• • Recherche dossiers dans C:\Documents and Settings\c‚dric\Application Data ***

...\Application Data\MessengerSkinner trouvé !

• • Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d´infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\bmzoys.dat
C:\windows\system32\bmzoys.exe
c:\WINDOWS\system32\bmzoys_nav.dat
c:\WINDOWS\system32\bmzoys_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\bmzoys.exe

• Scan C:\WINDOWS\system32 *

Fichiers trouvés :

bmzoys.exe trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

• • Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

• • Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-2025429265-839522115-252077507
-1003\Software\Lanconfig trouvé !

• • Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\bmzoys.dat trouvé !
C:\WINDOWS\system32\bmzoys_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

Bonjour

Tu as bien fait
Tu es infecté par Magic.control, installé après avoir téléchargé MessengerSkinner !! C´est un virus !! Attention à ce que tu télécharge !!

Double clique sur le raccourci Navilog1 et laisse-toi guider.
Au menu principal, choisis l´option 2 et valide.

-> Le fix t´informe qu´il va redémarrer le PC.
-> Appuie sur une touche comme demandé.
-> Au redémarrage de ton PC, choisis ta session habituelle.
-> Patiente jusqu´à l´apparition de ce message :*** Nettoyage Termine le ..... ***
-> Le bloc-notes va s´ouvrir. Sauvegarde le rapport sur ton bureau, par exemple.
-> Ferme le bloc-notes et ton bureau va réapparaitre.

Démarrer > panneau de configuration > options internet

Clique sur l´onglet "Contenu" puis sur l´onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

: Supprime les tous !

Puis poste le rapport sur le forum.
Enfin, désinstalle Navilog1 via Ajout/Suppression de programmes et supprime le dossier : C:\Program Files\navilog1

Télécharge clean.zip (malekal) :
http://www.malekal.com/download/clean.zip

Dézippe le, ça va créer un dossier clean. Double clic sur ce dossier puis de nouveau sur clean. Cela va ouvrir une fenêtre noire. Choisis l´option 1 en appuyant sur la touche 1 de ton clavier. Un rapport va être généré, colle son contenu ici.

Bonjour Evilelf, j´avais besoin d´un expert et je suis tombé sur ces pages par hazard!T´es un génie!Je ne savais plus quoi faire.

• • Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

• • Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\bmzoys.dat supprimé !
C:\windows\system32\bmzoys.exe supprimé !
c:\WINDOWS\system32\bmzoys_nav.dat supprimé !
c:\WINDOWS\system32\bmzoys_navps.dat supprimé !

• • 2ème passage **

C:\WINDOWS\system32\bmzoys.exe absent !
C:\WINDOWS\system32\bmzoys.dat absent !
C:\WINDOWS\system32\bmzoys_nav.dat absent !
C:\WINDOWS\system32\bmzoys_navps.dat absent !
C:\WINDOWS\system32\bmzoys_navup.dat absent !
C:\WINDOWS\system32\bmzoys_navtmp.dat absent !
C:\WINDOWS\system32\bmzoys_m2s.xml absent !

C:\WINDOWS\prefetch\bmzoys*.pf trouvé !
Copie C:\WINDOWS\prefetch\bmzoys*.pf réalise avec succes !
C:\WINDOWS\prefetch\bmzoys*.pf supprimé !

• • Suppression avec Backups résultats GenericNaviSearch ***

• Scan C:\WINDOWS\system32 *

• • Suppression dossiers dans C:\WINDOWS ***

• • Suppression dossiers dans C:\Program Files ***

• • Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

• • Suppression dossiers dans C:\Documents and Settings\c‚dric\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !

• • Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

• • Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\c‚dric\Local Settings\Temp effectué !

• • Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

• • Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

• • Nettoyage registre ***

Nettoyage registre Ok

• • Certificats ***

Certificat Egroup supprimé !

A priori tu ne devrais plus avoir de pages maintenant, néanmoins si tu veux faire un bon nettoyage (ce que je conseille) suis mes directives. Donc j´attends le rapport clean.zip

Le voici:

• • Recherche des fichiers dans C:

• • Recherche des fichiers dans C:\WINDOWS\

• • Recherche des fichiers dans C:\WINDOWS\system32

C:\WINDOWS\system32\bdod.bin FOUND
C:\WINDOWS\system32\SpoonUninstall.exe FOUND

• • Recherche des fichiers dans C:\Program Files
  • Fin du rapport !

Re

http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_securite/redemarrer_en_mode_sans_echec_pourquoi_et_comment-387297/messages-1.html
Double clic sur clean, dans le menu choisis l´option 2 en appuyant sur la touche 2 de ton clavier. Copie/Colle le rapport.

- Télécharge Hijackthis de Merjin puis dézippe le.
http://www.merijn.org/files/hijackthis.zip
- Mets-le dans un dossier nommé Hijackthis à la racine du disque dur (C:\Hijackthis\)
- Fais un clic-droit dessus (fichier avec l’image de Dynamite) et choisis "renommer", appelle-le scanner.exe (C:\Hijackthis\scanner.exe)
- Ferme toutes les fenêtres.
- Clique sur "Do a system scan only" puis sur "Save logfile".
- Copie/Colle le rapport demandé ici.

Je continue!

Rapport clean par Malekal_morte -
http://www.malekal.com
Script execute en mode sans echec 18/09/2007 a 21:53:19,73

Microsoft Windows XP [version 5.1.2600]

• • Suppression des fichiers dans C:

• • Suppression des fichiers dans C:\WINDOWS\

• • Suppression des fichiers dans C:\WINDOWS\system32

tentative de suppression de C:\WINDOWS\system32\bdod.bin
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe

• • Suppression des fichiers dans C:\Program Files

• • Suppression des clefs du registre effectuee..
  • Fin du rapport !

Hijackthis,je le trouve pas!
je mets en veille.

De quoi HJC tu ne le trouve pas ?

Ok

Logfile of HijackThis v1.99.1
Scan saved at 22:20:44, on 18/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VolumeTray\VolumeTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\cédric\Mes documents\Mes fichiers reçus\Hijackthis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [VolumeTray] C:\Program Files\VolumeTray\VolumeTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra ´Tools´ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra ´Tools´ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} -
C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DL
L
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Re

Relance HJC coche les lignes :

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Clique sur Fix Checked.

Avast! est loin de ce que l´on a fait de mieux en matière de protection, voir ce lien pour plus d´informations :
http://forum.malekal.com/ftopic3123.php

Clairement, Antivir est beaucoup plus performant, c´est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place :
http://www.clubic.com/telecharger-fiche10821-antivir-personal-edition-7.html
Tuto :
http://www.malekal.com/tutorial_antivir.php
- Après l´installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
- Assure toi qu´Antivir est bien à jour, vérifie la date d´update.

-- Redémarre en mode sans échec, pour cela, redémarre l´ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l´onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

L´analyse n´est pas obligatoire, tu n´es pas infecté (en tout cas pas de réel infection implanté dans le disque dur) mais vu comment Avast! coule, il serait peut être préférable d´en faire une par vérification.
Je le répète encore une fois, mais il est TRÈS VIVEMENT conseillé de désinstaller Avast. Celui ci est bien trop lent à intégrer les nouvelles infections (comme on a pu le remarquer avec le ver msn) tandis que Antivir est terriblement efficace tout en étant très léger. De plus, il possède une très grosse qualité par rapport à ses concurrents, il possède une détection heuristique très puissante, c´est à dire qu´il identifie très efficacement les nouveaux virus par rapport à leur empreinte, ce qui est un véritable atout.

Allé plus de soucis ! Tout est okay, bonne soirée (bonne nuit pour moi )

++

Bonjour Evileif, tout à bien fonctionner comme tu me la expliquer!Je l´entend mon pc il est content! J´ai juste perdu la console quand je fait Ctrl+Alt+supp et ne peut que fermé les programmes en cours.Sinon tout baigne.
Merci beaucoup et bonne continuation

Bonjour

On peut, peut être, y remédier :

télécharge Zeb Restore puis dezippe le sur le bureau.
http://telechargement.zebulon.fr/zeb-restore.html

Il se suffit de cocher la case sur laquelle tu as un soucis, en l´occurrence ici c´est le gestionnaire des tâches, puis de cliquer sur restaurer.

Il est préférable de cocher les fonctions une par une, de restaurer et ensuite de vérifier que la fonction est revenue.

Lis bien les commentaires indiqués pour chaque fonction afin de ne pas te tromper.