Le rapport de avenger, je ne sais pas où il est
Sinon pour mes softs de sécurtité...

• J'ai ZoneAlarm comme firewall (depuis peu)
• J'ai supprimé microsoft anti spyware et spyware terminator
• J'ai remplacé Avast! par NOD32

J'ai fait un nettoyage avec CCleaner.

Quelques jours, j'exagérais, j'étais à 5% après une heure...

salut,
la je rentre du boulot,enfin lol
le fichier log se trouve ici : C:\avenger.txt

refait un scan avec hitjackthis et poste le rapport

si tu veus on peut installer un fichier HOSTS ( c'est comme une bibliotheque qui référence de nombreux site pourrit,..avec le hosts tu n'y aura plus acces donc tu sera protegé ,... en gros comme définition ) indispensable de nos jour sur la toile, il n'y a rien de difficile a installer se fichier..

Citation : Pas de titre

Quelques jours, j'exagérais, j'étais à 5% après une heure.

cela est long,.....

Ok, merci.
Voici le log de avenger :

Citation : avenger.txt

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\njevqfio

*******************

Script file located at: \??\C:\WINDOWS\uqlbpgci.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\windows\system32\nlmpwbpuea.exe deleted successfully.
File c:\WINDOWS\system32\nlmpwbpuea.dat deleted successfully.


File C:\windows\system32\nlmpwbpuea.exe not found!
Deletion of file C:\windows\system32\nlmpwbpuea.exe failed!

Could not process line:
C:\windows\system32\nlmpwbpuea.exe
Status: 0xc0000034

File c:\WINDOWS\system32\nlmpwbpuea_nav.dat deleted successfully.
File c:\WINDOWS\system32\nlmpwbpuea_navps.dat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Voici celui de HijackThis :

Citation : Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 17:21:41, on 2/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
D:\Jean\Norton ghost\Agent\VProSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\QuickTime\qttask.exe
D:\Jean\Sécurité\ZoneAlarm\zlclient.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\DynDNS Updater\DynDNS.exe
D:\Jean\CD DVD\DAEMON Tools\daemon.exe
D:\Jean\Autres\PrintScreen\PrintScreen.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Jean\Internet\BPFTP Server\bpftpserver.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Jean\Internet\FREEDO~1\fdm.exe
D:\Jean\Temporaires et setup\ccsetup140(1).exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Jean\Autres\Visual IP Trace 2007\VisualIPTrace.exe
C:\WINDOWS\system32\java.exe
C:\Program Files\Eset\nod32.exe
C:\Program Files\Eset\nod32.exe
D:\Jean\Internet\Firefox 2.0\firefox.exe
D:\Jean\SCURIT~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Nero\Nero 7\Core\nero.exe
D:\Jean\scanner\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Jean\Autres\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.138.64.142:8000
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VIPTToolbarManager Class - {1A2641AE-2C42-4C51-A05F-8ECEC3FDC94D} - D:\Jean\Autres\Visual IP Trace 2007\VisualIPTraceIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Jean\Internet\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Visual IP Trace - {E70C26AE-DFF1-40A8-8D37-19180F56F0AA} - D:\Jean\Autres\Visual IP Trace 2007\VisualIPTraceIE.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Jean\Sécurité\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Program Files\DynDNS Updater\DynDNS.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Jean\CD DVD\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.5] "D:\Jean\Autres\PrintScreen\PrintScreen.exe" /nosplash
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: BulletProof FTP Server (2).lnk = Internet\BPFTP Server\bpftpserver.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Jean\Internet\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Jean\Internet\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://D:\Jean\Internet\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon777.free.fr/plugins/telecharger.php?id=2&version=
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE953FC3-B1B6-4778-AFE3-8632D2B6ED14}: NameServer = 195.238.2.22,192.238.2.21
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll,wbsys.dll
O20 - Winlogon Notify: WBSrv - D:\Jean\WINDOW~2\wbsrv.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Unknown owner - D:\Jean\ewido anti-spyware 4.0\guard.exe (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Program Files\Fichiers communs\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Jean\Norton ghost\Agent\VProSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Unknown owner - D:\Jean\Perfect disk\PDEngine.exe (file missing)
O23 - Service: PDScheduler (PDSched) - Unknown owner - D:\Jean\Perfect disk\PDSched.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: wampapache - Unknown owner - D:\Jean\Internet\wamp\apache2\bin\httpd.exe" -k runservice (file missing)
O23 - Service: wampmysqld - Unknown owner - D:\Jean\Internet\wamp\mysql\bin\mysqld-nt.exe

Ca m'a l'air intéressant cette histoire de fichier HOSTS, je vais essayer de me renseigner un peu plus sur le net.

Pour l'analyse kaspersky, oui c'est long, très long. D'habitude c'est long ais pas autant, je suis à 87% après 8heures

je regarde ton log hitj...
te dirai ce qu'il en est plus tard dans la soirée...

pour le host je peut te gider se sera plus simple
ici http://translate.google.com/translate?u=http%3A%2F%2Fmvps.org%2Fwinhelp2002%2Fhosts.htm&langpair=en%7Cfr&hl=fr&ie=UTF-8&oe=UTF-8&prev=%2Flanguage_tools
premierement tu vas faire une sauvegarde de ton hosts original dans tes documents par exemple rend toi ici
C:\WINDOWS\system32\drivers\etc
fait un copier coller du fichier hosts
une foi cela fait reviend me voir

avenger a tuer ton rootkit ,

Les pages traduites automatiquement c'est pas top.
C'est ça le fichier que je dois télécharger > http://mvps.org/winhelp2002/hosts.zip ?

Citation : JiViX

Les pages traduites automatiquement c'est pas top.
C'est ça le fichier que je dois télécharger > http://mvps.org/winhelp2002/hosts.zip ?

oui

tu le décompresse dans un dossier sur ton burreau
tu double clique une seule foi sur MVPS.BAT une fenetre dos s'ouvre quelques instant puis se referme c'est tout rien d'autre a faire....
ENSUITE
rend toi ici C:\WINDOWS\system32\drivers\etc clique droit sur le fichier hosts ouvre avec un editeur de texte

tu devrais avoir ceci

la liste est longue

si tu veus tu peut ajouter toi meme des sites pour empecher leur accès , a la fin de la liste tu rajoute comme ceci
exemple
## pour 2 espaces

127.0.0.1## www.********.fr
127.0.0.1## www.********.be
#end of lines added by WinHelp2002
respecte bien les espaces ,tu inscrit l'adress de ce que tu veut bloquer l'accè
et voila tu n'as plus accès


tu peus y metre aussi une info comme ceci #[ceque tu veus] tjs en respectant bien les espaces
comme cela tu aura plus facile pour retrouver tes ajout perso lorsque tu mettra ton hosts a jour et oui il faut les rajouter manuellement lors des mise a jour
# la un seul espace
ce qui donne
127.0.0.1## www.*******.fr##[Zango]

J'ai encore 11 virus sur le log de kaspersky (http://www.soad-fan.max.st/rapport/report.html). J'ai découvert dans un de tes liens le site assiste.com . Pour éviter de te déranger, peut-être que je ferais mieux de demander de l'aide sur ce site spécialisé dans la sécurité.
Et merci pour les fichiers hosts, un truc qui pourra beaucoup me servir!

Salut !
Je ne sais pas si ça peux aider, mais j'ai ce lien pour toi, histoire d'avoir une petite idée de ce que veulent dire les lignes d'un rapport hijackthis (j'ai découvert moi-même y'a pas longtemps) et pouvoir supprimer plus vite les menaces

J'espère que ça aidera certains

Bon courage !

a+
The_kanard