Rapport HijackThis +BROOWser MERCI de m'aider

Merci de vouloir m'aider
J'ai une mise en garde sérieuse comme quoi c'est très risqué pour le fonctionnement de l'ordinateur
excepté si'il s'agit d'un conseil d'un helper?

Bonjour

Merci de vouloir m'aider

Effectivement mon antivirus rejette Ad Remover en bloquant un trojan TR DROPPER
D'autre part, la fenêtre 'écran noir" s'ouvre mais s'éteint aussitôt donc impossible d'écrire
J'ai supprimé les fichiers Eorezo et QUAD dans C:\ ProgramFiles. N'est-ce pas suffisant?
MBAM me dit que je ne uis plus infecté.

Merci de votre avis

Search Navipromo version 3.7.4 commencé le 18/02/2009 à 21:00:54,45

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Default System BIOS
USER : utilisateur ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Not Activated)


C:\ (Local Disk) - FAT32 - Total:43 Go (Free:16 Go)
D:\ (Local Disk) - FAT32 - Total:29 Go (Free:28 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudÉ~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\TEMP\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\TEMP\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\utilisateur\menud+~1\progra~1" ***


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!

HKEY_CURRENT_USER\Software\Lanconfig

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msgac"="\"c:\\documents and settings\\utilisateur\\local settings\\application data\\msgac.exe\" msgac"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

Bonsoir

Comme demandé
* Dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" :


* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 18/02/2009 à 21:01:45,32 ***

Je ne pensais aps que c'était si laborieux et si technique! IL vous en faut de la patience!

Clean Navipromo version 3.7.4 commencé le 18/02/2009 à 23:57:15,79

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.60GHz )
BIOS : Default System BIOS
USER : utilisateur ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Activated)


C:\ (Local Disk) - FAT32 - Total:43 Go (Free:16 Go)
D:\ (Local Disk) - FAT32 - Total:29 Go (Free:28 Go)
E:\ (CD or DVD)
F:\ (USB)
G:\ (USB)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudÉ~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudÉ~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\utilisateur\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\TEMP\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\TEMP\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\utilisateur\menud+~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\utilisateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\utilisateur\locals~1\applic~1" *


* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 19/02/2009 à 0:00:40,26 ***

Impossible d'ouvrir AD-Remover même en désactivant mon antivirus

Navilog désinstallé. Je suppose qu'il faudra désinstallé ausi Regseeker ?

J'ai lancé MalwareBytes en option complète = il y a déjà au démarrage 5 fichiers infectés

Antivirus m'a fait supprimer 6 fois TR DROPPER.Gen

J'ai supprime les 5 naviprom en quanrantaine dans MBAM Y a-t-il encore quelque chose à faire?
Merci beaucoup

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1775
Windows 5.1.2600 Service Pack 3

19/02/2009 01:35:17
mbam-log-2009-02-19 (01-35-11).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 198994
Temps écoulé: 1 hour(s), 6 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ibcxklg (Adware.Navipromo.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg.exe (Adware.Navipromo.H) -> No action taken.

Dernier rapport

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1775
Windows 5.1.2600 Service Pack 3

19/02/2009 01:36:06
mbam-log-2009-02-19 (01-36-06).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 198994
Temps écoulé: 1 hour(s), 6 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ibcxklg (Adware.Navipromo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Application Data\ibcxklg.exe (Adware.Navipromo.H) -> Delete on reboot.

J'ai déjà relancé MBMA option rapide et tout semble OK - quarantaine vidée
Dois-je encore le relancer option complète?

Faut-il supprimer MBMA? PC SECURITY TEST, Regeester? HijackThis?

Effectivement, je reçois régulièrement des diaporamas ou vidéos en PJ d'amis à ouvrir ou à enregistrer sur disque dur

sur OUTLOOK ou OUTLOOK EXPRESS mais je voudrais être sécurisé avant de les ouvrir ils peuvent m'envoyer involontairement des vrus

j'ai créé le point de restauration

Il me reste à faire la suite mais demain

MERCI des conseils avisés

Bonjour

J'ai bien lu tous les documents cités très instructifs mais j'ai encore un souci en phase terminale:
J'ai exécuté les 3 points du dernier mail donc modifié mon host mais je ne suis pas certain d'avoir bien réussi car lorsque je tape 121.0.0.1. dans recherche du navigateur ll n'y a aucun blocage: Est-ce normal?
J'ai bien enregistré Host mais j'ai beau supprimer .text, il se remet d'office. C'est peut être la raison de cet état de choses.

Dois-je saisir les 26000 entrées données en exemple?

S'il faut restaurer le fichier Host dans son état d'origine je dois télécharger RHosts sur la page de "S!Ri" (de quelle page s'agit-il?
Désolé de mon manque de connaissances
A +

Je l'ai peut être mal saisi?
OUVERTURE AVEC NOTE BOOK
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost

127.0.0.1 gromozon.com
127.0.0.1 xearl.com
127.0.0.1 td8eau9td.com
127.0.0.1 mioctad.com
127.0.0.1 mufxggfi.com
127.0.0.1 uv97vqm3.com
127.0.0.1 coeds.com*
127.0.0.1 lah3bum9.com*
127.0.0.1 cvoesdjd.com*

Merci pour l'info de restauration HOST
HOSTS
J'ai essayé de coller la ligne 127.0.0.1 dans l'outil de recherche du navigateur mais j'atterris simplement sur les définitions ou explications, mais est-ce important?
J'ai constaté également que mon outil de recherche explorer de window XP ne fonctionne plus mais ce n'est pas vraiment indispensable

D'autre part ce n'est pas NTFS mais FAT qui est i nscrit dans le systéme
Le principal c'est la décontamination
Il me reste plus qu'à régler les quelques petits problèmes de Messagerie
Je me suis inscris plusieurs fois comme membre mais je m'aperçois que je ne suis pas enregistré...
Bonne fin de semaine et encore merci 1000 fois

Bonjour,

Suite à une dernière vérification avec SUPERAntispyware j'ai été surpris de découvrir le Trojan DNSChange-Codec que j'ai mis en quarantaine. De quoi s'agit-IL?
Que faut-il faire encore ?

HKU:\S-1-5-21-222772-9942-2260562539-462105317-1005\Software\fcn

Merci
Faut-il le restaurer ou le laisser en quarantaine?

Bonsoir,

Je suppose que tout est terminé maintenant?

Non si ce n'est que parfois à l'ouverture du PC un message me dit que mon antivirus est peut être désactivé

J'ai un petit logo 'carré bleu' qui se trouve en barre de démarrage mais aussi qui s'affiche constamment sur le bureau FDM (FreeDOWLoadManager.org) qui surveille (je crois que c'est un logiciel qui s'est installé lors de nos diverses manipulations) . Dans cette barre, J'ai également ULEAD Detector et ULeas Calendor qui ne semblent pas fonctionner du tout

Tout semble normal
MERCI mais je suis encore étonné du temps que tu passes pour aider car c'est de + en + rare...

bonjour Destrio, moi non plus elle s'est empêtrée toute seule, je ne lui ai en aucun cas demandé d'exécuter AD REMOVER, je ne sais pas qui le lui a conseillé

Bonjour,
Désolé de ce "méli-mélo" que je peux expliquer:
D'abord, je n'ai plus été en mesure de te contacter et comme je me suis trouvé avec plusieurs interlocuteurs Nathandre, toi-même et Marie) et que j'ai cru que vous vous releviez dans le cadre d'un travail d'équipe comme je l'ai expliqué à Nathandre, j'ai continué avec Marie (qui a compris qu'elle était en doublon et a fermé le dossier) et Nathandre qui est resté en contact sans savoir au départ que nous étions en relation.
TOUJOURS EST-IL QUE J'AI ENCORE DES PB:
Depuis quelques jours, mon ordi est redevenu lent et quand je clique la fenêtre se réduit en un rectangle au centre de l'écran mais prend un certain temps avant de se refermer complètement et parfois mon AntiVir se désactive tout seul : j'ai donc un message "votre ordi court un risque"!
J'ai donc scanné avec MALWARBYTES, ANTISPYWARE ET comme tu m'avais dit ainsi que Marie qu'il était dommage de ne pas avoir pu le faire avec Ad-Remover je l'ai fait.
Comme je l'ai expliqué à Nathandre, Je me suis trouvé avec plusieurs interlocuteurs à la fois et je pensais que c'était un travail d'équipe.

2 fichiers infectés
. Worm.archive-File C:\Windows\Fonts\Unins000.ex
. Worm.Archive. Registry Key HKEY_LocalMachine\Software\MIcro....

6 autres fichiers que j'ai placés en quarantaine
. SPR\Tool.Hardoff.A dans 4 fichiers
. SPR\Tool.Reboot.F dans 2 fichiers
Avec AD-Remover je n'ai supprimé que Eorezo qui avait pourtant déjà été éradiqué avec toi?
Lorsque j'ai voulu passer à l'étape 2 d'Ad-Remover un message m'a alerté en me disant que j'allais supprimer la configuration de mon navigateur
Pour tout s dire:
- Mon opérateur, c'est Orange mais j'ai installé Firefox
- Mon antivirus, c'et AVIRA AntiVir
- Mon antispam, c'est Spamihilatour mais il s' est bloqué quelque jours après son utilsiation?
- J'ai laissé MALWAREBYTES et ANTISPYWARE et CCLEANER
Cela cause peut-être des conflits?