Mail skinner

LoLau Messages postés 44 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

mon fils voulu installer webmediaplayer pour visualiser les TV sur le net. L'antivirus McAfee a détecté mailSkinner et l'a apparemment supprimé.

Depuis, des fenêtres de pub s'ouvre dans firefox. Bizarre...
Après recherche sur CCM, j'ai passé navilog dont voici le rapport ci-dessous:

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\qtwacgcmhr_nav.dat
c:\WINDOWS\system32\qtwacgcmhr.dat
C:\windows\system32\qtwacgcmhr.exe
c:\WINDOWS\system32\qtwacgcmhr_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\qtwacgcmhr.exe

*** Recherche fichiers ***

*** Recherche cles registre ***

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1547161642-1935655697-682003330-1003\Software\Lanconfig trouvé !

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche nouveaux fichiers connus:

2)Recherche Heuristique :
*
C:\WINDOWS\system32\qtwacgcmhr.dat
**
C:\WINDOWS\system32\qtwacgcmhr.dat
***
****
C:\WINDOWS\system32\qtwacgcmhr_navps.dat

*** Analyse Terminé le 10/03/2007 à 18:29:42,35 ***

Le PC est il infecté?
J'ai aussi le rapport HijackThis si besoin

Merci
Configuration: Windows XP
Firefox 2.0.0.2

6 réponses

  1. Utilisateur anonyme
     
    Salut

    Redémarre ton PC. Dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaître choisis "mode sans echec" attends un peu..

    Double clic sur navilog1.bat
    Au menu principal, choisis 2 et valide
    A la question posée, choisis "mode automatique" en tapant A ou a puis valide

    Laisse toi guider et répond aux éventuelles questions.
    Votre bureau va disparaître, c'est normal.
    Patientez jusqu'au message :
    Nettoyage Termine le .....

    Appuyez sur une touche comme demandé, le bloc note va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver.
    Refermezle bloc note. Ton bureau va réapparaître.
    Le rapport est aussi sauvegardé à la racine du disque (cleannavi.txt)

    Redémarre normalement puis copie-colle le contenu du rapport cleannavi.txt ici stp
    0
  2. LoLau Messages postés 44 Statut Membre 1
     
    le rapport , ci dessous, apparemment tout est OK

    Clean Navipromo version 1.0.6 commencé le 11/03/2007 à 16:04:28,70

    Fix lancé depuis C:\Documents and Settings\Thomas\Bureau\navilog1
    Mise a jour le 08.03.2007 a 14h00 by IL-MAFIOSO

    Executé en mode sans echec

    Mode suppression par méthode manuelle

    Nom du fichier saisi : qtwacgcmhr

    *** Recherche, Creation backups et suppression ***

    C:\WINDOWS\system32\qtwacgcmhr_navup.dat absent !
    C:\WINDOWS\system32\qtwacgcmhr_navtmp.dat absent !
    C:\WINDOWS\system32\qtwacgcmhr_m2s.xml absent !

    C:\WINDOWS\system32\qtwacgcmhr.exe trouvé !
    Copie C:\WINDOWS\system32\qtwacgcmhr.exe réalisé avec succès !
    C:\WINDOWS\system32\qtwacgcmhr.exe supprimé !

    C:\WINDOWS\system32\qtwacgcmhr.dat trouvé !
    Copie C:\WINDOWS\system32\qtwacgcmhr.dat réalisé avec succès !
    C:\WINDOWS\system32\qtwacgcmhr.dat supprimé !

    C:\WINDOWS\system32\qtwacgcmhr_nav.dat trouvé !
    Copie C:\WINDOWS\system32\qtwacgcmhr_nav.dat réalisé avec succès !
    C:\WINDOWS\system32\qtwacgcmhr_nav.dat supprimé !

    C:\WINDOWS\system32\qtwacgcmhr_navps.dat trouvé !
    Copie C:\WINDOWS\system32\qtwacgcmhr_navps.dat réalisé avec succès !
    C:\WINDOWS\system32\qtwacgcmhr_navps.dat supprimé !

    C:\WINDOWS\prefetch\qtwacgcmhr*.pf trouvé !
    Copie C:\WINDOWS\prefetch\qtwacgcmhr*.pf réalisé avec succès !
    C:\WINDOWS\prefetch\qtwacgcmhr*.pf supprimé !

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\Thomas\Application Data ***

    *** Suppression fichiers ***

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Thomas\Local Settings\Temp effectué !

    *** Sauvegarde du registre vers dossier Backupnavi***

    sauvegarde du registre réalisée avec succès !

    *** Nettoyage registre ***

    Nettoyage registre Ok

    *** Traitement Recherche complémentaire ***

    1)Recherche/Suppressions nouveaux fichiers connus:

    2)Recherche Heuristique (Fichiers à supprimer si nécéssaire):
    *
    **
    ***
    ****

    *** Nettoyage termine le 11/03/2007 à 16:06:30,09 ***

    merci de me dire si tout est réellement bon afin que je mette la discussion à résolue
    0
  3. Utilisateur anonyme
     
    Slut

    fait ceci pour vérifier

    Télécharge HijackThis :
    ---> http://www.infos-du-net.com/telecharger/HijackThis,0301-454.html
    Installe le dans son propre dossier :
    - clic droit sur le bureau, tu choisis "nouveau dossier" puis installe-le à l'intérieur.
    Double-clic sur HijackThis.
    Clic sur "do a system scan and save logfile"
    Puis copie et colle le rapport ici stp
    0
  4. LoLau Messages postés 44 Statut Membre 1
     
    j'avais déjà HijackThis sur le PC, c'est plus sur ;-)
    merci pour ton aide

    Ci dessous la log :

    Logfile of HijackThis v1.99.1
    Scan saved at 16:49:02, on 11/03/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E1B07E08-D6CC-4119-B7F2-5CC61FF2B6E0}: NameServer = 192.168.254.254
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    ok, merci

    ¤ Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/search?q=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    ¤ Désactive le pare-feu de Windows (SP2) il ne sert à rien puis installe celui-ci pour plus de sécurité

    Kerio (pare-feu) : reste gratuit après la période d'essai en français
    ----> http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html

    Regarde ce tutoriel si tu as besoin d'aide pour l'installation, la configuration et compréhension de Kerio
    --> http://kerio.probb.fr/Systemesd-exploitation-c1/Logiciels-et-tutoriels-gratuits-tries-par-categorie-f6/Tutoriel-pour-Kerio-43635-t248.htm

    Plus d'info :
    ->https://kerio.probb.fr/

    Pour éviter des problèmes à l'avenir, je pense qu'il serait bien de créer un compte limité pour ton fils ça évitera certains désagrément, si ça t'intéresse :
    https://kerio.probb.fr/t231-compte-administrateur-danger-xp-et-vista

    Si tu as des questions ou autres problème, n'hésite pas ;-)
    0
    1. LoLau Messages postés 44 Statut Membre 1
       
      désolé pour la réponse tardive,

      merci pour ton aide et je prends note de tes propositions

      a+
      0