|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour à toute et à tous,
Je ne peux plus naviguer sur le net sans être envahit de fenêtre publicitaire. même sans ouvrir de page internet et que je laisse mon ordinateur allumé, quand je reviens je suis envahi de pub (mon ordi est en permanence connectè à internet)
Plus les jours passe et plus mon ordi RAM, plus il y a de publicité et plus il met du temps à exécuter un programme...sans compter les mini "freeze" quotidiens.
J'utilise actuellement un logiciels de nettoyage tel que CleanUp, mais rien y fait...
Merci d'avance d'essayer de m'aider à supprimer ce virus.
-->Message édité par killbilll le 01/05/2008 17:45:44<--
|
|
Imagine ...
|
|
|
 killbilll
Quel est ton outil système ?
XP, Vista, etc ...
|
|
|
|
|
Bonjour kmisol,
J'utilise XP.
PS: je vien de reformater mon ordinateur et y'a toujours autant de pub...
-->Message édité par killbilll le 18/04/2008 19:22:23<--
|
|
Imagine ...
|
|
|
killbilll
Fais un clic droit sur ce lien Navilog1 (par IL-MAFIOSO)
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Sinon, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.
(Ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.
PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\fixnavi.txt
|
|
|
|
|
Voila:
Search Navipromo version 3.5.4 commencé le 21/04/2008 à 19:15:57,93
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Anthony"
Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\DOCUME~1\ALLUSE~1\APPLIC~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Anthony\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Anthony\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Anthony\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\Anthony\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\Gaetan\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\GAETAN~1.VIT\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Anthony\locals~1\applic~1" :
* Dans "C:\DOCUME~1\Gaetan\locals~1\applic~1" :
* Dans "C:\DOCUME~1\GAETAN~1.VIT\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
*** Analyse terminée le 21/04/2008 à 19:20:19,06 ***
Merci !
|
|
Imagine ...
|
|
|
killbilll
RAS sur ce rapport  !
Fais un scan HijackThis et poste le rapport.
|
|
|
|
|
Voila !
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:34, on 21/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aliceadsl.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Bat Wave Base Dale] C:\Documents and Settings\All Users\Application Data\Link Axis Bat Wave\build global.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Upload hole] C:\DOCUME~1\Anthony\APPLIC~1\PROXYA~1\kind poke coal.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 5678 bytes
Et merci de ta rapidité !
|
|
Imagine ...
|
|
|
...
Pubs CID !
Télécharge lopxpMH2
Enregistrer la cible ci-dessus (du lien) sous... et enregistre-le sur
ton bureau.
Dézippe-le (clic droit >> Extraire ici) et double clique sur lopxpMH.bat
(ou lopxpMH2).
Poste le contenu du rapport qui va s'ouvrir.
|
|
|
|
|
Voila,
Rapport lopxpMH2 version 2.0 fait à 7:04:43,25 le 22/04/2008
C:\Documents and Settings\Anthony\Bureau\lopxpMH2
******************************************
## Répertoires Application Data
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\All Users\Application Data
17/04/2008 17:01 <REP> .
17/04/2008 17:01 <REP> ..
17/04/2008 17:43 <REP> ATI
17/04/2008 16:37 <REP> Kaspersky Lab
17/04/2008 16:21 <REP> Link Axis Bat Wave
17/04/2008 16:40 <REP> Messenger Plus!
17/04/2008 17:01 <REP> Microsoft
17/04/2008 16:12 <REP> Skype
17/04/2008 16:12 <REP> Spybot - Search & Destroy
17/04/2008 15:57 <REP> Windows Genuine Advantage
17/04/2008 15:56 <REP> WinZip
17/04/2008 15:51 <REP> WLInstaller
17/04/2008 17:01 62 desktop.ini
17/04/2008 16:15 32 ezsid.dat
2 fichier(s) 94 octets
12 Rép(s) 114 579 488 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Anthony\Application Data
17/04/2008 15:14 <REP> .
17/04/2008 15:14 <REP> ..
18/04/2008 19:36 <REP> Adobe
17/04/2008 23:53 <REP> ATI
17/04/2008 15:14 <REP> Identities
17/04/2008 17:02 <REP> ma-config.com
18/04/2008 19:36 <REP> Macromedia
17/04/2008 15:14 <REP> Microsoft
17/04/2008 15:47 <REP> Mozilla
17/04/2008 16:21 <REP> proxyantiroam
17/04/2008 16:13 <REP> Skype
17/04/2008 16:15 <REP> skypePM
19/04/2008 13:12 <REP> Sun
17/04/2008 16:43 <REP> teamspeak2
20/04/2008 11:12 <REP> vlc
17/04/2008 16:11 <REP> WinRAR
17/04/2008 15:14 62 desktop.ini
1 fichier(s) 62 octets
16 Rép(s) 114 579 488 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Anthony\Local Settings\Application Data
17/04/2008 15:14 <REP> .
17/04/2008 15:14 <REP> ..
17/04/2008 15:14 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
17/04/2008 15:15 <REP> ApplicationHistory
17/04/2008 17:43 <REP> ATI
17/04/2008 15:33 <REP> Identities
17/04/2008 15:14 <REP> Microsoft
17/04/2008 15:47 <REP> Mozilla
19/04/2008 15:30 8 192 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
17/04/2008 15:15 130 fusioncache.dat
17/04/2008 16:20 12 328 GDIPFONTCACHEV1.DAT
17/04/2008 15:25 3 173 736 IconCache.db
4 fichier(s) 3 194 386 octets
8 Rép(s) 114 579 501 056 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Default User\Application Data
17/04/2008 17:01 <REP> .
17/04/2008 17:01 <REP> ..
17/04/2008 17:01 <REP> Microsoft
17/04/2008 17:01 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 114 579 488 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data
17/04/2008 17:01 <REP> .
17/04/2008 17:01 <REP> ..
17/04/2008 15:09 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
17/04/2008 15:07 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 114 579 488 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Gaetan\Application Data
17/04/2008 18:12 <REP> .
17/04/2008 18:12 <REP> ..
17/04/2008 18:12 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Gaetan\Local Settings\Application Data
17/04/2008 18:12 <REP> .
17/04/2008 18:12 <REP> ..
17/04/2008 18:15 <REP> ATI
17/04/2008 18:12 <REP> Microsoft
17/04/2008 18:15 12 328 GDIPFONTCACHEV1.DAT
17/04/2008 18:21 2 695 588 IconCache.db
2 fichier(s) 2 707 916 octets
4 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Gaetan.VITERBO-06C917C\Application Data
17/04/2008 20:41 <REP> .
17/04/2008 20:41 <REP> ..
17/04/2008 20:43 <REP> Identities
17/04/2008 20:41 <REP> Microsoft
17/04/2008 20:50 <REP> proxyantiroam
17/04/2008 20:41 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\Gaetan.VITERBO-06C917C\Local Settings\Application Data
17/04/2008 20:41 <REP> .
17/04/2008 20:41 <REP> ..
17/04/2008 20:41 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
17/04/2008 20:41 <REP> Microsoft
17/04/2008 20:45 12 328 GDIPFONTCACHEV1.DAT
17/04/2008 23:51 2 690 640 IconCache.db
2 fichier(s) 2 702 968 octets
4 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\LocalService\Application Data
17/04/2008 15:13 <REP> .
17/04/2008 15:13 <REP> ..
17/04/2008 15:13 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data
17/04/2008 15:13 <REP> .
17/04/2008 15:13 <REP> ..
17/04/2008 15:13 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\NetworkService\Application Data
17/04/2008 15:12 <REP> .
17/04/2008 15:12 <REP> ..
17/04/2008 15:12 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data
17/04/2008 15:12 <REP> .
17/04/2008 15:12 <REP> ..
17/04/2008 15:12 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 114 579 484 672 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data
17/04/2008 15:11 <REP> .
17/04/2008 15:11 <REP> ..
17/04/2008 15:11 <REP> Microsoft
17/04/2008 15:11 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 114 579 480 576 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data
17/04/2008 15:11 <REP> .
17/04/2008 15:11 <REP> ..
17/04/2008 15:11 <REP> {3248F0A6-6813-11D6-A77B-00B0D0150000}
17/04/2008 15:11 <REP> Microsoft
0 fichier(s) 0 octets
4 Rép(s) 114 579 480 576 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks
C:\WINDOWS\Tasks\AE419BF891860C68.job
��� LÂãPVL�E+e¿¨Ñ
�F â <
�s� �� "€!Ø�� � � � ; c : \ d o c u m e ~ 1 \ a n t h o n y \ a p p l i c ~ 1 \ p r o x y a ~ 1 \ S i t e D r i v e S t o r e . e x e � A n t h o n y � � 0 Ð�� � � < � �
******************************************
## Répertoires de C:\Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 941E-74F4
Répertoire de C:\Program Files
21/04/2008 19:51 <REP> .
21/04/2008 19:51 <REP> ..
19/04/2008 16:37 <REP> 3DO
17/04/2008 19:03 <REP> Ahead
17/04/2008 15:28 <REP> Alice_Triway_WiFi
17/04/2008 17:09 <REP> AMD
17/04/2008 23:38 <REP> ATI Technologies
19/04/2008 16:02 <REP> Bethesda Softworks
17/04/2008 16:21 <REP> Circle Developement
17/04/2008 16:35 <REP> CleanUp!
17/04/2008 15:05 <REP> ComPlus Applications
17/04/2008 16:40 <REP> DAEMON Tools
20/04/2008 11:16 <REP> DivX
21/04/2008 12:31 <REP> eMule
17/04/2008 18:45 <REP> Fichiers communs
17/04/2008 23:52 <REP> Internet Explorer
17/04/2008 15:27 <REP> InterVideo
17/04/2008 15:09 <REP> Java
17/04/2008 16:37 <REP> Kaspersky Lab
17/04/2008 23:25 <REP> ma-config.com
17/04/2008 19:11 <REP> Messenger Plus! Live
17/04/2008 15:10 <REP> microsoft frontpage
17/04/2008 15:55 <REP> Microsoft SQL Server Compact Edition
17/04/2008 15:06 <REP> Movie Maker
22/04/2008 07:00 <REP> Mozilla Firefox
17/04/2008 15:05 <REP> MSN Gaming Zone
21/04/2008 19:23 <REP> Navilog1
17/04/2008 15:06 <REP> NetMeeting
17/04/2008 15:05 <REP> Online Services
17/04/2008 16:37 <REP> Outlook Express
17/04/2008 17:18 <REP> Philips
17/04/2008 16:21 <REP> proxyantiroam
17/04/2008 19:06 <REP> Realtek AC97
19/04/2008 17:07 <REP> Serious Sam 2
17/04/2008 15:06 <REP> Services en ligne
17/04/2008 16:13 <REP> Skype
17/04/2008 16:17 <REP> Spybot - Search & Destroy
17/04/2008 19:14 <REP> Teamspeak2_RC2
21/04/2008 19:51 <REP> Trend Micro
17/04/2008 16:10 <REP> VideoLAN
17/04/2008 19:35 <REP> Windows Live
17/04/2008 15:59 <REP> Windows Media Connect 2
17/04/2008 16:38 <REP> Windows Media Player
17/04/2008 15:05 <REP> Windows NT
17/04/2008 15:55 <REP> WinRAR
17/04/2008 15:56 <REP> WinZip
17/04/2008 15:57 <REP> WowCartographe
17/04/2008 15:10 <REP> xerox
0 fichier(s) 0 octets
48 Rép(s) 114 579 480 576 octets libres
******************************************
## Popups autorisées
* Internet Explorer
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.windowsupdate.microsoft.com REG_BINARY
host-domain-lookup.com REG_SZ
www.host-domain-lookup.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
* Mozilla Firefox (1 autorisé 2 interdit)
---------- C:\DOCUMENTS AND SETTINGS\ANTHONY\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\CDFINEAR.DEFAULT\HOSTPERM.1
******************************************
## Registre
* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Bat Wave Base Dale REG_SZ C:\Documents and Settings\All Users\Application Data\Link Axis Bat Wave\build global.exe
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Upload hole REG_SZ C:\DOCUME~1\Anthony\APPLIC~1\PROXYA~1\kind poke coal.exe
******************************************
## Zones de sécurité
* HKCU Domains (4)
* P3P History (5)
******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"
*************** Fin du rapport ****************
|
|
Imagine ...
|
|
|
killbilll
Note comment démarrer le PC en mode sans échec …
(méthode F8 de préférence)
Tu vas t’ en servir de l’ étape ![[:Poulbot:6]](/data/globaldata/usmilies/poulbot-6.gif "[:Poulbot:6]") 3 à 8 (ou tu n' auras pas accès à Internet)
1/ Télécharge CCleaner
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "Installer", décoche toutes les "options supplémentaires".
Puis, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers,
du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
2/ Crée un nouveau document texte :
Clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
Ouvre-le et copie-colle dedans ce qui est en citation ci-dessous
(copie tout d'un trait) :
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bat Wave Base"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Upload hole"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"dns-look-up.com"=-
"www.dns-look-up.com"=-
"searchweb2.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-
"www.searchweb2.com"=-
"lop.com"=-
"www.lop.com"=-
"searchbee.net"=-
"www.searchbee.net"=-
"netsearchsoft.com"=-
"www.netsearchsoft.com"=-
"netbios-wait.com"=-
"www.netbios-wait.com"=-
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de reglop.reg doit ressembler à --> ![[:jean-chretien1:2]](/data/globaldata/usmilies/jeanchretien1-2.gif "[:jean-chretien1:2]")
***Copie ce qui suit dans un fichier texte et redémarre en mode sans échec
(choisis ta session habituelle, pas le compte "Administrateur" ou autre)***
3/ Désinstalle via "Ajout/Suppres… de progr.", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste Ajout/suppres… de progr.,
recherche un fichier "uninstall..." dans un répertoire du même nom,
dans C:\Program Files et exécute-le)
proxyantiroam
4/ Assures-toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier ; n'importe lequel. Aller dans :
Outils > Options des dossiers > Affichage et,
- cocher "Afficher les dossiers et fichiers cachés" ;
- décocher "Masquer les extensions des fichiers dont le type est connu" ;
- décocher "Masquer les fichiers protégés du système d'exploitation (recommandé)"
"Appliquer" et "Ok"
5/ Recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves :
C:\Program Files\proxyantiroam
C:\Documents and Settings\All Users\Application Data\Link Axis Bat Wave
C:\Documents and Settings\Anthony\Application Data\proxyantiroam
C:\Documents and Settings\Gaetan.VITERBO-06C917C\Application Data\proxyantiroam
6/ Menu Démarrer/Exécuter…, tape cmd et valide par "Entrée".
Copie-colle la ligne en citation, ci-dessous, dans la fenêtre noire qui s'ouvre :
del /a C:\WINDOWS\Tasks\AE419BF891860C68.job
Valide par "Entrée", puis ferme la fenêtre de commande.
7/ Double-clique sur reglop.reg => tu dois obligatoirement avoir un message
"Voulez-vous vraiment ajouter les infos contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "Oui".
8/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
![[:lolo 1:7]](/data/globaldata/usmilies/lolo1-7.gif "[:lolo 1:7]") Remet les fichiers et dossiers cachés dans leur configuration initiale.
9/ Redémarre normalement et poste …
un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...)
ainsi que l'évolution de la situation.
Bonne désinfection et bonne journée  ...
|
|
|
|
|
Bonjour kmisol, (désolè pour le temps de retard)
Bon en premier, voici le nouveau rapport HijackThis demandè après votre manipulation:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:46:59, on 26/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemonsearch.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aliceadsl.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Bat Wave Base Dale] C:\Documents and Settings\All Users\Application Data\Link Axis Bat Wave\build global.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
--
End of file - 5478 bytes
Ensuite, certaines choses ne se sont pas passè comme prévu:
3/ Désinstalle via "Ajout/Suppres… de progr.", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste Ajout/suppres… de progr.,
recherche un fichier "uninstall..." dans un répertoire du même nom,
dans C:\Program Files et exécute-le)
proxyantiroam
Donc se programme n'était pas visible dans le menu "Ajout/Suppres… de progr.", donc comme demandè j'ai été dans C:\Program Files\proxyantiroam, hors se dossiers était complètement vide aussi... (même en ayant fait l'étape 4 avant)
Je n'ai donc pas pu le désinstaller mais juste supprimer le dossier.
Screen:
Voila pour se problème.
Un autre petit truck:
8/ Lance Ccleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
Remet les fichiers et dossiers cachés dans leur configuration initiale.
Comment remettre les fichiers et dossiers cachés dans leur configuration initiale ?
Sinon tous le reste c'est passè comme prévu et je ne peux pas te dire l'avancè des choses actuellement car je viens juste de le faire  (ha si : pas encore de pub depuis que je suis entrain de rédiger se message !)
Voila, par contre j'aurais 2-3 questions S.V.P:
Comment ais-je pu attrapé se virus ?
Comment a t'il "survécu" après un reformatage complet de l'ordinateur ?
Cela viens t'il d'un logiciel que j'installe ?
Merci d'avance de me répondre pour éviter que cela recommence...
Edit: 13:30
Je viens de faire une analyse Kaspersky:
Le cheval de troie win 32.agent avait t'il un rapport avec sa ?
-->Message édité par killbilll le 26/04/2008 13:33:41<--
|
|
Imagine ...
|
|
|
Redémarre le PC en mode sans échec …
(méthode F8 de préférence)
--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la sur le
"bureau" pour l' avoir à ta disposition.
--------------------------------------------
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Bat Wave Base Dale] C:\Documents and Settings\All Users\Application Data\Link Axis Bat Wave\build global.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
Comment remettre les fichiers et dossiers cachés dans leur configuration initiale ?
Le contraire de ...
4/ Assures-toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier ; n'importe lequel. Aller dans :
Outils > Options des dossiers > Affichage et,
- cocher "Afficher les dossiers et fichiers cachés" ;
- décocher "Masquer les extensions des fichiers dont le type est connu" ;
- décocher "Masquer les fichiers protégés du système d'exploitation (recommandé)"
"Appliquer" et "Ok"
Décocher au lieu de cocher et,
cocher au lieu de décocher ...
Comment ais-je pu attrapé se virus ?
http://www.malekal.com/msnplus_adaware.php
ou ...
http://www.malekal.com/popup_CID_Bitdownload.php
En tout cas, Antivir a bien détecté proxyantiroam !
L'adware lop.com.
Les programmes suivants peuvent l' installer sur le PC à ton insu :
Sponsors MSN plus !
BitDownload !
BitGrabber
NetPumper
BitRoll
TorrentQ
Torrent101, etc ...
-->Message édité par kmisol le 26/04/2008 16:04:15<--
|
|
|
|
|
Sponsors MSN plus ! voila la source de mes problèmes ! bon je viens de le désinstaller aussi.
Merci à toi en tout cas !
Encore une petite question:
-Je viens de faire ta dernière manip, dois-je te redonner un rapport ?
PS: sa fait 2 heures que je n'ai pas eu de pub donc virus supprimè !
Merci pour tout !
|
|
Imagine ...
|
|
|
...
Si tu penses qu' on peut s' arrêter là, c' est OK.
Télécharge ToolsCleaner sur ton bureau.
Clique sur Recherche et laisse le scan agir ...
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport.
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
******
Si tu estimes que ton problème est réglé,
replaces-toi sur ton 1er message et clique sur  .
Une fois dans le message, inscris (copies-colles) en titre …
Fenetres publicitaires [résolu]
… et clique sur > Poster ce message.
******
Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html
|
|
|
|
|
Voici le rapport:
-->- Recherche:
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
---------------------------------
-->- Suppression:
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Merci !
|
|
|
1
|
|
|
|
