|
|
Auteur
|
Message
|
1
2
|
|
|
Raph'78
|
|
|
Salut, ton antispam debarasse toi en , c'est mieux commence par :
Télécharge Navilog1.exe(http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe) (Il Mafioso) sur ton bureau
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Au menu principal, choisis 1 et valides.
/!\ N'utilise pas l'option 2,3 et 4 /!\
Patiente jusqu'au message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
Postson contenu:
-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse
-------
-->Message édité par rafus78 le 09/06/2007 22:59:48<--
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
Bonjour,
tout d'abord je vous remercie beaucoup de bien vouloir m'aider. J'ai fait ce que vous m'avez dit et voilà le rapport :
Search Navipromo version 2.0.3 commencé le 10/06/2007 à 14:32:39,26
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\HP_Administrateur\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\ebhcbh.dat
C:\windows\system32\ebhcbh.exe
c:\WINDOWS\system32\ebhcbh_nav.dat
c:\WINDOWS\system32\ebhcbh_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\ebhcbh.exe
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-781446242-4199770768-2786383432-1007\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
C:\WINDOWS\system32\ebhcbh.dat trouvé !
**
C:\WINDOWS\system32\ebhcbh.dat trouvé !
***
****
C:\WINDOWS\system32\ebhcbh_navps.dat trouvé !
*****
******
*******
********
C:\WINDOWS\system32\ebhcbh.exe trouvé !
*** Analyse Terminé le 10/06/2007 à 14:37:13,16 ***
|
|
Raph'78
|
|
|
Ok Merci
Trés bien
relance Navilog et selectionne option 2 cette fois
et poste moi le rapport
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
Raph'78
|
|
|
Normalement , Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
"*** Nettoyage Termine le ..... ***"
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre
Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"
=> Supprime-les tous
Post le rapport cleannavi sauvegardé auparavant.
NOTES :
Le rapport se trouve également ici : %root%\cleannavi.txt
Si ton Bureau ne réapparaît pas, fais ceci :
-> Clique simultanément sur Ctrl + Alt + Suppr.
Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
Tape Explorer puis valide.
-> Choisis Exécuter..., tape Explorer puis valide.
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
Bonjour,
voilà le rapport :
Clean Navipromo version 2.0.3 commencé le 11/06/2007 à 9:21:42,73
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
*** Creation backups fichiers trouvés par Blacklight ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
*** Suppression des fichiers trouvés avec Blacklight ***
c:\WINDOWS\system32\ebhcbh.dat supprimé !
C:\windows\system32\ebhcbh.exe supprimé !
c:\WINDOWS\system32\ebhcbh_nav.dat supprimé !
c:\WINDOWS\system32\ebhcbh_navps.dat supprimé !
** 2ème passage **
C:\WINDOWS\system32\ebhcbh.exe absent !
C:\WINDOWS\system32\ebhcbh.dat absent !
C:\WINDOWS\system32\ebhcbh_nav.dat absent !
C:\WINDOWS\system32\ebhcbh_navps.dat absent !
C:\WINDOWS\system32\ebhcbh_navup.dat absent !
C:\WINDOWS\system32\ebhcbh_navtmp.dat absent !
C:\WINDOWS\system32\ebhcbh_m2s.xml absent !
C:\WINDOWS\prefetch\ebhcbh*.pf trouvé !
Copie C:\WINDOWS\prefetch\ebhcbh*.pf réalise avec succes !
C:\WINDOWS\prefetch\ebhcbh*.pf supprimé !
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\HP_Administrateur\Application Data ***
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\HP_Administrateur\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
*
**
***
****
*****
******
*******
********
3)Contrôle présence clés Rootkit dans le registre :
Aucune autre clés présente dans le registre !
*** Nettoyage termine le 11/06/2007 à 9:24:07,09 ***
|
|
Raph'78
|
|
|
|
Tu as supprimé les éditeurs , que je t'ai montré dans le precedent message ?
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
Raph'78
|
|
|
Si cela est fait :
Désinstalle Navilog1 Via ajout/suppression des programmes --> Navilog1
Ensuite supprime également ce dossier : C:\Program Files\navilog1
Telecharge AVGanti-spy
Avant tout: Mise à jour ( via l'onglet & connexion internet): si la maj ne fonctionne pas fais le scan qd meme
ensuite parametre le ainsi
image AVG anti-spy Options à selectionner avant Scan
puis lance un scan complet
à la fin du scan , supprime les objets trouvés selon ceci
image AVG anti-spy Action Suppression
post le rapport AVG 
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
|
oui, j'avais que "electronic group" que j'ai supprimé
|
|
Raph'78
|
|
|
|
Bien ,faites AVG et ensuite un scan panda en ligne
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
bonsoir
je comprends pas comment je dois faire ceci :
"Avant tout: Mise à jour ( via l'onglet & connexion internet): si la maj ne fonctionne pas fais le scan qd meme "
???
|
|
|
|
|
|
|
bon là je n'y arrive plus
ça y est j'ai AVG mais je ne trouve pas où le paramétrer !!!!????
à quel onglet je vais? : état, mise à jour,analyse, bouclier, ....????
|
|
|
|
|
bonsoir,
désolé pour ma bêtise, je n'avais pas fait attention ...
ça y est j'ai lancer le scan
|
|
|
|
|
bonsoir,
voilà le rapport AVG :
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 22:30:02 12/06/2007
+ Résultat de l'analyse:
HKU\S-1-5-21-781446242-4199770768-2786383432-1007\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{74CC49F7-EB32-4A08-B204-948962A6E3DB} -> Adware.RogueSuspect : Nettoyé et sauvegardé (mise en quarantaine).
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@entrepreneur.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@fnac.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@msnportal.112.2o7[2].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@notrefamille.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@opodo.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@3.adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@4.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@adbrite[1].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@ads.adbrite[2].txt -> TrackingCookie.Adbrite : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@www.belstat[1].txt -> TrackingCookie.Belstat : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@casinotropez[1].txt -> TrackingCookie.Casinotropez : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@centrport[1].txt -> TrackingCookie.Centrport : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@ad1.clickhype[1].txt -> TrackingCookie.Clickhype : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@com[1].txt -> TrackingCookie.Com : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@dm.com[1].txt -> TrackingCookie.Com : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@stat.dealtime[2].txt -> TrackingCookie.Dealtime : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@www.etracker[1].txt -> TrackingCookie.Etracker : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@ads.planetactive[1].txt -> TrackingCookie.Planetactive : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@questionmarket[2].txt -> TrackingCookie.Questionmarket : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@real[2].txt -> TrackingCookie.Real : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@serving-sys[3].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@specificclick[2].txt -> TrackingCookie.Specificclick : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@web-stat[2].txt -> TrackingCookie.Web-stat : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@xxxcounter[1].txt -> TrackingCookie.Xxxcounter : Nettoyé.
Fin du rapport
|
|
Raph'78
|
|
|
Pardon , je n'etais pas la , normalement sa va , il te reste plus qu'a faire un scan panda en ligne
on finit avec ça
scan panda en ligne
préalablement , desactive antivirus actuel
Une fois sur le site Panda
décoche la case "me tenir au courant des dernières nouvelles ..." avant de lancer le scan, pour ne pas reçevoir de mails de leur part.
accepte de renseigner les champs, effectue le scan , poste le rapport de scan dans prochain message
details Panda use:
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail"
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
bonjour,
lorsque je lance le scan, j'ai un message d'Avast qui me dit qu'un virus a été trouvé et je n'ai que le choix d"arrêter la connexion.
????
|
|
Raph'78
|
|
|
|
Euh , ba faites ce qu'ils disent mais sinon a c e que je vois ,vous ne devriez plus avoir de soucis
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
bonsoir,
donc je ne peux pas faire de scan panda ???
Est ce que ça va me causer des soucis ?
|
|
|
|
|
Re
excusez moi mais je dois faire le "PandaActiveScan" , le "PandaNanoScan" ou le "PandaTotalScan" ????
|
|
Raph'78
|
|
|
|
ActiveScan , voila
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
Bonjour,
tout d'abord je voudrais m'excuser pour toutes les questions idiotes que je pose !
Ce n'est pas que je suis débile (enfin presque !...)mais c'est juste un grand manque d'expérience.
En fait il fallait juste que je désactive le scan résident d'avast. Désolé mais avec le temps j'ai réussi !
Donc j'ai pu faire le scan panda et voilà le rapport :
Incident Statut Analyse
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@adtech[2].txt
Spyware:Cookie/bravenetA No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@bravenet[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@bs.serving-sys[2].txt
Spyware:Cookie/Entrepreneur No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@entrepreneur[1].txt
Spyware:Cookie/fe.lea.lycos No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@fe.lea.lycos[1].txt
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@fl01.ct2.comclick[1].txt
Spyware:Cookie/Go No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@go[1].txt
Spyware:Cookie/888 No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@int.sitestat[1].txt
Spyware:Cookie/Cassava No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@int.sitestat[2].txt
Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@metriweb[1].txt
Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@overture[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@serving-sys[4].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\HP_Administrateur\Cookies\hp_administrateur@xiti[1].txt
Outil indésirable:Application/KillApp.B No Désinfecté C:\hp\bin\KillIt.exe
Adware:Adware/NaviPromo No Désinfecté C:\WINDOWS\system32\wrqvnjplxr.exe
|
|
|
|
|
 à vous deux, je me permet de faire une petite intrusion puis je ressors.
soleil31, peux tu faire ceci :
1)Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 4 et valide.
Le fix va te demander de saisir le nom de fichier.
Saisies ce qui est en gras ci-dessous et rien d'autre puis valide:
wrqvnjplxr
Le fix va te demander de le resaisir, fais-le et valide
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver.
Poste le rapport cleannavi.txt
2)Ouvre ton poste de travail puis Recherche le fichier en gras :
C:\program files\Navilog1\backupnavi\wrqvnjplxr.exe
Fais un clic droit dessus puis choisis : Envoyer/dossier compressé.
Peux-tu ensuite envoyer le fichier ainsi compressé que tu trouveras au même endroit sous le nom wrqvnjplxr.zip à cet Email :
zshapnfg@trashmail.net
Cet adresse est une boite de messagerie temporaire. Je pourrais ainsi recevoir le fichier infecté. Merci pour ta contribution.
Je te laisse ensuite entre les mains de rafus78
-->Message édité par IL-MAFIOSO le 19/06/2007 11:29:47<--
|
|
|
|
|
Bonjour IL-MAFIOSO et merci pour votre participation.
J'ai lancé Navilog en choisissant 4 dont voici le rapport : (ensuite, par contre je ne trouve pas le fichier "wrqvnjplxr" dans mon poste de travail/program files/... !!!)
Clean Navipromo version 2.0.3 commencé le 19/06/2007 à 13:01:11,85
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Mode suppression par méthode manuelle
Nom du fichier saisi : wrqvnjplxr
*** Recherche, Creation backups et suppression ***
C:\WINDOWS\system32\wrqvnjplxr.exe absent !
C:\WINDOWS\system32\wrqvnjplxr.dat absent !
C:\WINDOWS\system32\wrqvnjplxr_nav.dat absent !
C:\WINDOWS\system32\wrqvnjplxr_navps.dat absent !
C:\WINDOWS\system32\wrqvnjplxr_navup.dat absent !
C:\WINDOWS\system32\wrqvnjplxr_navtmp.dat absent !
C:\WINDOWS\system32\wrqvnjplxr_m2s.xml absent !
C:\WINDOWS\prefetch\wrqvnjplxr*.pf absent !
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\HP_Administrateur\Application Data ***
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\HP_Administrateur\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
*
C:\WINDOWS\System32\htrgguf.dat trouvé !
Copie C:\WINDOWS\system32\htrgguf.dat réalise avec succes !
C:\WINDOWS\system32\htrgguf.dat supprimé !
**
***
****
C:\WINDOWS\System32\htrgguf_navps.dat trouvé !
Copie C:\WINDOWS\system32\htrgguf_navps.dat réalise avec succes !
C:\WINDOWS\system32\htrgguf_navps.dat supprimé !
*****
C:\WINDOWS\System32\htrgguf_nav.dat trouvé !
Copie C:\WINDOWS\system32\htrgguf_nav.dat réalise avec succes !
C:\WINDOWS\system32\htrgguf_nav.dat supprimé !
******
*******
********
3)Contrôle présence clés Rootkit dans le registre :
Aucune autre clés présente dans le registre !
*** Nettoyage termine le 19/06/2007 à 13:06:36,03 ***
|
|
|
|
|
Ouvres ton poste de travail puis :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"
Ensuite, dis moi si tu le trouves dans c:\windows\system32
|
|
|
|
Raph'78
|
|
|
|
Merci Il mafioso , ton intrusion est plus un secours à nous 2 , merci ^^
-------
Ne joue pas avec la rue , tu y risque d'en payer le prix
|
|
|
|
|
|
Peux-tu relancer Navilog1 avec le choix 1 et poste le nouveau rapport.
|
|
|
|
|
voilà le rapport :
Search Navipromo version 2.0.3 commencé le 19/06/2007 à 15:50:53,92
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\HP_Administrateur\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 06/19/07 at 15:50:58.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/19/07 at 15:55:17 (return code = 0).
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********
*** Analyse Terminé le 19/06/2007 à 15:55:50,26 ***
|
|
|
|
|
Merci,
Peux-tu refaire un scan en ligne chez Panda et poster le nouveau rapport. Sinon as-tu encore des pubs en ce moment ?
|
|
|
|
|
Alors lorsque je choisis "poste de travail" à analyser, il ne le prend pas en compte. "erreur sur la page" s'inscris au bas de la fenêtre.
Sinon oui, hier j'ai eu 2 pubs qui se sont ouvertes et sinon j'ai plein de messages qui arrivent de nulle part me disant que mon PC est infecté.
|
|
|
|
|
|
J'ai même des fenêtres vides qui apparaissent !!??!!
|
|
|
|
|
1) Télécharge :
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici. Privilégies la méthode avec la touche F8 :
https://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/Ser(...) (choisis ta session courante) *****
2)lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd
=> Supprime-les
3)Redémarre normalement et poste :
Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\
4)Télécharge HijackThis v1.99.1.
http://www.merijn.org/files/hijackthis.zip
Mets-le dans un dossier spécialement créé pour lui, par exemple C:\HijackThis.
Ferme les programmes inutiles.
Exécute-le et clique sur Do a system scan and save a logfile.
Ne coche rien.
Copie le rapport et colle-le dans un message.
-->Message édité par IL-MAFIOSO le 19/06/2007 16:58:15<--
|
|
|
|
|
Et bien c'était bien compliqué tout ça !!!
Voilà le contenu du fichier Navipromo (Hijackthis va suivre) :
Rapport Navipromo.bat 0.73 effectué le 19/06/2007 à 18:29:04,53
C:\Navipromo073
L'opération se déroule en mode sans échec sous le compte "HP_Administrateur"
** Recherche...
1/ htrgguf trouvé, recherche de htrgguf*
C:\WINDOWS\system32\htrgguf.dat
C:\WINDOWS\system32\htrgguf.exe
C:\WINDOWS\system32\htrgguf_nav.dat
C:\WINDOWS\system32\htrgguf_navps.dat
C:\WINDOWS\prefetch\HTRGGUF.EXE-25A03EBB.pf
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
htrgguf REG_SZ c:\windows\system32\htrgguf.exe htrgguf
------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode
################################################
** Nettoyage...
1/ Déplacement de htrgguf* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\htrgguf* déplacé avec succès !
C:\WINDOWS\prefetch\htrgguf* déplacé avec succès
------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées
* Backups :
C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\htrgguf.dat
C:\Navipromo\Backups\htrgguf.exe
C:\Navipromo\Backups\HTRGGUF.EXE-25A03EBB.pf
C:\Navipromo\Backups\htrgguf_nav.dat
C:\Navipromo\Backups\htrgguf_navps.dat
C:\Navipromo\Backups\Uninstall.reg
Ajout d'extension .off aux backups
## Fin du rapport de Suppression
-------------
Rapport Navipromo.bat 0.73 effectué le 19/06/2007 à 18:31:09,25
L'opération se déroule en mode sans échec sous le compte "HP_Administrateur"
## Suppression Heuristique
* Backups :
Aucun résultat par la recherche heuristique
## Fin du rapport Heuristique
-------------
|
|
|
|
