|
|
Auteur
|
Message
|
1
|
|
|
|
Hello all...
J'ai besoin de votre aide.
Je suis au prise avec un trojan murlo.nn. Impossible de m'en débarrasser, rien n'y fait.
Voici un rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:05, on 08/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
EDITION MODERATEUR : Règle du forum à respecter :
Pas de rapport avant qu'il n'en soit demandé un !
Veuillez lire l'article suivant :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)
Merci d'en prendre connaissance.
Les seules choses que je sache, c'est qu'il est d'origine asiatique...
Si quelqu'un a une idée, je suis plus que preneur.
Merci d'avance...
-->Message édité par naheulbeuk le 08/07/2008 20:15:14<--
-------
A chaque problème, une solution.
S'il n'y a pas de solution,
C'est qu'il n'y a pas de problème...
|
|
La planète bleue...
|
|
|
Bonjour,
Envoie le rapport 
|
|
|
|
|
désolé pour cet oubli.
le voici :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:03:05, on 08/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VoipDiscount] "C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe" -nosplash -minimized
O4 - HKCU\..\Run: [kqqum] c:\documents and settings\gigi\local settings\application data\kqqum.exe kqqum
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-606747145-1275210071-839522115-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LogMeInRemoteUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/lookup.js
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\\GUIres.dll/translate.js
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactiv(...)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_s(...)
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://tchanquee.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
--
End of file - 7544 bytes
merci d'avance...
-------
A chaque problème, une solution.
S'il n'y a pas de solution,
C'est qu'il n'y a pas de problème...
|
|
La planète bleue...
|
|
|
Télécharge Navilog1 sur ton Bureau.
Double-clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation effectuée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.
/!\ Ne fais pas les choix 2, 3 ou 4 sans mon accord ! /!\
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le bloc-note.
(Le rapport est sauvegardé à la racine du disque C:\fixnavi.txt)
|
|
|
|
|
et voilà :
Search Navipromo version 3.6.0 commencé le 08/07/2008 à 22:41:11,96
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Gigi"
Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Gigi\applic~1" ***
...\MessengerSkinner trouvé !
*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Gigi\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Gigi\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\LOGMEI~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
Fichiers trouvés :
bzwzzv.exe trouvé !
ciujsbu.exe trouvé !
ciujsbu.exe trouvé !
dbzbpwtwq.exe trouvé !
ecetdxjfr.exe trouvé !
ecetdxjfr.exe trouvé !
ekxmrk.exe trouvé !
ekxmrk.exe trouvé !
emwfsppto.exe trouvé !
gxqlexh.exe trouvé !
gxqlexh.exe trouvé !
iefbdr.exe trouvé !
iefbdr.exe trouvé !
ieuzbszcj.exe trouvé !
jetrbm.exe trouvé !
jhlahnqa.exe trouvé !
jhlahnqa.exe trouvé !
miajlhdl.exe trouvé !
miajlhdl.exe trouvé !
pscgcim.exe trouvé !
pscgcim.exe trouvé !
rysgiux.exe trouvé !
rysgiux.exe trouvé !
skkvmizgv.exe trouvé !
skkvmizgv.exe trouvé !
spfgtx.exe trouvé !
spfgtx.exe trouvé !
uwndbwrxue.exe trouvé !
vslxiz.exe trouvé !
wezbzjd.exe trouvé !
wicoalsuw.exe trouvé !
wpnicwj.exe trouvé !
bzwzzv.exe trouvé !
ciujsbu.exe trouvé !
dbzbpwtwq.exe trouvé !
ecetdxjfr.exe trouvé !
ekxmrk.exe trouvé !
emwfsppto.exe trouvé !
gxqlexh.exe trouvé !
iefbdr.exe trouvé !
ieuzbszcj.exe trouvé !
jetrbm.exe trouvé !
jhlahnqa.exe trouvé !
miajlhdl.exe trouvé !
pscgcim.exe trouvé !
rysgiux.exe trouvé !
skkvmizgv.exe trouvé !
uwndbwrxue.exe trouvé !
vslxiz.exe trouvé !
wezbzjd.exe trouvé !
wicoalsuw.exe trouvé !
wpnicwj.exe trouvé !
Fichiers suspects :
spfgtx.exe trouvé !
* Recherche dans "C:\Documents and Settings\Gigi\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Gigi\locals~1\applic~1" :
aeumg.dat trouvé !
aeumg_nav.dat trouvé !
aeumg_navps.dat trouvé !
aytqrpyt_navfx.dat trouvé !
cmuaewe.dat trouvé !
cmuaewe_nav.dat trouvé !
cmuaewe_navps.dat trouvé !
cymmg.dat trouvé !
cymmg_nav.dat trouvé !
cymmg_navps.dat trouvé !
goisq.dat trouvé !
goisq_nav.dat trouvé !
goisq_navps.dat trouvé !
isygsum.dat trouvé !
isygsum_nav.dat trouvé !
isygsum_navps.dat trouvé !
kqqum.dat trouvé !
kqqum_nav.dat trouvé !
kqqum_navps.dat trouvé !
ookwu.dat trouvé !
ookwu_nav.dat trouvé !
ookwu_navps.dat trouvé !
wgcsy.dat trouvé !
wgcsy_nav.dat trouvé !
wgcsy_navps.dat trouvé !
* Dans "C:\DOCUME~1\LOGMEI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 08/07/2008 à 22:46:55,29 ***
-------
A chaque problème, une solution.
S'il n'y a pas de solution,
C'est qu'il n'y a pas de problème...
|
|
La planète bleue...
|
|
|
Wouh wouh, y'a du monde
Double-clique sur le raccourci Navilog1 et laisse-toi guider.
Au menu principal, choisis l'option 2 et valide par ENTREE.
Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.
(si ton PC ne redémarre pas automatiquement, redémarre-le normalement)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-note va s'ouvrir.
Sauvegarde le rapport à la racine de ton disque dur (C:\)
Referme le blocnote. Ton bureau va réapparaître.
Copie/Colle le rapport final
PS :
Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Clique sur fichier et choisis Exécuter
Tape explorer.exe et valide. Ton bureau va réapparaître.[/list]
Clique sur Démarrer
Clique sur Panneau de configuration
Clique sur Options Internet
Positionne-toi dans l'onglet Contenu > puis dans l'onglet Certificats
Si tu trouves ces certificats :
electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd
OOO-Favorit
Supprime-les ! Et seulement ceux-là !
Redémarre ton PC.
|
|
|
1
|
|
|
|
