilitaire en double cliquant dessus.

Tu appuies sur la touche [F] pour sélectionner le français puis sur [Entrée].
A l'écran suivant, tu appuies sur n'importe quelle touche pour continuer.
Idem pour la fenêtre suivante.
Navilog1 va ensuite être décompressé sur ton bureau, patientes jusqu'à la fin de la manipulation puis, quand il sera indiqué:

Code: Tout sélectionner

Vous avez correctement décompresse navilog1.zip!
 
Press any key to continue...

Tu appuies sur n'importe quelle touche de ton clavier.

Une fenêtre de choix s'affiche, tu appuies sur [1].

A la fin de l'analyse, un fichier fixnavi.txt s'ouvrira, tu colles le rapport dans ton prochain message.

De plus, tu as beaucoup de barres d'outils installées, peut-être des infections aussi.


_ Tu vas télécharger Toolbar S&D.

Tu double cliques ensuite sur l'icône Toolbar S&D pour lancer l'application.

Tu tapes sur la touche [F] pour sélectionner la langue française.

Tu appuies ensuite sur la touche [1] puis sur la touche [Entrée] pour lancer l'analyse.

Quand tu verras indiqué:

Code: Tout sélectionner

Fin du rapport à --:--:--,--

L'analyse sera finie.

Normalement, le rapport d'analyse s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.


_ Ensuite, pour la forme, tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.


_ Dernière chose, tu as des traces Symantec. Si tu n'as aucun produit à eux, il est possible que ce soit Norton probablement préinstallé qui ait laissé quelque chose.

Tu vas sur ce fil & tu récupères l'unistalleur Symantec puis tu le lances.


Tiens-nous au jus & bon ménage

[lily76240]

Pfiou, j'ai mal au crane !

Alors, j'ai supprimé les lignes via hijackthis.
Pour virustotal.com, je n'ai pas trouvé le bouton "formater", mais je met quand même le rapport pour C:Windowsmondrv411.exe
Ensuite le rapport de C:UsersLilyDesktopBaby.exe et de C:Program FilesPackard BellGOOGLE_EULAEULALauncher.exe.

Le rapport de Navilog :
Search Navipromo version 3.6.9 commencé le 07/11/2008 à 15:58:05,66

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:Program Files
avilog1
Session actuelle : "Lily"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:Windows" ***


*** Recherche dossiers dans "C:Program Files" ***


*** Recherche dossiers dans "c:progra~2micros~1windowsstartm~1programs" ***


*** Recherche dossiers dans "c:progra~2micros~1windowsstartm~1" ***


*** Recherche dossiers dans "C:ProgramData" ***


*** Recherche dossiers dans "c:userslilyappdata oamingmicros~1windowsstartm~1programs" ***


*** Recherche dossiers dans "C:UsersLilyAppDataLocalvirtualstoreProgram Files" ***

...InternetGameBox trouvé !

*** Recherche dossiers dans "C:UsersLilyAppDataRoaming" ***


*** Recherche dossiers dans "C:UsersESPACE~1appdata oaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:Windowssystem32" *

* Recherche dans "C:UsersLilyAppDataLocalMicrosoft" *

* Recherche dans "C:UsersLilyAppDataLocalvirtualstorewindowssystem32" *

* Recherche dans "C:UsersLilyAppDataLocal" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:Windowssystem32" :


* Dans "C:UsersLilyAppDataLocalMicrosoft" :


* Dans "C:UsersLilyAppDataLocalvirtualstorewindowssystem32" :


* Dans "C:UsersLilyAppDataLocal" :

blejeoan.dat trouvé !
blejeoan_nav.dat trouvé !
blejeoan_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 07/11/2008 à 16:15:58,59 ***


Le rapport de Toolbar S&D :

-----------\ ToolBar S&D 1.2.4 XP/Vista

Microsoft® Windows Vista™ Edition Familiale Basique ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Celeron(R) CPU 420 @ 1.60GHz )
BIOS : Default System BIOS
USER : Lily ( Administrator )
BOOT : Normal boot
Antivirus : Norton Internet Security 2007 (Activated)
Firewall : Norton Internet Security 2007 (Activated)
C: (Local Disk) - NTFS - Total:224 Go (Free:117 Go)
D: (CD or DVD)
F: (USB)
G: (USB)
H: (USB)
I: (USB)
J: (USB)

"C:ToolBar SD" ( MAJ : 27-10-2008|09:25 )
Option : [1] ( 07/11/2008|15:51 )

[ UAC => 0 ]

-----------\ Recherche de Fichiers / Dossiers ...

C:Program FilesGamesBar
C:Program FilesGamesBarLocalization-French.ini

-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\Windows\system32\blank.htm"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://mystart.incredimail.com/french/"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"


--------------------\ Recherche d'autres infections


C:UsersLilyAppDataLocallejeoan.dat
C:UsersLilyAppDataLocallejeoan_nav.dat
C:UsersLilyAppDataLocallejeoan_navps.dat
==> EGDACCESS <==

--------------------\ Cracks & Keygens ..

C:UsersLilyDesktopCracktro.exe.manifest
C:UsersLilyDocumentsJeux PCCrack
C:UsersLilyDocumentsJeux PCCrack(23)
C:UsersLilyDocumentsJeux PCCrackGame.exe
C:UsersLilyDocumentsJeux PCCrack(23)
ancydrewsecretoftheoldclocknocdcracktnt.zip
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINACEWinAce.Archiver.v2.20.Fr.+.Keygen.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WinimageWinImage_keygen.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINRARWinRAR.v3.10.+.Crack.Fr.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINRARWinRAR_Universal_Crack.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINZIPWinZip v8.1.Crack, Fr.exe
C:PROGRA~2FugazoCooking Academycachedsoundseggcrack.wav
C:PROGRA~2FugazoWorld MosaicscachedsoundsTilecrack.wav


[ UAC => 1 ]


1 - "C:ToolBar SDTB_1.txt" - 07/11/2008|15:54 - Option : [1]

-----------\ Fin du rapport a 15:54:10,06



Le rapport de Malwarebytes' Anti-Malware :
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1371
Windows 6.0.6001 Service Pack 1

07/11/2008 17:36:59
mbam-log-2008-11-07 (17-36-59).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 161225
Temps écoulé: 1 hour(s), 13 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 22
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOTInterface{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTInterface{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTTypelib{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerSearchScopes{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearchScopes{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsElevationPolicy{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerLow RightsRunDll32Policyf3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWARETrymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftMultimediaWMPlayerSchemesf3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:UsersLilyLocal SettingsApplication Datalejeoan_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:UsersLilyLocal SettingsApplication Datalejeoan_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:UsersLilyLocal SettingsApplication Datalejeoan.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:Program FilesEoRezo (Rogue.Eorezo) -> Delete on reboot.


Et pour finir j'ai effacé les traces de Symantec.

La page internet ne s'affiche plus c'est déjà super cool par contre j'ai vu pas mal de "rouge" dans les analyses. En tout cas, merci R@in pour l'aide

[r@in | b0w]

Bonjour.

Je crois qu'on va devoir se fâcher:

-------------------\ Cracks & Keygens ..

C:UsersLilyDesktopCracktro.exe.manifest
C:UsersLilyDocumentsJeux PCCrack
C:UsersLilyDocumentsJeux PCCrack(23)
C:UsersLilyDocumentsJeux PCCrackGame.exe
C:UsersLilyDocumentsJeux PCCrack(23)
ancydrewsecretoftheoldclocknocdcracktnt.zip
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINACEWinAce.Archiver.v2.20.Fr.+.Keygen.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WinimageWinImage_keygen.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINRARWinRAR.v3.10.+.Crack.Fr.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINRARWinRAR_Universal_Crack.exe
C:UsersLilyDownloadseMuleIncomingwinzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +winzip winrar win ace win image +key +patch fr +WINZIPWinZip v8.1.Crack, Fr.exe
C:PROGRA~2FugazoCooking Academycachedsoundseggcrack.wav
C:PROGRA~2FugazoWorld MosaicscachedsoundsTilecrack.wav

Tout ceci est bien entendu à supprimer si tu ne veux pas cumuler à ton souci un ver Bagle.

Après, je dis ça, je ne dis rien, tu es grande.



Sinon:


_ Tu relances Toolbar S&D puis tu sélectionnes l'option [2] pour lancer le nettoyage.

Tu nous copies-colles ensuite l'intégralité du rapport de nettoyage.


_ Tu vas relancer Navilog puis appuyer sur [2] pour lancer la désinfection automatique.

Navilog fera redémarrer ton ordinateur.
Tu appuieras sur n'importe quelle touche comme demandé.

Le nettoyage de Navilog sera effectif quand tu liras:

Code: Tout sélectionner

*** Nettoyage Termine le ...

Le Bloc-Notes s'ouvrira, il te faudra enregistrer le rapport de désinfection car il ne sera pas sauvegardé par défaut.

Ton Bureau apparaîtra par la suite.

Postes le rapport dans ton prochain message.


_ Tu pars en Mode sans échec.

Tu cliques ensuite sur Démarrer puis Tous les programmes, Accessoires et finalement Invite de commandes ou, si l'Invite de commandes n'est pas là, tu vas toujours dans Accessoires puis Outils système et enfin Invite de commandes.

Tu copies-colles chaque ligne en les validant une par une par [Entrée]:

Code: Tout sélectionner

del C:Windowsmondrv411.exe

_ Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner

SDFix has been extracted to %systemdrive%SDFix
(Drive that contains the Windows directory - typically C:SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html

Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.

Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.


_ Tu relances Mbam et tu postes le rapport si quelque chose est trouvés.


_ Tu fais un nouveau scan HiJackThis et tu postes le rapport.

[lily76240]

Je crois qu'on va devoir se fâcher

Rapport de Toolbar S&D :


-----------\ ToolBar S&D 1.2.4 XP/Vista

Microsoft® Windows Vista™ Edition Familiale Basique ( v6.0.6001 ) Service Pack 1
X86-based PC ( Multiprocessor Free : Intel(R) Celeron(R) CPU 420 @ 1.60GHz )
BIOS : Default System BIOS
USER : Lily ( Administrator )
BOOT : Normal boot
C: (Local Disk) - NTFS - Total:224 Go (Free:117 Go)
D: (CD or DVD)
F: (USB)
G: (USB)
H: (USB)
I: (USB)
J: (USB)

"C:ToolBar SD" ( MAJ : 27-10-2008|09:25 )
Option : [2] ( 08/11/2008|13:58 )

[ UAC => 1 ]

-----------\ SUPPRESSION

Supprime! - C:Program FilesGamesBarLocalization-French.ini
Supprime! - C:Program FilesGamesBar

-----------\ Recherche de Fichiers / Dossiers ...


-----------\ [..Internet ExplorerMain]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Local Page"="C:\Windows\system32\blank.htm"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://mystart.incredimail.com/french/"
"Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Start Page"="http://www.msn.com/"
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"


--------------------\ Recherche d'autres infections

--------------------\ Cracks & Keygens ..

C:PROGRA~2FugazoCooking Academycachedsoundseggcrack.wav
C:PROGRA~2FugazoWorld MosaicscachedsoundsTilecrack.wav


[ UAC => 1 ]


1 - "C:ToolBar SDTB_1.txt" - 07/11/2008|15:54 - Option : [1]
2 - "C:ToolBar SDTB_2.txt" - 08/11/2008|14:01 - Option : [2]

-----------\ Fin du rapport a 14:01:08,45



Pour Navilog 1 , il n'as jamais voulu fonctionner en mode normal, par contre en mode sans echec oui


Rapport de Navilog1 :

Clean Navipromo version 3.6.9 commencé le 08/11/2008 à 14:53:01,03

Outil exécuté depuis C:Program Files
avilog1
Session actuelle : "Lily"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:WindowsSystem32" *


* Suppression dans "C:UsersLilyAppDataLocalMicrosoft" *


* Suppression dans "C:UsersLilyAppDataLocalvirtualstorewindowssystem32" *


* Suppression dans "C:UsersLilyAppDataLocal" *



*** Suppression dossiers dans "C:Windows" ***


*** Suppression dossiers dans "C:Program Files" ***


*** Suppression dossiers dans "c:progra~2micros~1windowsstartm~1programs" ***


*** Suppression dossiers dans "c:progra~2micros~1windowsstartm~1" ***


*** Suppression dossiers dans "C:ProgramData" ***


*** Suppression dossiers dans c:userslilyappdata oamingmicros~1windowsstartm~1programs ***


*** Suppression dossiers dans "C:UsersLilyAppDataLocalvirtualstoreProgram Files" ***

...InternetGamebox ...suppression...
...InternetGamebox supprimé !


*** Suppression dossiers dans "C:UsersLilyAppDataRoaming" ***


*** Suppression dossiers dans "C:UsersESPACE~1appdata oaming" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:WindowsTemp effectué !
Nettoyage contenu C:UsersLilyAppDataLocalTemp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:Windowssystem32" *


* Dans "C:UsersLilyAppDataLocalMicrosoft" *


* Dans "C:UsersLilyAppDataLocalvirtualstorewindowssystem32" *


* Dans "C:UsersLilyAppDataLocal" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !


*** Nettoyage terminé le 08/11/2008 à 14:54:30,32 ***


Pour : del C:Windowsmondrv411.exe , c'est fait.

Par contre pour SDFix, gros problème, en mode sans échec il ne veut rien savoir, par contre en mode normal il me donne ça :


Donc, je n'ai toucher à rien.


Rapport de Mbam :
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1371
Windows 6.0.6001 Service Pack 1

08/11/2008 18:32:37
mbam-log-2008-11-08 (18-32-37).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 161120
Temps écoulé: 1 hour(s), 15 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:Program FilesEoRezo (Rogue.Eorezo) -> Delete on reboot.


Rapport de HiJackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:16, on 08/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:Windowssystem32Dwm.exe
C:WindowsExplorer.EXE
C:Windowssystem32 askeng.exe
C:WindowsRtHDVCpl.exe
C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatchTray9.exe
C:Program FilesPowercinemaPCMService.exe
C:Program FilesSiteAdvisor6172SiteAdv.exe
C:Program FilesJavajre1.6.0_07injusched.exe
C:Program FilesMcAfee.comAgentmcagent.exe
C:Program FilesHPHP Software UpdatehpwuSchd2.exe
C:Program FilesCommon FilesLogiShrdLComMgrCommunications_Helper.exe
C:Program FilesLogitechQuickCamQuickcam.exe
C:Program FilesPackard BellSetUpMyPCSmpSys.exe
C:Program FilesVeoh NetworksVeohVeohClient.exe
C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe
C:Program FilesWindows Media Playerwmpnscfg.exe
C:Program FilesHPDigital Imaginginhpqtra08.exe
C:Program FilesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.EXE
C:Program FilesCommon FilesLogitechKhalSharedKHALMNPR.EXE
C:Program FilesCommon FilesLogiShrdLVCOMSERLVComSer.exe
C:Program FilesIncrediMailinIMApp.exe
C:Program FilesCommon FilesLogishrdLQCVFXCOCIManager.exe
C:UsersLilyDesktopBaby.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe
C:Windowssystem32SearchFilterHost.exe
C:Program FilesCommon FilesRoxio Shared9.0SharedCOMCPSHelpRunner.exe
C:Program FilesHPDigital ImaginginhpqSTE08.exe
C:Program FilesHPDigital ImagingProduct Assistantinhprblog.exe
C:Program FilesHPDigital Imaginginhpqpprop.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://mystart.incredimail.com/french/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:Program FilesSiteAdvisor6172SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:PROGRA~1mcafeemskmcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:Program FilesMcAfeeVirusScanscriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesCommon FilesMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:Program FilesGoogleGoogle_BAEBAE.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:Program FilesSiteAdvisor6172SiteAdv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:Program FilesVeoh NetworksVeohPlugins egVeohToolbar.dll
O4 - HKLM..Run: [Windows Defender] %ProgramFiles%Windows DefenderMSASCui.exe -hide
O4 - HKLM..Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM..Run: [RoxWatchTray] "C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatchTray9.exe"
O4 - HKLM..Run: [Google Desktop Search] "C:Program FilesGoogleGoogle Desktop SearchGoogleDesktop.exe" /startup
O4 - HKLM..Run: [PCMService] "c:Program FilesPowercinemaPCMService.exe"
O4 - HKLM..Run: [toolbar_eula_launcher] C:Program FilesPackard BellGOOGLE_EULAEULALauncher.exe
O4 - HKLM..Run: [SiteAdvisor] C:Program FilesSiteAdvisor6172SiteAdv.exe
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_07injusched.exe"
O4 - HKLM..Run: [mcagent_exe] C:Program FilesMcAfee.comAgentmcagent.exe /runkey
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [LogitechCommunicationsManager] "C:Program FilesCommon FilesLogiShrdLComMgrCommunications_Helper.exe"
O4 - HKLM..Run: [LogitechQuickCamRibbon] "C:Program FilesLogitechQuickCamQuickcam.exe" /hide
O4 - HKLM..Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU..Run: [StartCCC] C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe
O4 - HKCU..Run: [SmpcSys] C:Program FilesPackard BellSetUpMyPCSmpSys.exe
O4 - HKCU..Run: [IncrediMail] C:Program FilesIncrediMailinIncMail.exe /c
O4 - HKCU..Run: [Veoh] "C:Program FilesVeoh NetworksVeohVeohClient.exe" /VeohHide
O4 - HKCU..Run: [ISUSPM] "C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe" -scheduler
O4 - HKCU..Run: [WMPNSCFG] C:Program FilesWindows Media PlayerWMPNSCFG.exe
O4 - HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'SERVICE RESEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imaginginhpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:Program FilesLogitechDesktop Messenger8876480ProgramLogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointSetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:PROGRA~1JavaJRE16~4.0_0inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:PROGRA~1JavaJRE16~4.0_0inssv.dll
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix:
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:Program FilesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
O20 - AppInit_DLLs: C:PROGRA~1GoogleGOOGLE~3GOEC62~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:Program Filesa-squared Freea2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesCommon FilesAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:Windowssystem32Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:Program FilesPowercinemaKernelTVCLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:Program FilesPowercinemaKernelTVCLSched.exe
O23 - Service: GoogleDesktopManager - Google - C:Program FilesGoogleGoogle Desktop SearchGoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:Program FilesCommon FilesLogiShrdLVCOMSERLVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:Program FilesCommon FilesLogiShrdLVMVFMLVPrcSrv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:Program Filesma-config.commaconfservice.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:PROGRA~1McAfeeMSCmcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:program filescommon filesmcafeemnamcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:PROGRA~1McAfeeVIRUSS~1mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:PROGRA~1COMMON~1mcafeemcproxymcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:PROGRA~1McAfeeVIRUSS~1mcshield.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:Program FilesMcAfeeMPFMPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:Program FilesMcAfeeMSKMskSrver.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:Program FilesSymantecLiveUpdateALUSchedulerSvc.exe (file missing)
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:Program FilesCommon FilesSureThing Sharedstllssvr.exe

--
End of file - 10165 bytes

[r@in | b0w]

Il en reste deux:

--------------------\ Cracks & Keygens ..

C:PROGRA~2FugazoCooking Academycachedsoundseggcrack.wav
C:PROGRA~2FugazoWorld MosaicscachedsoundsTilecrack.wav

_ Pour SDFix, autant pour moi, tu es sous Vista.

Tu télécharges Gmer en version .ZIP que tu décompresses ensuite sur le Bureau.

Tu double-cliques sur l'icône Gmer.exe pour le lancer.

Tu cliques ensuite sur l'onglet Rootkit puis sur Scan pour démarrer l'analyse.

Si Gmer trouve un rootkit, il affichera la ligne en rouge.
Tu cliques droit sur la ligne puis sur Kill the process si cette option est disponible puis dans tous les cas tu cliques droit sur Delete the service pour supprimer le rootkit.

Dans tous les cas, si tu hésites ou que tu veux une confirmation sur les suppressions, tu suis ces deux tutoriaux:

_ le guide pour faire une impression écran;

_ comment l'héberger sur internet.


_ Pour Navilog1, c'est tout bon.


_ Pour Mbam aussi.


_ Pour EoRezo, tu regardes dans Ajout/Suppression de programmes si tu le trouves.

Sinon et de toute façon, tu supprimes le dossier C:Program FilesEoRezo


_ Pour HiJackThis, tu supprimes les lignes:

O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:Program FilesSymantecLiveUpdateALUSchedulerSvc.exe (file missing)

Ensuite, tu supprimes le dossier C:Program FilesSymantec.

Tu peux aussi désinstaller A-squared qui n'est pas à jour et conserver Mbam à la place.

[lily76240]

J'ai supprimé ce qu'il fallait supprimé par contre j'ai relancer une fois de plus HiJackThis et il me dit qu'il reste toujours :

--------------------\ Cracks & Keygens ..

C:PROGRA~2FugazoCooking Academycachedsoundseggcrack.wav
C:PROGRA~2FugazoWorld MosaicscachedsoundsTilecrack.wav

Même en faisant la suppression, ils sont toujours là, c'est normal ??

[r@in | b0w]

Ils n'ont rien à voir avec HiJackThis.

Tu dois les supprimer à la main en allant les chercher dans tes dossiers.

Ce sont des cracks, si tu veux les garder, tu les conserves.
Sinon, tu fais une recherche sur ton disque pour les trouver.

[Skynet]

Hey ! Hey ! Hey ! Camarade Rain | b0w

Il est pas un peu mytho ton logiciel, jusqu'à preuve du contraire :

eggcrack.wav
Tilecrack.wav

C'est des fichiers WAV, donc du son... Toolbar S&D se base sur quoi... le nom ?

On est pas sorti à ce moment-là ... MDR... eggcrack = oeuf écrasé

Je suis ptdr

Et mon brave Rain | b0w qui s'excite .

[lily76240]

j'arrive même pas à les trouvés sur mon disque
Je sais, je suis une bille
En tout cas, merci beaucoup pour l'aide, d'une la page ,ne s'affiche plus et de deux j'ai l'impression que mon "bébé" tourne plus vite (ou alors je me fait des idées)

[Skynet]

Laisses tomber Lily c'est pas des cracks.