Processus non connu dans google

Résolu/Fermé
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009 - 5 oct. 2009 à 19:40
fabul Messages postés 39492 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 janvier 2025 - 6 oct. 2009 à 07:56
Bonjour à tous, voilà depuis quelques jours dès lors que j'ouvre une page Firefox j'ai tous un tas de page-pub qui s'ouvrent simultanément mais toujours avec le même logo (voir ici)
https://imageshack.com/

J'ai également remarqué que j'avais un processus que je n'avais pas avant ylwiugre.exe, je ne sais pas si c'est lié ou pas mais quand je le recherche avec google je ne trouve rien. (voir ici)
https://imageshack.com/


Merci de votre aide et de vos réponses
A voir également:

16 réponses

bonjours,

C'est une infection Navipromo, que des pub qui proviennent d'un adware.


Et pour ça y a .......

*********************** Navilog1 ****************************

* Téléchargez sur votre bureau Navilog1 (D'il mafioso)

* Double cliquez sur l'icône Navilog1 présente sur le bureau.

* Sélectionnez la langue désirée, ici on tape 1 pour le français. Validez par Entrée.

* Aux messages d'avertissement, appuyez sur une touche pour continuer.

* Choisissez 1 pour lancer une "Recherche/Désinfection automatique" de fichiers et dossiers infectieux et appuyez sur une touche.

* La recherche va se lancer automatiquement et peut durer plusieurs minutes, patientez.

*L'analyse est terminée ! Fermez et enregistrez votre travail en cours et appuyez sur une touche pour que l'ordinateur puisse redémarré.

*Au redémarrage de l'ordinateur, Navilog va supprimé ce qu'il a trouvé. Patientez quelques instants.

* Le rapport cleannavi.txt s'ouvre, affichez le dans votre prochaine réponse.
2
* Relancer Malwarebytes et aller dansla [Quarantaine], pour appuyer sur [Tout supprimer]
* Redémarrer le PC.


Et suivez la procédure(message #8) avec Navilog1(spécialisé dans les Navipromo), qui va peut-être ramasser des traces de l'infection laisser par Malwarebytes(généraliste).
1
L’adware Navipromo qui provoque l'ouverture de popups de publicités, est installé, entre autre, par les programmes :
go-astro
- Instant Access
- InternetGameBox
- GoRecord
- HotTVPlayer
- Live Player <---- le vôtre..
- MailSkinner
- Messenger Skinner
- Sudoplanet
- Webmediaplayer,
- Official-emule,
- Funny emoticons..

pourquoi mon AV (nod32)
D'abord Nod32 est un antivirus qui a très bonne réputation !
Aussi parce qu'un Adware n'est pas un virus ou un spyware.. ou parce que c'est pas sa job.
Ce genre d'infection n'est pas dangereux pour l'intégrité du système d'exploitation ou des données, ce n'est que de la pub.
1
fabul Messages postés 39492 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 janvier 2025 5 454
5 oct. 2009 à 19:43
regarde avec ceci,pointe ton pointeur devant,tu verra ou est ce qu'il est,fait kill process et supprime le,

http://download.sysinternals.com/Files/ProcessExplorer.zip

fais une analyse complète avec Malwarebytes https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

Qu'a tu installé dernièrement?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009
5 oct. 2009 à 19:56
Alors effectivement je pense que ce prog n'est pas désiré, il se trouve c:\document&settings\alex\local settings\application data\ylwiugre.exe

Description: brier
Compagny name : cuéntamelo
PID : 632

j'ai été dans le local settings et ce prog n'est pas tout seul, il y a 3 fichier dat : ylwiugre ; ylwiugre_nav ; ylwiugre_navps

merci
0
fabul Messages postés 39492 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 janvier 2025 5 454
5 oct. 2009 à 19:59
Fait donc une analyse Hijackthis et vois ce que donne ton log
ici http://www.hijackthis.de/fr

si tu trouve des objects inconnus ou si tu n'est pas rassuré,poste le ici.
0
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009
5 oct. 2009 à 20:09
Merci fabul, Malwarebytes est en train de faire son taf , je lancerai Hjt après et je posterai le log après car moi je serai incapable de dire si il y a quelque chose qui cloche ou pas ;)

merci
0
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009
5 oct. 2009 à 20:45
Ok voci le log Hjt :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:58, on 05/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [ylwiugre] "c:\documents and settings\alex\local settings\application data\ylwiugre.exe" ylwiugre
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54DCF3B4-9A25-4A7D-B891-5A4C13B5543C}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{54DCF3B4-9A25-4A7D-B891-5A4C13B5543C}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{54DCF3B4-9A25-4A7D-B891-5A4C13B5543C}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
0
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009
5 oct. 2009 à 20:53
up
0
fabul Messages postés 39492 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 janvier 2025 5 454
5 oct. 2009 à 21:09
Il y a quelque chose

O4 - HKCU\..\Run: [ylwiugre] "c:\documents and settings\alex\local settings\application data\ylwiugre.exe" ylwiugre

mais malgré que tu le fix avec Hjt,ça va probablement revenir. plutot que de la fixer avec Hjt,

Télécharge ça https://www.greatis.com/security/reanimator.html

laisse le appliquer la mise a jour et permet lui si il te demande pour télécharger une mise a jour,

ensuite,clic sur scan for viruses suivi de scan windows startup,

coche la case use deep level scanning,et clic sur reboot.

l'ordinateur va redémarrer,lorsque tu le verra (ylwiugre.exe) supprime.

pour les autres objects détectés,ne clic sur False positive seulement si tu sait que ce sont des fichiers sains,sinon,passe avec la flèche.

ensuite regarde dans tes doccuments/RegRun2/rr2log.txt

si il y a quelque chose d'inconnu,poste le contenu.

tu pourra aussi utiliser la case on-line multi-antivirus scan
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
5 oct. 2009 à 21:40
B'soir .

Je confirme ....C'est bien une infection Navipromo .
0
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009
5 oct. 2009 à 22:05
Merci fabul, Astucien et jfkpresident ,effectivement j'ai vu dans le log de malwarebytes que c'était une infection navipromo :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2910
Windows 5.1.2600 Service Pack 2

05/10/2009 21:17:30
mbam-log-2009-10-05 (21-17-27).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 199324
Temps écoulé: 24 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ylwiugre (Trojan.Agent.H) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\alex\Mes documents\My Downloads\live-player_setup.exe (Adware.NaviPromo) -> No action taken.
D:\System Volume Information\_restore{186833FE-33F1-4E02-80B1-99536D66D3C0}\RP102\A0033399.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\alex\Local Settings\Application Data\ylwiugre_nav.dat (Adware.NaviPromo) -> No action taken.
C:\Documents and Settings\alex\Local Settings\Application Data\ylwiugre_navps.dat (Adware.NaviPromo) -> No action taken.

je posterai le rapport cleannavi.txt après, merci
0
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009
5 oct. 2009 à 22:24
Merci Astucien pour ton aide,
voilà le rapport navilog

Fix Navipromo version 4.0.2 commencé le 05/10/2009 22:07:48,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
BIOS : BIOS Date: 07/10/08 17:59:24 Ver: 08.00.14
USER : alex ( Administrator )
BOOT : Normal boot

Antivirus : ESET Smart Security 3.0 3.0 (Activated)
Firewall : Pare-feu personnel d'ESET 3.0.642.0 (Activated)

A:\ (USB)
C:\ (Local Disk) - NTFS - Total:931 Go (Free:894 Go)
D:\ (Local Disk) - NTFS - Total:698 Go (Free:587 Go)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

Recherche executée en mode normal
Nettoyage exécuté au redémarrage de l'ordinateur

C:\Program Files\Live-Player supprimé !
C:\Documents and Settings\All Users\menudm~1\progra~1\Live-Player supprimé !
C:\Documents and Settings\alex\applic~1\Live-Player supprimé !
c:\docume~1\alluse~1\bureau\Live-Player.lnk supprimé !
c:\docume~1\alex\locals~1\applic~1\ylwiugre.dat supprimé !
c:\docume~1\alex\locals~1\applic~1\ylwiugre_nav.dat supprimé !
c:\docume~1\alex\locals~1\applic~1\ylwiugre_navps.dat supprimé !

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\alex\locals~1\Temp effectué !

*** Sauvegarde du Registre vers dossier Safebackup ***
sauvegarde du Registre réalisée avec succès !
*** Nettoyage Registre ***
Nettoyage Registre Ok
*** Scan terminé 05/10/2009 22:13:03,46 ***

Je me doutais que c'était ce put*n de live player qui me foutais le bord*l, y'a que ca que j'ai instalé depuis des mois, pourtant télécharger sur club*c !

Par contre pourquoi mon AV (nod32) n'a rien détecté même avec l'analyse de toute à l'heure? Et rien au téléchargement non plus?

Merci Astucien,
0
sSkIzOo Messages postés 8 Date d'inscription lundi 5 octobre 2009 Statut Membre Dernière intervention 5 octobre 2009
5 oct. 2009 à 22:37
Ok ok donc là tout est clean n'est ce pas?
Encore merci Astucien pour ton aide mais surtout pour le temps que toi et les autres vous passez à aidez les gens !

A bientôt, enfin non je l'espère pas ;)
0
fabul Messages postés 39492 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 janvier 2025 5 454
5 oct. 2009 à 22:49
Garde en note le programme que je t'ai proposé,il est bon pour aider a trouver les problèmes trojans spywares adwares et rootkits nouveaux et inconnus.
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
5 oct. 2009 à 22:52
Garde en note le programme que je t'ai proposé,il est bon pour aider a trouver les problèmes trojans spywares adwares et rootkits nouveaux et inconnus.


Je doute que s'ils soient inconnus MBAM les détectent ?!
0
fabul Messages postés 39492 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 janvier 2025 5 454
6 oct. 2009 à 07:56
Je n'insinuait pas a propos MBAM non plus https://www.greatis.com/security/reanimator.html


Quelqu'un l'a mis dans la catégorie Antispam,LOL ce n'est pas la qu'il va.

https://www.commentcamarche.net/telecharger/securite/19201-regrun-reanimator/
0