[résolu] navipromo DeepScan:Generic.PWS.Games.4.D81D17

Bonjour
j'essaye de nettoyer le pc d'un ami.
j'ai réussi a me debarrasser de webmediaplayer avec navilog1
mais bitdefender continue de me trouver
1 virus:
C:\WINDOWS\system32\=>:svchost.exe Infecté: DeepScan:Generic.PWS.Games.4.D81D1764
1 fichier suspect:
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UK9YYPTX\naufnauf[1].htm Suspect: JS.Trojan.Downloader.IstBar.A

bitdefender declenche parfois et indique:
navipromo.byd
downloader.istbar.a
fatobfus.gen
...

pouvez-vous m'aider
merci de votre aide

pbs

(si ce n’ est déjà fait) Télécharge et installe CCleaner :
http://www.pcentraide.com/index.php?showtopic=3847
Sur le site, clique sur > Download latest version et laisse-toi guider.
Ne coche pas "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …

Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

Ensuite, va dans > Démarrer > Poste de travail > C:\

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\UK9YYPTX\naufnauf[1].htm

Supprime le(s) fichier(s)/dossier(s)/programme(s) en gras, si tu le(s) trouves.

Vide la Corbeille.

Remet les fichiers et dossiers cachés dans leur configuration initiale.

Redémarre le PC.

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)"Lance le nettoyage" et reconfirme par OK.

*****
Si cela ne marche pas, ...

Si "Content.IE5" n'est pas visible depuis l'explorateur Windows, il faut procéder comme suit :

- dans le menu Affichage de l'explorateur, choisis "Barre d'outils"
puis, coche "Barre d'adresse" :

clique sur l' image pour agrandir

- lorsque la barre d'adresse apparait dans la barre d'outils de l'explorateur, colle simplement le chemin du dossier Content.IE5, c'est à dire :

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5

Puis, clique sur le bouton "Ok" (flèche verte) ou valide par "Entrée".
Le reste est sans grande difficulté : suis le chemin du fichier, donc
ouvre le dossier UK9YYPTX et supprime le fichier "naufnauf[1].htm"

*****
1. Vide le cache Internet Explorer :
> Outils > Options Internet... et clique sur
> Supprimer les cookies... dans la fenêtre qui s' ouvre clique sur "OK".
> Supprimer les fichiers... coche "hors connexion" dans la fenêtre et "OK".
Avant de refermer la fenêtre "Options Internet" clique sur "OK".

Pour Firefox, …
http://www.libellules.ch/support/cache.php

2. Toutes fenêtres (applications) fermées, hormis la connexion Internet,
fais un scan en ligne avec Panda : http://translate.google.com/translate?hl=fr&sl=en&u=http://www.pandas(...)
Double-clique sur la fenêtre > Scan your pc now (Analysez votre PC maintenant).
Rempli les fenêtres > Country > Province > Adresse mail (n’ importe laquelle),
puis > Free online scan (Accepte l' ActiveX si on te le demande) ...
Clique sur > My computer (ou Poste de travail).
Une fois le scan achevé, clique sur > Consulter le rapport (See report), puis
Save report (Sauvegarde le rapport) et colle-le dans ta réponse.

impossible de supprimer de naufnauf[1].htm en mode normal
donc supprimé naufnauf[1].htm en mode sans echec
redemarage
changement des parametres d'affichage des fichiers cachés
redemarage
execution de ccleaner
et je suis en train de refaire une analyse avec bitdefender

bitdefender trouve toujour quelque chose

//-----------------------------------------------------------------
//
// Produit BitDefender Antivirus v10
// Produit 10.2
//
// Créé le: 19/09/2007 00:15:25
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
D:\
Dossiers : 2496
Fichiers : 125476
Processus Mémoire analysés : 30
Archives : 2040
Fichiers enpaquetés : 5434
Virus trouvés : 1
Fichiers infectés : 1
Processus Mémoire infectés : 0
Fichiers suspects : 1
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 0
Erreurs I/O : 30
Temps d'analyse :=00:26:07
Fichiers/seconde :80

Statistiques Spywares

Registres analysés : 1669
Registres infectés : 0
Cookies analysés : 0
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0


Définitions virus : 892602
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 7
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[X] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\deep_scan\1190153725.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:\RECYCLER\S-1-5-21-436374069-963894560-839522115-500\Dc1.htm Suspect: JS.Trojan.Downloader.IstBar.A
C:\WINDOWS\system32\=>:svchost.exe Infecté: DeepScan:Generic.PWS.Games.4.D81D1764
C:\WINDOWS\system32\=>:svchost.exe Désinfection impossible
C:\WINDOWS\system32\ Déplacement impossible

pbs


Vide la Corbeille ...

... et refais un scan BitDef en mode sans échec pour voir ...

+ le Panda !

voila
scan bit defender:
BitDefender Online Scanner



Rapport d'analyse généré à: Wed, Sep 19, 2007 - 11:42:52





Voie d'analyse: A:\;C:\;D:\;E:\;







Statistiques

Temps
00:31:02

Fichiers
131189

Directoires
2700

Secteurs de boot
3

Archives
957

Paquets programmes
5523




Résultats

Virus identifiés
6

Fichiers infectés
9

Fichiers suspects
0

Avertissements
0

Désinfectés
0

Fichiers effacés
9




Info sur les moteurs

Définition virus
820204

Version des moteurs
AVCORE v1.0 (build 2411) (i386) (Jul 9 2007 12:10:22)

Analyse des plugins
14

Archive des plugins
38

Unpack des plugins
7

E-mail plugins
6

Système plugins
1




Paramètres d'analyse

Première action
Désinfecté

Seconde Action
Supprimé

Heuristique
Oui

Acceptez les avertissements
Oui

Extensions analysées
*;

Excludez les extensions


Analyse d'emails
Oui

Analyse des Archives
Oui

Analyser paquets programmes
Oui

Analyse des fichiers
Oui

Analyse de boot
Oui




Fichier analysé
Statut

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP510\A0158021.exe
Infecté par: Trojan.Skintrim.JQ

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP510\A0158021.exe
Echec de la désinfection

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP510\A0158021.exe
Supprimé

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP518\A0158357.exe
Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP518\A0158357.exe
Echec de la désinfection

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP518\A0158357.exe
Supprimé

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP518\A0158358.exe
Infecté par: Trojan.Mailskinner.G

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP518\A0158358.exe
Echec de la désinfection

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP518\A0158358.exe
Supprimé

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158572.dll
Infecté par: Trojan.Virtumod.DG

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158572.dll
Echec de la désinfection

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158572.dll
Supprimé

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158574.exe
Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158574.exe
Echec de la désinfection

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158574.exe
Supprimé

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158575.exe
Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158575.exe
Echec de la désinfection

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158575.exe
Supprimé

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158576.exe
Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158576.exe
Echec de la désinfection

C:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP527\A0158576.exe
Supprimé

C:\WINDOWS\system32\=>:svchost.exe
Infecté par: DeepScan:Generic.PWS.Games.4.D81D1764

C:\WINDOWS\system32\=>:svchost.exe
Echec de la désinfection

C:\WINDOWS\system32\=>:svchost.exe
Supprimé

D:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP545\A0165125.exe
Détecté avec: Adware.Navipromo.BYJ

D:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP545\A0165125.exe
Echec de la désinfection

D:\System Volume Information\_restore{34F38479-ED75-4DEC-A4D6-144D7573FA3C}\RP545\A0165125.exe
Supprimé

scan avec panda

Incident Status Location

Potentially unwanted tool:application/sysprotect Not disinfected hkey_local_machine\software\classes\appid\CheckProduct2_1.DLL
Spyware:Cookie/Atlas DMT Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt
Spyware:Cookie/MetriWeb Not disinfected C:\Documents and Settings\Administrateur\Cookies\administrateur@metriweb[1].txt
Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\user1\Cookies\user1@bluestreak[1].txt
Spyware:Cookie/Smartadserver Not disinfected C:\Documents and Settings\user1\Cookies\user1@smartadserver[1].txt
Spyware:Cookie/Weborama Not disinfected C:\Documents and Settings\user1\Cookies\user1@weborama[2].txt
Adware:Adware/NaviPromo Not disinfected C:\Program Files\Navilog1\Backupnavi\mwafzsputz.exe
Virus:Trj/Downloader.MDW Disinfected C:\WINDOWS\system32:svchost.exe

Tout semble ok
j'ai refais bitdefender et panda en mode normal

un tout grand merci
bonne fin de journée

pbs

Supprime Navilog1, en allant dans …
Démarrer > Panneau de Config. > Ajout/suppres… des progr.
Démarrer > Poste de travail > C:\

Puis, menu Démarrer > Exécuter, tape regedit et valide par "OK".

Remonte les clés en cliquant successivement sur les + jusqu' à ...

hkey_local_machine\software\classes\appid\CheckProduct2_1.DLL

Supprime le fichier en gras (et uniquement celui-là), si tu le trouves
(clic droit dessus > Supprimer).

*****
Si cela ne fonctionne pas ...

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation
ci-dessous (copie tout d'un trait) :



Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela

Quitte Internet et double clique sur fix2.reg => tu dois obligatoirement avoir un message "Voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "Oui"