|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
J'ai besoin d'aide, je suis envahie par l'ouverture de fenêtre de pubs (casino et pleins d'autre) et par spyware secure, je ne sais plus comment faire pour m'en débarasser... 
j'ai fais plusieurs analyse de mon system, par adaware, hitjakthis, c-cleaner et rien n'a changé.
Merci de m'apporter votre aide
|
|
Imagine ...
|
|
|
|
|
Bonjour Kmisol,
Je viens de lancer l'analyse et elle est en cours, apparemment ca prend du temps
|
|
|
|
|
Kmisol,
Vici le rapport :
Search Navipromo version 2.0.5 commencé le 08/07/2007 à 19:25:27,29
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
C:\Program Files\MessengerSkinner trouvé !
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Eli\Application Data ***
...\Application Data\MessengerSkinner trouvé !
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\djwzczphp.dat
C:\windows\system32\djwzczphp.exe
c:\WINDOWS\system32\djwzczphp_nav.dat
c:\WINDOWS\system32\djwzczphp_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\djwzczphp.exe
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
C:\WINDOWS\system32\djwzczphp.dat trouvé !
**
C:\WINDOWS\system32\djwzczphp.dat trouvé !
***
****
C:\WINDOWS\system32\djwzczphp_navps.dat trouvé !
*****
******
*******
C:\WINDOWS\system32\djwzczphp.exe trouvé !
********
C:\WINDOWS\system32\djwzczphp.exe trouvé !
C:\WINDOWS\system32\hhyultl.exe trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
*** Analyse Terminé le 08/07/2007 à 19:37:00,79 ***
|
|
Imagine ...
|
|
|
...
Double clique sur le raccourci Navilog1 présent sur le bureau et
laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents
personnels ouverts.
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver.
Referme le bloc-notes. Ton bureau va réapparaitre.
PS : si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir
le Gestionnaire de Tâches.
Puis rends-toi à l'onglet "processus".
Clique en haut à gauche sur fichiers et choisis "Exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.
Poste le rapport.
|
|
|
|
|
Voici le nouveau rapport
Clean Navipromo version 2.0.5 commencé le 08/07/2007 à 19:48:19,65
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
*** Creation backups fichiers trouvés par Blacklight ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
*** Suppression des fichiers trouvés avec Blacklight ***
c:\WINDOWS\system32\djwzczphp.dat supprimé !
C:\windows\system32\djwzczphp.exe supprimé !
c:\WINDOWS\system32\djwzczphp_nav.dat supprimé !
c:\WINDOWS\system32\djwzczphp_navps.dat supprimé !
** 2ème passage **
C:\WINDOWS\system32\djwzczphp.exe absent !
C:\WINDOWS\system32\djwzczphp.dat absent !
C:\WINDOWS\system32\djwzczphp_nav.dat absent !
C:\WINDOWS\system32\djwzczphp_navps.dat absent !
C:\WINDOWS\system32\djwzczphp_navup.dat absent !
C:\WINDOWS\system32\djwzczphp_navtmp.dat absent !
C:\WINDOWS\system32\djwzczphp_m2s.xml absent !
C:\WINDOWS\prefetch\djwzczphp*.pf trouvé !
Copie C:\WINDOWS\prefetch\djwzczphp*.pf réalise avec succes !
C:\WINDOWS\prefetch\djwzczphp*.pf supprimé !
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
C:\Program Files\MessengerSkinner ...suppression...
C:\Program Files\MessengerSkinner supprimé !
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\Eli\Application Data ***
...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Eli\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
*
**
***
****
*****
******
*******
********
C:\WINDOWS\System32\hhyultl.exe trouvé !
Copie C:\WINDOWS\system32\hhyultl.exe réalise avec succes !
C:\WINDOWS\system32\hhyultl.exe supprimé !
3)Contrôle présence clés Rootkit dans le registre :
Aucune autre clés présente dans le registre !
4)Certificats :
Certificat Egroup supprimé !
*** Nettoyage termine le 08/07/2007 à 19:52:23,84 ***
Et maintenant que dois-je faire ?
En tout cas merci pour ton aide kmisol
|
|
Imagine ...
|
|
|
...
Poste un rapport HijackThis …
http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/s(...)
ou, en image, sur ce lien ...
http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm
![[:Poulbot:6]](/data/globaldata/usmilies/poulbot-6.gif "[:Poulbot:6]") N’ oublie pas de créer un dossier à la racine du disque dur !
Tu le nommeras -> HJT ...
Ce qui te donneras -> C:\HJT\ ...
Dans ce dossier, tu y mettras l' exécutable hijackthis.exe
|
|
|
|
|
Voici le rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:57, on 08/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Hijackthis V2\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autoclose
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FD3F790-FE57-454E-8FB8-7742E9880861}: NameServer = 212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FD3F790-FE57-454E-8FB8-7742E9880861}: NameServer = 212.27.54.252
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 7959 bytes
|
|
Imagine ...
|
|
|
...
Comment se comporte le PC ?
Si tout est rentré dans l' ordre (ce qui semble être le cas),
1) > Démarrer > Panneau de config. > Ajout/suppres… des progr. -> supprime Navilog1
Supprime aussi ce dossier par Démarrer > Poste de travail >
C:\Program Files\navilog1 <-
2) Fais un scan en ligne …
http://webscanner.kaspersky.fr ("Exécutez l'analyse en ligne").
> Démarrer Online scanner > J' accepte > Suivant.
Sélectionne "disque local C:\" ou Poste de travail.
A la fin du scan, poste le rapport.
-->Message édité par kmisol le 10/07/2007 21:59:59<--
|
|
|
|
|
Bonjour,
Désolée de ne pas avoir répondue plus tôt, je te remercie Kmisol car maintenant je n'ai plus de PB. Je n'ai pas pu envoyer un rapport suite à analyse avec Kaspersky car impossible de lancer l'analyse en ligne.
|
|
Imagine ...
|
|
|
|
|
 kmisol
Je viens de voir ta réponse et désolée pour cette réponse tardive mais je n'arrive pas à télécharger Erase!Beta, on me dit que la page est introuvable.
Peut-être ai-je trop attendue pour effectuer tes instructions 
Peux-tu me redonner un autre lien,
Merci d'avance
|
|
Imagine ...
|
|
|
|
|
Kmisol
Désolée de ne pas avoir pu répondre, vacances obligent !!!
je n'arrive toujours pas à me connecter.
Merci de me donner un nouveau lien.
Si je peux me permettre, je viens d'être infectée par le virus drunktin d'msn, peux-tu m'aider ???
merci 
|
|
Imagine ...
|
|
|
betty69
Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1) …
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip
Dézippe le dossier ; double-clique sur GenProc.bat ![[:jean-chretien1:3]](/data/globaldata/usmilies/jeanchretien1-3.gif "[:jean-chretien1:3]") … et poste
le contenu du rapport qui s'ouvre (que tu découvres une procédure ou pas !).
Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
|
|
|
|
|
KMISOL
Voici le rapport, rien a été trouvé.
[1] Aucune infection caractéristique trouvée !
|
|
Imagine ...
|
|
|
betty69
C' est une bonne chose  ...
Ou en es-tu de tes problèmes ? Comment se comporte le PC ?
|
|
|
|
|
salut kmisol
je crois avoir le meme type de probleme que betty69
peux tu m'aider ?
Merci da'avance
|
|
Imagine ...
|
|
|
leplombar
Crée ton sujet dans cette même catégorie, stp.
Un helper va te venir en aide.
|
|
|
|
Imagine ...
|
|
|
...
Pas d'quoi
|
|
|
1
|
|
|
|
![[:kmisol:2]](/data/globaldata/usmilies/kmisol-2.gif "[:kmisol:2]")
sur le forum. ![[:wildbof:9]](/data/globaldata/usmilies/wildbof-9.gif "[:wildbof:9]")
... car maintenant je n'ai plus de PB . 
et laisse le faire. 
. 
