Sujet Précédent Sujet Suivant

Tentative de modif du registre continuelle ..

Bjornbjorn Messages postés 13 Statut Membre -
afideg Messages postés 10970 Statut Contributeur sécurité - 28 mars 2007 à 19:13

Bonsoir, mon problème est le suivant :
Tout d'abord, des pages internet se lancent toutes seules et vont vers des sites de peuso-nettoyage de virus, ou encore vers des sites de casino...
J'ai alors installé Spybot qui m'a immédiatement averti d'une tentative de modification du registre à savoir "lbfezxnsqg" et il s'avère que Spybot m'affiche sans arret des alertes depuis que j'ai bloqué cette tentative, ce qui est très genant. Les pop up des sites douteux apparaissent toujours.
J'ai alors décidé de faire un rapport Hijackthis, mais comme je ne sais pas l'analyser, je vous le montre en espérant que vous pourrez m'aider :

Logfile of HijackThis v1.99.1
Scan saved at 20:11:31, on 24/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\McAfee\MSK\MskAgent.exe
C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\Program Files\Mcafee\MWL\MWLGui.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
C:\WINDOWS\system32\acovcnt.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\MPS\mps.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Program Files\McAfee\MPS\mpsevh.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\SiteAdvisor\6028\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Mcafee\MWL\MwlSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\alg.exe
c:\program files\mcafee\msc\mcshell.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.asus.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6028\SiteAdv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll
O2 - BHO: McAfee Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\program files\mcafee\mps\mcpopup.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6028\SiteAdv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ACMON] C:\Program Files\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [MskAgentexe] C:\Program Files\McAfee\MSK\MskAgent.exe
O4 - HKLM\..\Run: [MWLExe] C:\Program Files\Mcafee\MWL\MWLGui.exe /Start
O4 - HKLM\..\Run: [SiteAdvisor] C:\Program Files\SiteAdvisor\6021\SiteAdv.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\6028\SiteAdv.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\FICHIE~1\McAfee\EmProxy\emproxy.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: McAfee Wireless Network Security Service (MWLSvc) - McAfee, Inc. - C:\Program Files\Mcafee\MWL\MwlSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program Files\SiteAdvisor\6028\SAService.exe

Merci de prendre un peu de temps pour mon cas ...

Olivier.

Afficher la suite

A voir également:

Tentative de modif du registre continuelle ..
Editeur de registre - Guide
Suivi de modification word - Guide
Modificateur de voix - Guide
Un mot est caché dans l’en-tête du document. pour le trouver, modifiez sa couleur. - Forum Word
Un mot est caché dans l'en-tête du document. pour le trouver, modifiez sa couleur. ✓ - Forum Word

25 réponses

Réponse 1 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir BB..

1°- Prends connaissance du contenu suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisation du programme BlackLight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
« Fichier » > "Enregistrer la cible (du lien) sous... " > et enregistre-le "sur ton bureau".
Fais un clic droit sur "navilog1.zip" et choisis "tout extraire"
Fais l'extraction dans un dossier propre à lui ( je le fais sur le bureau )
Ensuite double-clic sur "navilog1.bat " ( qui est donc sur ton bureau )
Laisse-toi guider. Au menu principal, choisis 1 et valide.
( ne fais pas le choix 2,3 ou 4 sans notre avis/accord )
Patiente jusqu'au message : *** Analyse : Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copier/coller l'intégralité dans une réponse.
Referme le bloc-notes.

Merci

Al.

Réponse 2 / 25

Bjornbjorn Messages postés 13 Statut Membre

Voici le résultat de la recherche :

Search Navipromo version 1.0.7 commencé le 24/03/2007 à 22:01:23,37

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\myst\Bureau\navilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\myst\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\lbfezxnsqg.dat
C:\windows\system32\lbfezxnsqg.exe
c:\WINDOWS\system32\lbfezxnsqg_nav.dat
c:\WINDOWS\system32\lbfezxnsqg_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\lbfezxnsqg.exe

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-300704721-4195175029-2763086382-1005\Software\Lanconfig trouvé !

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
C:\WINDOWS\system32\lbfezxnsqg.dat trouvé !
**
C:\WINDOWS\system32\lbfezxnsqg.dat trouvé !
***
****
C:\WINDOWS\system32\lbfezxnsqg_navps.dat trouvé !
*****
******
*******
********
C:\WINDOWS\system32\lbfezxnsqg.exe trouvé !

*** Analyse Terminé le 24/03/2007 à 22:03:06,62 ***

Réponse 3 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

OK

Pour la suite, tu n’auras pas accès à Internet, ni donc à CCM ; copie ou imprime donc la procédure suivante pour ne rien oublier .

2°- Redémarrer en mode sans échec
:< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

C-à-d.
-Redémarrer votre ordinateur, et dès que les premières lignes apparaissent, « mitrailler » ( = cliquer à répétition ) la touche F8 de façon à ce qu’un menu apparaisse.
-Sélectionner à l’aide des flèches « Mode sans échec » et appuyer sur [Enter].

Double clique sur navilog1.bat
Laisse-toi guider. Au menu principal, choisis 2 et valide
Laisse toi guider et réponds aux questions éventuelles
Ton bureau va disparaître, c'est normal.
Patiente jusqu'au message :
*** Nettoyage Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver ( « fichier » > « enregistrer sous » > choisis « bureau » )
Referme le bloc-notes. Ton bureau va réapparaître
Redémarre normalement et copier/coller l'intégralité dans une réponse.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau

•Puis, clic sur "Démarrer"/"panneau de configuration"/"options internet"
- onglet "Contenu" puis bouton [Certificats...] et si tu trouves ceci, en particulier dans [Éditeurs ... approuvés], (mais regarde ailleurs aussi) : electronic-group, egroup, Montorgueil
VIP, "Sunny Day Design Ltd" ... , tu les supprimes.

ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >

Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.

Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >

•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

Merci
Al.

Réponse 4 / 25

Bjornbjorn Messages postés 13 Statut Membre

Clean Navipromo version 1.0.7 commencé le 24/03/2007 à 22:19:26,78

Fix lancé depuis C:\Documents and Settings\myst\Bureau\navilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression automatique avec prise en charge résultats Blacklight

*** Creation backups fichiers scan Blbeta ***

Copie vers "C:\Documents and Settings\myst\Bureau\navilog1\Backupnavi"

*** Suppression des fichiers trouvés avec Blbeta ***

c:\WINDOWS\system32\lbfezxnsqg.dat supprimé !
C:\windows\system32\lbfezxnsqg.exe supprimé !
c:\WINDOWS\system32\lbfezxnsqg_nav.dat supprimé !
c:\WINDOWS\system32\lbfezxnsqg_navps.dat supprimé !

** 2ème passage **

C:\WINDOWS\system32\lbfezxnsqg.exe absent !
C:\WINDOWS\system32\lbfezxnsqg.dat absent !
C:\WINDOWS\system32\lbfezxnsqg_nav.dat absent !
C:\WINDOWS\system32\lbfezxnsqg_navps.dat absent !
C:\WINDOWS\system32\lbfezxnsqg_navup.dat absent !
C:\WINDOWS\system32\lbfezxnsqg_navtmp.dat absent !
C:\WINDOWS\system32\lbfezxnsqg_m2s.xml absent !

C:\WINDOWS\prefetch\lbfezxnsqg*.pf trouvé !
Copie C:\WINDOWS\prefetch\lbfezxnsqg*.pf réalisé avec succès !
C:\WINDOWS\prefetch\lbfezxnsqg*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression...
C:\Program Files\MessengerSkinner supprimé !

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\myst\Application Data ***

...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\myst\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalisée avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

*** Nettoyage termine le 24/03/2007 à 22:20:20,85 ***

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

OK

Supprime Navifix/navilog1 ( outil devenu inutile ).

Quand tu auras fini et posté le log de PANDA, lance une recherche sur " MessengerSkinner ", et supprime-le partout où tu le trouves; y compris dans "Panneau de configuration" > " Ajout/suppress de Program ".

RAS dans le log HJT .

Merci
Al.

Réponse 6 / 25

Bjornbjorn Messages postés 13 Statut Membre

Log de Panda :

Incident Statut Analyse

Adware:adware/statblaster No Désinfecté Registre Windows
Adware:adware/sbsoft No Désinfecté Registre Windows
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.247realmedia.com/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Adtech No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.adtech.de/]
Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.tradedoubler.com/]
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.doubleclick.net/]
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.bluestreak.com/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.atdmt.com/]
Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.smartadserver.com/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.drivecleaner.com/]
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[drivecleaner.com/]
Spyware:Cookie/DriveCleaner No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[stats.drivecleaner.com/]
Spyware:Cookie/Reliablestats No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[stats1.reliablestats.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.weborama.fr/]
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.systemdoctor.com/]
Spyware:Cookie/Systemdoctor No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[www.systemdoctor.com/]
Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[ad.yieldmanager.com/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.advertising.com/]
Spyware:Cookie/FastClick No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.fastclick.net/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.advertising.com/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.realmedia.com/]
Spyware:Cookie/adultfriendfinder No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.adultfriendfinder.com/]
Spyware:Cookie/Azjmp No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.azjmp.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.serving-sys.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.bs.serving-sys.com/]
Spyware:Cookie/Hbmediapro No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.adopt.hbmediapro.com/]
Spyware:Cookie/Comclick No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[fl01.ct2.comclick.com/]
Spyware:Cookie/BurstNet No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[.burstnet.com/]
Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cookies.txt[statse.webtrendslive.com/]
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\myst\Bureau\navilog1\Backupnavi\lbfezxnsqg.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\myst\Bureau\navilog1\navilog1.zip[Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\myst\Bureau\navilog1\Process.exe
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\myst\Cookies\myst@xiti[1].txt

Réponse 7 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonjour Bjornbjorn

C'est bon.

1°- Question: As-tu lancé PANDA avant ou après avoir supprimé Navifix/navilog1 ?

2° Tu dois faire ça tous les jours : Nettoyage des fichiers inutiles.

Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]; fais la même chose avec [supprimer les fichiers... ]: < http://img221.imageshack.us/img221/416/screenshot273cl3.gif >.
Faire ça tous les jours.

Le mieux, télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 >
Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > , et le lancer tous les jours quand tu quittes le PC.

3°- Télécharge le script "Silent Runners"

clic droit > sur le lien suivant :
https://www.silentrunners.org/Silent%20Runners.vbs
"enregistrer la cible sous" choisir le « bureau
Double clic gauche sur l’icône "SilentRunners.vbs" du bureau
[ouvrir] clic sur "Yes" puis sur "OK"
( clique ensuite 2 fois sur "yes" )
Laisse-lui le temps de faire son analyse (compte une minute, montre en main)

À la fin, tu obtiens ce message < http://img130.imageshack.us/img130/1323/screenshot247yd1.gif >
poste le rapport généré " Startup Programs " qui se trouve dans le même dossier que Silent Runners... ( mais il est déjà sur ton bureau ainsi < http://img266.imageshack.us/img266/6684/screenshot248hr2.gif > )

Si ton antivirus s'affole, autorise ce script. Ou au pire, désactive-le juste le temps du téléchargement et du scan. Ce script n'est pas dangereux.

4°- Termine par ceci SVP
Fais un scan en ligne avec< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >

Sous < https://www.informatruc.com >, on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner : « Exécuter l'analyse en ligne » .
Le scan ne marche que sous Internet Explorer.

Le scan va commencer.
Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >
Clic sur « J'accepte » ( ou I agree )
On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )
Tu attends que la mise à jour se termine ( patiente ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur Poste de travail pour faire un scan complet

Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le

Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3

Ça peut durer plus d'1 heure.
Patiente

Bon dimanche
À tantôt
Al.

Réponse 8 / 25

Bjornbjorn Messages postés 13 Statut Membre

Rapport Silent Runners :

"Silent Runners.vbs", revision R50, https://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"SuperCopier2.exe" = "C:\Program Files\SuperCopier2\SuperCopier2.exe" ["SFX TEAM"]
"SpybotSD TeaTimer" = "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"HControl" = "C:\WINDOWS\ATK0100\HControl.exe" [empty string]
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"SMSERIAL" = "C:\WINDOWS\sm56hlpr.exe" ["Motorola Inc."]
"SigmatelSysTrayApp" = "stsystra.exe" ["SigmaTel, Inc."]
"ASUS Live Update" = "C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [empty string]
"Wireless Console 2" = "C:\Program Files\Wireless Console 2\wcourier.exe" [null data]
"ATKMEDIA" = "C:\Program Files\ASUS\ATK Media\DMEDIA.EXE" ["ASUSTeK Computer INC."]
"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"ABLKSR" = "C:\WINDOWS\ABLKSR\ABLKSR.exe" ["ASYSTeK Computer INC."]
"RemoteControl" = ""C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"" ["Cyberlink Corp."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Power_Gear" = "C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1" ["ASUSTeK Computer Inc."]
"ACMON" = "C:\Program Files\ASUS\Splendid\ACMON.exe" ["ATK"]
"IntelZeroConfig" = ""C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"" ["Intel Corporation"]
"IntelWireless" = ""C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless" ["Intel Corporation"]
"EOUApp" = ""C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"" ["Intel Corporation"]
"MskAgentexe" = "C:\Program Files\McAfee\MSK\MskAgent.exe" ["McAfee Inc."]
"MWLExe" = "C:\Program Files\Mcafee\MWL\MWLGui.exe /Start" ["McAfee, Inc."]
"SiteAdvisor" = "C:\Program Files\SiteAdvisor\6021\SiteAdv.exe" [file not found]
"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{089FD14D-132B-48FC-8861-0048AE113215}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\SiteAdvisor\6028\SiteAdv.dll" ["McAfee, Inc."]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{7DB2D5A0-7241-4E79-B68D-6309F01C5231}\(Default) = "scriptproxy"
-> {HKLM...CLSID} = "scriptproxy"
\InProcServer32\(Default) = "c:\PROGRA~1\mcafee\VIRUSS~1\scriptcl.dll" ["McAfee, Inc."]
{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}\(Default) = "McAfee Popup Blocker"
-> {HKLM...CLSID} = "CPub Object"
\InProcServer32\(Default) = "c:\program files\mcafee\mps\mcpopup.dll" ["McAfee, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Mes dossiers de partage"
\InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.0.0812.00.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
MCVSRIGHTCLICKSCANNER\(Default) = "{162EFDC5-2957-465D-887B-590AF4A7E84D}"
-> {HKLM...CLSID} = "McVSRightclickScanner Class"
\InProcServer32\(Default) = "c:\PROGRA~1\mcafee\VIRUSS~1\mcodsax.dll" ["McAfee, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
MCVSRIGHTCLICKSCANNER\(Default) = "{162EFDC5-2957-465D-887B-590AF4A7E84D}"
-> {HKLM...CLSID} = "McVSRightclickScanner Class"
\InProcServer32\(Default) = "c:\PROGRA~1\mcafee\VIRUSS~1\mcodsax.dll" ["McAfee, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]

Enabled Scheduled Tasks:
------------------------

"McQcTask" -> launches: "c:\program files\mcafee\mqc\QcConsol.exe 4158 0" ["McAfee, Inc."]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{0BF43445-2F28-4351-9252-17FE6E806AA0}" = "McAfee SiteAdvisor"
-> {HKLM...CLSID} = "McAfee SiteAdvisor"
\InProcServer32\(Default) = "C:\Program Files\SiteAdvisor\6028\SiteAdv.dll" ["McAfee, Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=https://www.asus.com/fr/
[Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f"

Missing lines (compared with English-language version):
[Strings]: 2 lines

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Diskeeper, Diskeeper, ""C:\Program Files\Executive Software\Diskeeper\DkService.exe"" ["Executive Software International, Inc."]
Intel(R) PROSet/Wireless Event Log, EvtEng, "C:\Program Files\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"]
Intel(R) PROSet/Wireless Registry Service, RegSrvc, "C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"]
Intel(R) PROSet/Wireless Service, S24EventMonitor, "C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "]
McAfee HackerWatch Service, McAfee HackerWatch Service, ""C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe"" ["McAfee, Inc."]
McAfee Network Agent, McNASvc, ""c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe"" ["McAfee, Inc."]
McAfee Personal Firewall Service, MpfService, ""C:\Program Files\McAfee\MPF\MPFSrv.exe"" ["McAfee, Inc."]
McAfee Privacy Service, MPS9, "C:\PROGRA~1\McAfee\MPS\mps.exe" ["McAfee, Inc."]
McAfee Protection Manager, mcpromgr, "C:\PROGRA~1\McAfee\MSC\mcpromgr.exe" ["McAfee, Inc."]
McAfee Proxy Service, McProxy, "c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe" ["McAfee, Inc."]
McAfee Real-time Scanner, McShield, "C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe" ["McAfee, Inc."]
McAfee Redirector Service, McRedirector, "c:\PROGRA~1\FICHIE~1\mcafee\redirsvc\redirsvc.exe" ["McAfee, Inc."]
McAfee Scanner, McODS, "C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe" ["McAfee, Inc."]
McAfee Services, mcmscsvc, "C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe" ["McAfee, Inc."]
McAfee SpamKiller Service, MSK80Service, ""C:\Program Files\McAfee\MSK\MskSrver.exe"" ["McAfee Inc."]
McAfee SystemGuards, McSysmon, "C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe" ["McAfee, Inc."]
McAfee Wireless Network Security Service, MWLSvc, "C:\Program Files\Mcafee\MWL\MwlSvc.exe" ["McAfee, Inc."]
Service Messenger Sharing USN Journal Reader, usnsvc, "C:\WINDOWS\system32\svchost.exe -k usnsvc" {"C:\Program Files\MSN Messenger\usnsvc.dll" [MS]}
SiteAdvisor Service, SiteAdvisor Service, "C:\Program Files\SiteAdvisor\6028\SAService.exe" ["McAfee, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 22 seconds, including 2 seconds for message boxes)

Réponse 9 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

Oui, c'est bon.
Sauf un petit défaut sur McAfee ici : C:\Program Files\SiteAdvisor\6021\SiteAdv.exe" [file not found] ; mais qui semble insignifiant.
Peut-être faire une mise à jour de ton McAfee ?

RAPPEL:
Question: As-tu lancé PANDA avant ou après avoir supprimé Navifix/navilog1 ?

Kaspersky Online Scanner est-il en cours ?

Bon dimanche
Al.

Réponse 10 / 25

Bjornbjorn Messages postés 13 Statut Membre

Rapport Kaspersky :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, March 25, 2007 1:45:15 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 25/03/2007
Enregistrements dans la base antivirus Kaspersky : 285863
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\

Statistiques de l'analyse:
Total d'objets analysés: 22360
Nombre de virus trouvés: 1
Nombre d'objets infectés: 1 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:36:14

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\McAfee\MNA\NAData L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MPF\data\log.edb L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MPF\data\tempIpRules.xdb L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\Logs\Events.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\Logs\{8EEB50FB-5093-4C4D-BC18-43CE77D48233}.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSC\McUsers.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSK\MSKWMDB.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSK\RBLDB.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MSK\settingsdb.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MWL\myst-PrestoGui_2007-03-25.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MWL\SYSTEM-apconfig_2007-03-25.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MWL\SYSTEM-netlib_2007-03-25.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\MWL\SYSTEM-PrestoSvc_2007-03-25.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Data\TFR2.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\McAfee\VirusScan\Logs\OAS.Log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\formhistory.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\webappsstore.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Application Data\SiteAdvisor\SiteAdv.csh L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Messenger\frostedrakkar@hotmail.com\SharingMetadata\Logs\Dfsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Messenger\frostedrakkar@hotmail.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Messenger\frostedrakkar@hotmail.com\SharingMetadata\Working\database_E50_6241_5062_2F9F\dfsr.db L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Messenger\frostedrakkar@hotmail.com\SharingMetadata\Working\database_E50_6241_5062_2F9F\fsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Messenger\frostedrakkar@hotmail.com\SharingMetadata\Working\database_E50_6241_5062_2F9F\fsrtmp.log L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Messenger\frostedrakkar@hotmail.com\SharingMetadata\Working\database_E50_6241_5062_2F9F\tmp.edb L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Windows Live Contacts\frostedrakkar@hotmail.com\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Microsoft\Windows Live Contacts\frostedrakkar@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Application Data\Mozilla\Firefox\Profiles\fcvpju3d.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Historique\History.IE5\MSHist012007032520070326\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Temp\~DF5010.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Temp\~DF53DE.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Temp\~DFB5E7.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Temp\~DFB5F8.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\myst\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\myst\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\myst\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{86C4AB9A-CCC8-4532-AFC1-30A1AD396220}\RP26\A0006188.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré
C:\System Volume Information\_restore{86C4AB9A-CCC8-4532-AFC1-30A1AD396220}\RP26\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{B7C85049-476A-469A-AD9D-FAE3800E479F}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\mcafee_3234DbwVVHQslZ8 L'objet est verrouillé ignoré
C:\WINDOWS\Temp\mcafee_ILUUgI6pEhnnmEt L'objet est verrouillé ignoré
C:\WINDOWS\Temp\mcmsc_1QbLzpffb824vlp L'objet est verrouillé ignoré
C:\WINDOWS\Temp\mcmsc_70DZKr2ZAwrUUUI L'objet est verrouillé ignoré
C:\WINDOWS\Temp\mcmsc_hFcdJeBxCJimyYn L'objet est verrouillé ignoré
C:\WINDOWS\Temp\mcmsc_ZubLXb9p1jN0ARv L'objet est verrouillé ignoré
C:\WINDOWS\Temp\sqlite_BBHoxHvRYuxg5oq L'objet est verrouillé ignoré
C:\WINDOWS\Temp\sqlite_igIdE2unBzcecyk L'objet est verrouillé ignoré
C:\WINDOWS\Temp\sqlite_JYtCwaLfoAOzoFa L'objet est verrouillé ignoré
C:\WINDOWS\Temp\sqlite_lFK84jZRTkV6SlE L'objet est verrouillé ignoré
C:\WINDOWS\Temp\sqlite_rbeEcSK8VB8kqfC L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{86C4AB9A-CCC8-4532-AFC1-30A1AD396220}\RP26\change.log L'objet est verrouillé ignoré

Analyse terminée.

Réponse 11 / 25

Bjornbjorn Messages postés 13 Statut Membre

J'ai lancé PANDA avant de supprimer Navifix/navilog1, après quoi j'ai lancé le scan de Kaspersky.

Réponse 12 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

1°- Télécharger OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )

3°- Redémarrer le PC

4°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )

5°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller le chemin exact du fichier que tu veux supprimer :
C:\System Volume Information\_restore{86C4AB9A-CCC8-4532-AFC1-30A1AD396220}\RP26\A0006188.exe
-dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ".
-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur Exit pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.

( Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes. )

Poste-le SVP, merci

Al.

Réponse 13 / 25

Bjornbjorn Messages postés 13 Statut Membre

Apparement il ne trouve pas l'éxecutable :

File/Folder C:\System Volume Information\restore{86C4AB9A-CCC8-4532-AFC1-30A1AD396220}\RP26\A0006188.exe not found.

Created on 03/25/2007 14:21:04

Réponse 14 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,

Supprime SilentRunners et OTMoveIt (de Old_Timer)

As-tu bien fait la restauration système de la procédure ?

Pour se convaincre ( de la suppression de A0006188.exe ), et si tu as le temps, il faudra relancer un ScanOnlineKaspersky, pour vérifier si cette ligne est toujours présente : C:\System Volume Information\_restore{86C4AB9A-CCC8-4532-AFC1-30A1AD396220}\RP26\A0006188.exe.

Merci
Je crois que tout est nettoyé.
As-tu encore les soucis objets de ce topic ?
Al.

Réponse 15 / 25

Bjornbjorn Messages postés 13 Statut Membre

Après avoir refait un dernier ScanOnlineKaspersky, aucun virus apparent, et dans le rapport la ligne en question ne figure pas.
Pour l'instant, aucun problème n'est survenu.

Merci de m'avoir aidé !

Olivier

Réponse 16 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Re,
Bonjour Olivier,

Merci pour cette conclusion ( c'est la restauration système qui l'a effacée - qui a supprimé l'infection que "system volume information" contenait - )

Crèe un nouveau point de restauration, vois comment :
< http://perso.orange.fr/jesses/Docs/Bases/CreerRestaur.htm >
< http://www.aidoforum.com/tutoriaux-371-creer-un-point-de-restauration-sous-windows.html >
< https://www.vulgarisation-informatique.com/creer-point-restauration.php >

C'est essentiel

Bonne continuation
Al.

Réponse 17 / 25

Bjornbjorn Messages postés 13 Statut Membre

Merci beaucoup, j'ai un autre soucis informatique, je profite pour vous demander à nouveau de m'aider, j'ai en fait à peu de choses près les mêmes problèmes sur une autre machine, se trouvant dans une autre maison.
J'y suis actuellement, et je constate ici aussi des tentatives de modification de la base de registre en continue ... en particulier l'apparation d'un keylogger ce qui m'inquiete compte tenu des informations personnelles que je stocke.
J'ai déja fait une recherche navilog, je suis ensuite passé en mode sans échec pour faire une désinfection automatique ...
Mais ca ne change rien comme je m'en doutais un peu.
Je ne sais pas analyser un rapport Hijackthis par exemple, je vous le donne ci-dessous :

Logfile of HijackThis v1.99.1
Scan saved at 17:42:16, on 26/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\acs.exe
F:\WINDOWS\system32\dllhost.exe
F:\Program Files\Executive Software\Diskeeper\DkService.exe
f:\program files\mcafee.com\agent\mcdetect.exe
f:\PROGRA~1\mcafee.com\vso\mcshield.exe
f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
F:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
F:\WINDOWS\RTHDCPL.EXE
F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
F:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
F:\PROGRA~1\mcafee.com\agent\mcagent.exe
F:\Program Files\McAfee.com\VSO\mcvsshld.exe
F:\Program Files\McAfee.com\VSO\oasclnt.exe
F:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
F:\Program Files\Serv-U\ServUDaemon.exe
F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
F:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
f:\progra~1\mcafee.com\vso\mcvsescn.exe
F:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
F:\Program Files\Winamp\winampa.exe
F:\Program Files\MessengerPlus! 3\MsgPlus.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\Google\Google Talk\googletalk.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
F:\Program Files\WinTV\Ir.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
f:\progra~1\mcafee.com\vso\mcvsftsn.exe
F:\Program Files\CASIO\Photo Loader\Plauto.exe
F:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
F:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
F:\WINDOWS\system32\wscntfy.exe
F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
F:\Program Files\Mozilla Firefox 2 Beta 1\firefox.exe
F:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Documents and Settings\Bjorn\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - f:\program files\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - f:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X Configure] F:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [ATICCC] "F:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MPFExe] F:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] f:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] f:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "F:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] F:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] F:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] F:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] F:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ai Quicker Help] "F:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnsyslog] F:\WINDOWS\msnlogm.exe
O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "F:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "F:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [googletalk] "F:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [ServUTrayIcon] F:\Program Files\Serv-U\ServUTray.exe
O4 - HKCU\..\Run: [eMuleAutoStart] F:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: AutoStart IR.lnk = F:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: NETGEAR WPN311 Wireless Assistant.lnk = F:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O4 - Global Startup: Supervision de Photo Loader.lnk = F:\Program Files\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - f:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - f:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'f:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11D5C3A6-F105-44E0-B197-45CE75D5BC58}: NameServer = 194.117.200.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - F:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - F:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - f:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - f:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - F:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - F:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - F:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - F:\Program Files\Serv-U\ServUDaemon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Moi qui pensais m'etre débarrassé de cet embarras :)

puis voici le rapport de navilog :

Search Navipromo version 1.0.7 commencé le 26/03/2007 à 8:49:45,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis F:\Documents and Settings\Bjorn\Bureau\navilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans F:\WINDOWS ***

*** Recherche dossiers dans F:\Program Files ***

*** Recherche dossiers dans F:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans F:\Documents and Settings\Bjorn\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1055.

[+] Started on 03/26/07 at 08:49:46.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .....................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 03/26/07 at 08:53:54 (return code = 0).

*** Recherche fichiers ***

*** Recherche cles registre ***

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

*** Analyse Terminé le 26/03/2007 à 8:54:06,23 ***

et voici le rapport après désinfection :

Clean Navipromo version 1.0.7 commencé le 26/03/2007 à 12:30:47,48

Fix lancé depuis F:\Documents and Settings\Bjorn\Bureau\navilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode sans echec

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans F:\WINDOWS ***

*** Suppression dossiers dans F:\Program Files ***

*** Suppression dossiers dans F:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans F:\Documents and Settings\Bjorn\Application Data ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu F:\WINDOWS\Temp effectué !
Nettoyage contenu F:\Documents and Settings\Bjorn\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalisée avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

*** Nettoyage termine le 26/03/2007 à 12:32:21,64 ***

Enfin, après analyse, Ad-aware trouve SpyArsenal HomeKeylogger, qui revient sans cesse.
Je n'arrive pas a le supprimer...

Réponse 18 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

Bonsoir Olivier,

Fais ceci SVP

A)- Nettoyage des fichiers inutiles

Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer le cookies...]; fais la même chose avec [supprimer les fichiers... ]: < http://img221.imageshack.us/img221/416/screenshot273cl3.gif >.
Faire ça tous les jours.

Le mieux, télécharger : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 >
Tuto < http://mickael.barroux.free.fr/securite/tutoatfcleaner.html > , et le lancer tous les jours quand tu quittes le PC.

B)- Donc, et puisqu'il nous faut désinfecter un maximum avant de poursuivre quoique ce soit, fais ceci:

Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >
< http://img366.imageshack.us/img366/4891/screenshot132nd7.gif >

Tutorial :- < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
ou < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >

Tu enregistres le fichier dans un dossier.
A la fin du téléchargement.
Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours.
Tu ouvres le dossier et tu doubles clic sur "avgas-setup-7.5.0.47.exe".
Tu suis les instructions.
Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.
Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour).
Tu redémarres l'ordinateur si nécessaire.

Sur la page "analyse":
•- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer » < http://bp3.blogger.com/... >
- tu coches à droite "générer un rapport après chaque analyse" et décoches "uniquement en cas de menaces".
•- tu choisis l'onglet "analyser", "nouvelle analyse", "analyse complète du système".
A la fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions"
puis "enregistrer le rapport" puis "enregistrer le rapport sous...".
Tu suis les instructions dans la fenêtre qui s'ouvre.

Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

C)- Procédure BFU

1°-Les manipulations qui vont suivre sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

2°- Télécharger Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créer un "nouveau dossier" directement sur le "C:\" et "nomme-le BFU".
Décompresse le « fichier téléchargé » dans ce « nouveau dossier » (C:\BFU)

Aide en image pour la suite (ne pas tenir compte des noms, c'est juste à titre indicatif) ici :
< https://forum.pcastuces.com/default.asp > à la lettre N ) Installer Brute Force Uninstaller

- FAIRE CLIC-DROIT sur le lien suivant :
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisir "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
Enregistrer dans le dossier créé (C:\BFU).
Note : Avec Internet Explorer comme navigateur, lors de la sauvegarde, s’assurer que le champ "Type" affiche : "Tous les fichiers". Il y a maintenant deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important). < http://img113.imageshack.us/img113/8528/screenshot167ui9.gif > ( et d'autres fichiers qui auraient pu être demandés )

- FAIRE CLIC-DROIT sur le lien suivant :
http://perso.orange.fr/Chercheur-perso/scripts/toolbar.bfu
et choisir "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu (de Chercheur).
Enregistrer dans le dossier créé (C:\BFU).
Note : Avec Internet Explorer comme navigateur ,lors de la sauvegarde, s’assurer que le champ "Type :" affiche "Tous les fichiers". Il y a maintenant deux fichiers dans le dossier C:\BFU : Toolbar.bfu et BFU.exe (très important).

- FAIRE CLIC-DROIT sur le lien suivant http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu
et choisir "Enregistrer la cible sous..." afin de télécharger Winsoftware.bfu (de Lazzzy).
Enregistrer dans le dossier créé (C:\BFU).

-Télécharge Navipromo07H.zip ici: - < http://www.alt-shift-return.org/Fichiers/Navipromo07H.zip > et décompresse-le sur le bureau.

3°- Note : Avec Internet Explorer comme navigateur, lors de la sauvegarde, s’assurer que le champ « Type » affiche : "Tous les fichiers". Il y a maintenant ces fichiers dans le dossier C:\BFU : Winsoftware.bfu,BFU.exe, Toolbar.bfu et EGDACCESS.bfu (très important).

4°- Redémarrer en mode Sans Échec : Regarde ici pour exécuter le mode sans échec, sans stresser :
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
-Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.
-Choisir son compte usuel, et non pas « Administrateur ».

5°- Lancer HJT ( scan seulement ), cocher la case devant ces lignes :
-O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
-O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
-O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

6°- Lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

- Relance l'outil Navipromo.bat , Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

7°- Démarrer le "Brute Force Uninstaller" en double-cliquant " BFU.exe " (du dossier C:\BFU)
•- Clic "Démarrer" > "Poste de Travail" > C:\ > ouvrir le dossier jaune "bfu"
Démarre le "Brute Force Uninstaller" en double-cliquant sur "BFU.exe" .

--- Cliquer sur le petit dossier jaune, à la droite de la boîte « Scriptline to execute », et double-cliquer sur : EGDACCESS.bfu

Dans la boîte "Scriptline to execute", on a maintenant ceci : C:\BFU\EGDACCESS.bfu
Cliquer sur « Execute » et laisser-le faire son travail.
Attendre que « Complete script execution » apparaisse et cliquer sur OK.

--- Cliquer sur le petit dossier jaune, à la droite de la boîte « Scriptline to execute », et double-cliquer sur : toolbar.bfu

Dans la boîte "Scriptline to execute", on a maintenant ceci : C:\BFU\toolbar.bfu
Cliquer sur « Execute » et laisser-le faire son travail.
Attendre que « Complete script execution » apparaisse et cliquer » sur OK.

--- Clique sur le petit dossier jaune, à la droite de la boîte « Scriptline to execute », et double-cliquer sur : Winsoftware.bfu

Dans la boîte "Scriptline to execute", on a maintenant ceci : C:\BFU\Winsoftware.bfu
Cliquer sur « Execute » et laisser-le faire son travail.
Attendre que « Complete script execution » apparaisse et cliquer sur OK.

- Cliquer "Exit" pour fermer le programme BFU.

8°- - Clique sur Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

9°- - Redémarre normalement , et lance un nettoyage par ATF-Cleaner.

10°- Poste un nouveau hijackthis avec le rapport situé ici C:\egd.txt et le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

D)- Fais ensuite un ScanOnline chez Bitdefender ( antivirus ):
http://www.bitdefender.fr/bd/site/page.php ou https://www.bitdefender.fr/
( fonctionne uniquement sous Internet Explorer en acceptant l’ activeX)

* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree" (Accepte la licence )
* Accepter et installer le contrôle des ActivesX
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, patienter.
Le scan s'effectue.
À la fin, (sauvegarder le rapport au format TEXTE svp. merci)
Clic sur "Enregistrer sous..." > enregistrer le rapport au format .txt ( en "nom" mettre "rapport BitD" par exemple ; et en "type" choisir "fichier texte" (*.txt) > ouvrir le fichier sauvegardé > copier/coller le rapport sur le forum.

Aide en image : http://pageperso.aol.fr/rginformatique/mapage/defender.htm
MALEKAL_morte < https://www.malekal.com/scan-antivirus-ligne-nod32/ >

E)- Enfin, il faut vérifier ce fichier msnlogm.exeavec VirusTotal !
Pour cela, vas là :< http://www.virustotal.com/en/virustotalx.html >

Procédure à suivre:

•- sur la page qui s'affiche tu cliques sur "parcourir"
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du ( ou des ) fichier(s)
( que Virustotal va analyser , à ta demande;
•- suivre le chemin, c'est-à-dire : en passant par "Poste de Travail" > F:\WINDOWS\\msnlogm.exe
•- quand tu as trouvé le fichier \msnlogm.exe( mis en gras, ici volontairement pour l'exemple ) ,
tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse
•- là, tu cliques sur "send" ( au-dessus, à droite de la page de Virustotal )
•- et tu attends le résultat ( sois patient )
( il faut parfois attendre son tour - si tu reçois un message contenant "queued" )
•- que tu postes sur le forum
Merci

Merci
Al.

Réponse 19 / 25

afideg Messages postés 10970 Statut Contributeur sécurité 602

EDIT

Pour Navipromo07H.zip

Le bon lien est celui-ci :

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip

Désolé
Al.

Réponse 20 / 25

Bjornbjorn Messages postés 13 Statut Membre

Rapport du scan AVG :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 00:11:53 27/03/2007

+ Résultat de l'analyse:

F:\Documents and Settings\Bjorn\Bureau\1\-[Mes Documents]-\Autres\hack hl\hllivetr.zip/HLTRAI~1.EXE -> Dropper.Small : Nettoyé.
F:\System Volume Information\_restore{EE185C5D-C6CB-4768-8CFF-EAF26AC1DB16}\RP200\A0054757.exe -> Not-A-Virus.Monitor.Win32.HomeKeyLogger.162 : Nettoyé.
F:\Documents and Settings\Bjorn\Cookies\bjorn@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
F:\Documents and Settings\Bjorn\Bureau\1\-[Mes Documents]-\Setup\clonecd\Slysoft.CloneCD.v5.2.8.1\IdPatch.exe -> Trojan.Feutel.av : Nettoyé.
F:\Documents and Settings\Bjorn\Bureau\1\-[Mes Documents]-\-[Serveur]-\--Utils\=-Tools Video-\asf encoder\Sonic_Foundry_Stream_Anywhere_v1.0c_build_180.zip/PATCH.EXE -> Trojan.Proxcrak.A : Nettoyé.

Fin du rapport

------

Nouveaux rapport Hijackthis apres suppressions :

Logfile of HijackThis v1.99.1
Scan saved at 17:38:18, on 27/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\acs.exe
F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\WINDOWS\system32\dllhost.exe
F:\Program Files\Executive Software\Diskeeper\DkService.exe
f:\program files\mcafee.com\agent\mcdetect.exe
f:\PROGRA~1\mcafee.com\vso\mcshield.exe
f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
f:\PROGRA~1\mcafee.com\vso\OasClnt.exe
F:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
F:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
f:\progra~1\mcafee.com\vso\mcvsescn.exe
f:\program files\mcafee.com\agent\mcagent.exe
F:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
F:\WINDOWS\RTHDCPL.EXE
F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
F:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
F:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
F:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
F:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
F:\Program Files\Winamp\winampa.exe
F:\Program Files\MessengerPlus! 3\MsgPlus.exe
F:\Program Files\Messenger\msmsgs.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
F:\Program Files\Serv-U\ServUDaemon.exe
F:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
F:\Program Files\Google\Google Talk\googletalk.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\ctfmon.exe
f:\progra~1\mcafee.com\vso\mcvsftsn.exe
F:\Program Files\WinTV\Ir.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\Program Files\NETGEAR\WPN311\wlancfg5.exe
F:\Program Files\CASIO\Photo Loader\Plauto.exe
F:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
F:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
F:\WINDOWS\system32\wscntfy.exe
F:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
F:\Program Files\ATI Technologies\ATI.ACE\cli.exe
F:\Program Files\Mozilla Firefox 2 Beta 1\firefox.exe
F:\Documents and Settings\Bjorn\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

F:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000}

- f:\program files\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

F:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} -

f:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X Configure] F:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [ATICCC] "F:\Program Files\ATI

Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MPFExe] F:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] f:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] F:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "F:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe"

/checktask
O4 - HKLM\..\Run: [VirusScan Online] F:\Program

Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] F:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MSKAGENTEXE] F:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] F:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe

/startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program

Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Ai Quicker Help] "F:\Program Files\ASUS\ASUS DH

Remote\AsRc.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnsyslog] F:\WINDOWS\msnlogm.exe
O4 - HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "F:\Program Files\MessengerPlus!

3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "F:\Program Files\MessengerPlus!

3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe"

/background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search &

Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [googletalk] "F:\Program Files\Google\Google

Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: AutoStart IR.lnk = F:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Program

Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: NETGEAR WPN311 Wireless Assistant.lnk = F:\Program

Files\NETGEAR\WPN311\wlancfg5.exe
O4 - Global Startup: Supervision de Photo Loader.lnk = F:\Program

Files\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -

res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

F:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program

Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} -

f:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter -

{39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - f:\program

files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program

Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'f:\program

files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF:

START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer

Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{11D5C3A6-F105-44E0-B197-45CE75D5BC58}:

NameServer = 194.117.200.10
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -

F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

F:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner -

F:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -

F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. -

F:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - F:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel

32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc -

f:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. -

f:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc -

f:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee,

Inc - F:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee

Corporation - F:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. -

F:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -

Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f

"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft - F:\Program

Files\Serv-U\ServUDaemon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division

Software - F:\Program Files\Alcohol Soft\Alcohol

120\StarWind\StarWindService.exe

------

PAR CONTRE, JE N'AI PAS REUSSI A UTILISER NAVIPROMO ET FAIRE LA RECHERCHE ET SUPPRESSION AUTOMATIQUE : J'AI UN MESSAGE ME DISANT QUE LE FICHIER NAV ... EST INTROUVABLE DANS \SYSTEM32
JE N'AI DONC PAS PU FAIRE CETTE ETAPE.

-----

BitDefender Online Scanner

Rapport d'analyse généré à: Tue, Mar 27, 2007 - 19:43:38

Voie d'analyse: A:\;D:\;E:\;F:\;G:\;H:\;I:\;

Statistiques

Temps

01:57:49

Fichiers

630385

Directoires

13007

Secteurs de boot

0

Archives

6099

Paquets programmes

43993

Résultats

Virus identifiés

4

Fichiers infectés

7

Fichiers suspects

0

Avertissements

0

Désinfectés

0

Fichiers effacés

6

Info sur les moteurs

Définition virus

408110

Version des moteurs

AVCORE v1.0 (build 2397) (i386) (Feb 8 2007 14:24:08)

Analyse des plugins

14

Archive des plugins

38

Unpack des plugins

6

E-mail plugins

6

Système plugins

1

Paramètres d'analyse

Première action

Désinfecté

Seconde Action

Supprimé

Heuristique

Oui

Acceptez les avertissements

Oui

Extensions analysées

*;

Excludez les extensions

Analyse d'emails

Oui

Analyse des Archives

Oui

Analyser paquets programmes

Oui

Analyse des fichiers

Oui

Analyse de boot

Oui

Fichier analysé

Statut

F:\Documents and Settings\Bjorn\Bureau\1\--A Trier\Cain&Abel.exe=>wise0026

Infecté par: Virtool.Cain.A

F:\Documents and Settings\Bjorn\Bureau\1\--A Trier\Cain&Abel.exe=>wise0026

Echec de la désinfection

F:\Documents and Settings\Bjorn\Bureau\1\--A Trier\Cain&Abel.exe=>wise0026

Supprimé

F:\Documents and Settings\Bjorn\Bureau\1\--A Trier\Cain&Abel.exe

Echec de la mise à jour

F:\Documents and Settings\Bjorn\Bureau\1\--A Trier\groupblocker.exe

Infecté par: DeepScan:Generic.Kelvir.34876CA2

F:\Documents and Settings\Bjorn\Bureau\1\--A Trier\groupblocker.exe

Echec de la désinfection

F:\Documents and Settings\Bjorn\Bureau\1\--A Trier\groupblocker.exe

Supprimé

F:\Documents and Settings\Bjorn\Bureau\1\-[Mes Documents]-\Setup\NWNK-iRC.rar=>NWNK-iRC\mirc32.exe

Infecté par: Backdoor.Irc.Zapchast.MN

F:\Documents and Settings\Bjorn\Bureau\1\-[Mes Documents]-\Setup\NWNK-iRC.rar=>NWNK-iRC\mirc32.exe

Echec de la désinfection

F:\Documents and Settings\Bjorn\Bureau\1\-[Mes Documents]-\Setup\NWNK-iRC.rar=>NWNK-iRC\mirc32.exe

Supprimé

F:\Documents and Settings\Bjorn\Bureau\1\-[Mes Documents]-\Setup\NWNK-iRC.rar

Echec de la mise à jour

F:\Program Files\Cain\Abel.exe

Infecté par: Virtool.Cain.A

F:\Program Files\Cain\Abel.exe

Echec de la désinfection

F:\Program Files\Cain\Abel.exe

Supprimé

F:\Program Files\Serv-U\ServUDaemon.exe

Infecté par: Trojan.Dropper.APX

F:\Program Files\Serv-U\ServUDaemon.exe

Echec de la désinfection

F:\Program Files\Serv-U\ServUDaemon.exe

Echec de la suppression

F:\System Volume Information\_restore{EE185C5D-C6CB-4768-8CFF-EAF26AC1DB16}\RP201\A0054960.exe

Infecté par: DeepScan:Generic.Kelvir.34876CA2

F:\System Volume Information\_restore{EE185C5D-C6CB-4768-8CFF-EAF26AC1DB16}\RP201\A0054960.exe

Echec de la désinfection

F:\System Volume Information\_restore{EE185C5D-C6CB-4768-8CFF-EAF26AC1DB16}\RP201\A0054960.exe

Supprimé

F:\System Volume Information\_restore{EE185C5D-C6CB-4768-8CFF-EAF26AC1DB16}\RP201\A0054962.exe

Infecté par: Virtool.Cain.A

F:\System Volume Information\_restore{EE185C5D-C6CB-4768-8CFF-EAF26AC1DB16}\RP201\A0054962.exe

Echec de la désinfection

F:\System Volume Information\_restore{EE185C5D-C6CB-4768-8CFF-EAF26AC1DB16}\RP201\A0054962.exe

Supprimé

------

Enfin, je n'ai pas trouvé msnlogm.exe dans le dossier de Windows, et même après une recherche sur tous les disques, rien non plus.

Voilà :)

Merci.
Olivier.

Discussions similaires

Changer la couleur de fond d'un en-tête

Nous avons détecté une tentative de connexion inhabituelle

Option de connexion est désactivé sur pc HP

Code source couleur de fond

La modification du Registre a été désactivée

Tentative de modif du registre continuelle ..

25 réponses

Votre réponse

Discussions similaires

Newsletters