Sujet Précédent Sujet Suivant

Pb fenêtres intempestive Navisearch, spindoc

Fermé
alaric1111 Messages postés 1 Date d'inscription samedi 31 mars 2007 Statut Membre Dernière intervention 31 mars 2007 - 31 mars 2007 à 21:56
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 8 avril 2007 à 08:12
Bonjour, j'ai des fenêtres intempestives quand je surf : navisearch, doctor, des sites de rencontre, etc.
J'ai lancé un navilog, merci d'avance de votre aide.

Search Navipromo version 1.1.3 commencé le 31/03/2007 à 21:37:40,52

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Claire\Bureau\navilog1
Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Claire\Application Data ***


...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\nfgtly.exe

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\nfgtly.exe


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\nfgtly.dat trouvé !
**
C:\WINDOWS\system32\nfgtly.dat trouvé !
***
****
C:\WINDOWS\system32\nfgtly_navps.dat trouvé !
*****
******
*******
********
C:\WINDOWS\system32\nfgtly.exe trouvé !


*** Analyse Terminé le 31/03/2007 à 21:39:14,03 ***
A voir également:

13 réponses

Réponse 1 / 13
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
31 mars 2007 à 22:21
· Télécharge Brute Force Uninstaller (de Merjin)
http://www.merijn.org/files/bfu.zip
et décompresse-le dans un dossier propre à lui (C:\BFU).
Fais un clic droit de souris sur ce lien :
http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).

· télécharge Winsoftware.bfu et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".
http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu
Sauvegarde dans le dossier créé (c:\BFU)
· Télécharge Navipromo.zip (de Lazzzy)
· http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip
et décompresse-le sur ton bureau.

· Copie la suite des instructions dans un fichier texte, sur ton bureau et Redémarre en mode sans échec
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.
Lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.


· Options :

Sélectionne l'option "Recherche et suppression automatique". Patiente.
·
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé puis valide en appuyant sur Entrée.
·
Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.


Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.

Recommence encore une fois l'éxécution du script Egdaccess.BFU

Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.

Recommence encore une fois

Démarrer -> panneau de configuration -> options internet.
o Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd

Supprime-les tous.

Redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

ajoute y un rapport hijack this
0
Réponse 2 / 13
alaric1111
2 avril 2007 à 21:48
Hello, tt ça c'est du chinois pour moi, mais bon j'obtempère !


Rapport Navipromo.bat 0.73 effectué le 02/04/2007 à 21:21:24,99
C:\Documents and Settings\Claire\Bureau
L'opération se déroule en mode sans échec sous le compte "Claire"

** Recherche...

1/ nfgtly trouvé, recherche de nfgtly*
C:\WINDOWS\system32\nfgtly.exe
C:\WINDOWS\system32\nfgtly.dat
C:\WINDOWS\system32\nfgtly_nav.dat
C:\WINDOWS\system32\nfgtly_navps.dat
C:\WINDOWS\prefetch\NFGTLY.EXE-1F1C6B4F.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
nfgtly REG_SZ c:\windows\system32\nfgtly.exe nfgtly

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode

################################################

** Nettoyage...

1/ Déplacement de nfgtly* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\nfgtly* déplacé avec succès !
C:\WINDOWS\prefetch\nfgtly* déplacé avec succès

------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées


* Backups :

C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\Uninstall.reg
C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\nfgtly.exe
C:\Navipromo\Backups\nfgtly.dat
C:\Navipromo\Backups\nfgtly_nav.dat
C:\Navipromo\Backups\nfgtly_navps.dat
C:\Navipromo\Backups\NFGTLY.EXE-1F1C6B4F.pf
C:\Navipromo\Backups\MessengerSkinner
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\MessengerSkinner\Userdata
C:\Navipromo\Backups\MessengerSkinner\Userdata\languages.xml
C:\Navipromo\Backups\MessengerSkinner\Userdata\pack1.cab

Ajout d'extension .off aux backups

## Fin du rapport de Suppression

-------------

Rapport Navipromo.bat 0.73 effectué le 02/04/2007 à 21:22:54,46
L'opération se déroule en mode sans échec sous le compte "Claire"

## Suppression Heuristique

* Backups :


Aucun résultat par la recherche heuristique


## Fin du rapport Heuristique

================================

Logfile of HijackThis v1.99.1
Scan saved at 21:47:12, on 02/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\acer\epm\epm-dm.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Lecteur CANALPLAY\CanalPlayerHelper.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\IZARC\IZARC.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\Claire\LOCALS~1\Temp\ARC60\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [PlayerKiosquePlus] C:\Program Files\Lecteur CANALPLAY\PlayerKiosquePlus.exe /iconic
O4 - HKLM\..\Run: [CanalPlayerHelper] C:\Program Files\Lecteur CANALPLAY\CanalPlayerHelper.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [glowria] C:\Program Files\glowria\glowria.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://portail.inetpsa.com/http://MAILZH.DOMINO.inetpsa.com/iNotes.cab
O16 - DPF: {321F38B6-7E5F-470E-B58C-927523B7AF92} -
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.69.25.47.82.downloads.estara.com./as/OneCCDM.php?template=41001&sessionid=1808352239_86.67.218.26_2296&=&req=1164303853839OneCC.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} -
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76BDDD86-25D0-41B2-9C4B-A14B9AFE6E40}: NameServer = 86.64.145.142 84.103.237.142
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service CANALPLAY - Canal+ Active - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe
0
Réponse 3 / 13
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
2 avril 2007 à 22:09
quels sont tes antivirus?
je vois avg 7, avast et antivir
cela fait un peu beaucoup et risque de créer des conflits
je te conseille d'en choisir un et de supprimer les autres
je te conseille aussi d'installer un pare feu valable genre zone alarme ou kerio

hijack est mal installé, il doit être dans un dossier dédié comme c:\hjt sinon il ne crée pas de sauvegardes
télécharge et installe le logiciel HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html

maintenant lance hijack pour un scan et coche les lignes suivantes
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://portail.inetpsa.com/http://MAILZH.DOMINO.inetpsa.com/iNotes.cab
O16 - DPF: {321F38B6-7E5F-470E-B58C-927523B7AF92} -
O16 - DPF: {65FDEDF3-8ED9-4F5B-825E-18C2D44191A7} (OneCCCtl Class) - http://d.69.25.47.82.downloads.estara.com./
O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} -
ferme toutes tes fenetres y compris internet et clic sur fixer l'objet

Pour terminer, supprime les dossiers jaunes C:\Navipromo, C:\BFU, ainsi que les fichiers C:\Navipromo.txt et Navipromo.bat, puis vide ta corbeille.

passe un coup de ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm

fais un scan en ligne sur l’un de ces sites avec internet explorer et en acceptant l'activex
http://pandasoftware.fr
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
http://www.bitdefender.fr/scan8/ie.html
http://www.secuser.com/outils/antivirus.htm
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=fr&venid=sym
et colle le rapport
dis moi comment va le Pc
0
Réponse 4 / 13
alaric1111
4 avril 2007 à 22:56
ouai c'est cool, plus de fenêtres intempestives ! J'ai fait un scan avec Pandora Active Scan, ci-dessous le rapport, il a trouvé des trucs. Le pb c'est que pendant le scan Antivir détectait des trucs donc j'ai fait "ignore" pour continuer, j'aurais peut être pas dû ? Il fallait peut être désactiver Antivir avant le scan ? Le rapport :


Incident Statut Analyse

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\SYSTEM32\Process.exe
Adware:Adware/InstantAccess No Désinfecté C:\WINDOWS\system32prodsrvs.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Claire\Bureau\NAVILOG1\Process.exe
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@xiti[1].txt
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@247realmedia[1].txt
Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@atwola[1].txt
Spyware:Cookie/2o7 No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@2o7[1].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.bluestreak.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.serving-sys.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.bs.serving-sys.com/]
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.serving-sys.com/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.mediaplex.com/]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.atdmt.com/]
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.weborama.fr/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.xiti.com/]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\COOKIES.TXT[.247realmedia.com/]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
5 avril 2007 à 08:36
bien encore une bricole, le reste ce sont les outils utilisés


passe un coup de ccleaner
tu supprimes tout ce qu'on a utilisé, supprime les dossiers jaunes C:\Navipromo, C:\BFU, ainsi que les fichiers C:\Navipromo.txt et Navipromo.bat, puis vide ta corbeille.
supprime aussi ceci en gras après avoir afiché tes fichiers dossiers cachés
C:\Documents and Settings\Claire\Bureau\NAVILOG1\Process.exe
C:\WINDOWS\SYSTEM32\Process.exe
C:\WINDOWS\system32\prodsrvs.exe
vide ta corbeille

fais ceci pour supprimer les éventuelles traces
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation :
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse.
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions "
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
poste le rapport et tiens moi au courant
0
Réponse 6 / 13
alaric1111
5 avril 2007 à 20:34
ok, j'ai fait !
1. Je garde AVG ? Parce que j'ai déjà Adaware et SpyBot...
2. Zone Alarm est payant... Tu connais un bon firewall gratos ?
3. Y'a des opérations à faire préventivement et régulièrement (par ex. passer le Ccleaner, AVG ttes les semaines, etc.) ?
4. Pour la sécurité, le mieux c'est IE ou le renard ?
5. Thanx a lot !!!!

le rapport :

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 20:24:35 05/04/2007

+ Résultat de l'analyse:



:mozilla.88:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Claire\Cookies\claire@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
:mozilla.26:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Claire\Cookies\claire@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
:mozilla.70:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.71:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Adtech : Nettoyé.
:mozilla.6:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Atdmt : Nettoyé.
:mozilla.39:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Bluestreak : Nettoyé.
:mozilla.34:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.84:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Etracker : Nettoyé.
:mozilla.82:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.83:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Euroclick : Nettoyé.
:mozilla.59:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Googleadservices : Nettoyé.
:mozilla.33:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Mediaplex : Nettoyé.
:mozilla.44:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.45:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.46:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.47:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.48:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.49:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Serving-sys : Nettoyé.
:mozilla.41:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.42:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.43:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Smartadserver : Nettoyé.
:mozilla.36:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Weborama : Nettoyé.
:mozilla.62:C:\Documents and Settings\Claire\Application Data\Mozilla\Firefox\Profiles\qcq2ggn9.default\cookies.txt -> TrackingCookie.Webtrendslive : Nettoyé.


Fin du rapport
0
Réponse 7 / 13
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
6 avril 2007 à 09:04
il y a une version de zone alarme gratuite
avg est compatible et recommandé avec les 2 log

si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais
conserve néanmoins ccleaner et effectue le nettoyage tous les jours avant de couper le PC ainsi que AVG avec lequel tu peux scanner ton Pc une fois par semaine environ suivant tes surfs...

tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger
j'ai découvert ce lien qui est plutôt pas mal à ce sujet
https://forum.pcastuces.com/default.asp

et bon surf
0
Réponse 8 / 13
alaric1111
7 avril 2007 à 00:03
Merci.
Dernière chose : le résident de Spybot voulais bloquer au redémarrage de windows :
- messengerskinner
- windows\system32\prodsrvs.exe /res
J'ai accepté. C'est pas des virus j'espère ? Le pb c'est que parfois je sais pas s'il faut bloquer ou pas car je sais pas ce que c'est ...
0
Réponse 9 / 13
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
7 avril 2007 à 08:52
messenskinner amène l'infection donc tu as bien fait de tout bloquer
l'autre c'est instant access tu as bien fait aussi
fais quand même ceci pour contrôle
télécharge GenProc sur ton bureau
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
0
Réponse 10 / 13
alaric1111
7 avril 2007 à 12:41
J'ai l'impression qu'il faut tout recommencer, je déprime :

Rapport GenProc 0.37 effectué le 07/04/2007 à 12:37:10,18 - SystemRoot = C:\WINDOWS

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).


***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Claire") *****


# Etape 2/

* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
0
Réponse 11 / 13
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
7 avril 2007 à 14:12
oui mais avant on va faire autre chose
Télécharge LopXPMH sur ton Bureau.
http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/lopxpMH2.zip
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip


Dézippe-le et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.
0
Réponse 12 / 13
alaric1111
8 avril 2007 à 00:33
Rapport fait à 0:32:04,91 le 08/04/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\Default User\Application Data

20/09/2004 11:09 <REP> .
20/09/2004 11:09 <REP> ..
16/01/2005 06:17 <REP> Identities
20/09/2004 11:09 <REP> Microsoft
20/09/2004 11:09 62 desktop.ini
1 fichier(s) 62 octets
4 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

20/09/2004 11:09 <REP> .
20/09/2004 11:09 <REP> ..
20/09/2004 11:16 <REP> Microsoft
16/01/2005 06:17 2ÿ786ÿ784 IconCache.db
1 fichier(s) 2ÿ786ÿ784 octets
3 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\All Users\Application Data

20/09/2004 11:09 <REP> .
20/09/2004 11:09 <REP> ..
07/04/2007 00:32 <REP> Adobe
03/04/2007 21:36 <REP> AntiVir PersonalEdition Classic
07/07/2006 21:46 <REP> Bluetooth
20/09/2004 11:30 <REP> CyberLink
03/09/2006 23:38 <REP> EnterNHelp
14/09/2006 10:41 <REP> Google
20/09/2004 11:09 <REP> Microsoft
22/01/2007 18:21 <REP> mpDRM
16/01/2005 06:51 <REP> QuickTime
29/09/2005 00:20 <REP> Skype
18/04/2005 18:30 <REP> Spybot - Search & Destroy
03/09/2006 23:38 <REP> Ultima_T15
07/08/2006 20:15 <REP> Windows Genuine Advantage
22/04/2006 14:18 305 addr_file.html
20/09/2004 11:09 62 desktop.ini
03/09/2006 23:38 20 PKP_DLec.DAT
3 fichier(s) 387 octets
15 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

20/09/2004 11:20 <REP> .
20/09/2004 11:20 <REP> ..
20/09/2004 11:20 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

20/09/2004 11:20 <REP> .
20/09/2004 11:20 <REP> ..
20/09/2004 11:20 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

20/09/2004 11:20 <REP> .
20/09/2004 11:20 <REP> ..
20/09/2004 11:20 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

20/09/2004 11:20 <REP> .
20/09/2004 11:20 <REP> ..
20/09/2004 11:20 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\Alaric\Application Data

16/01/2005 06:18 <REP> .
16/01/2005 06:18 <REP> ..
21/10/2006 22:44 <REP> Google
16/01/2005 06:18 <REP> Identities
16/01/2005 06:18 <REP> Microsoft
26/03/2006 22:06 <REP> Nikon
25/03/2006 02:39 <REP> PC Suite
13/06/2006 21:25 <REP> Real
16/01/2005 06:18 62 desktop.ini
1 fichier(s) 62 octets
8 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\Alaric\Local Settings\Application Data

16/01/2005 06:18 <REP> .
16/01/2005 06:18 <REP> ..
21/10/2006 22:44 <REP> Google
16/01/2005 06:18 <REP> Microsoft
16/01/2005 06:18 3ÿ264ÿ408 IconCache.db
1 fichier(s) 3ÿ264ÿ408 octets
4 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\Claire\Application Data

16/01/2005 06:22 <REP> .
16/01/2005 06:22 <REP> ..
16/01/2005 07:08 <REP> Adobe
16/01/2005 07:08 <REP> AdobeUM
15/01/2006 11:04 <REP> Datalayer
12/01/2006 20:53 <REP> Google
20/06/2005 21:49 <REP> Help
16/01/2005 06:22 <REP> Identities
18/04/2005 18:26 <REP> Lavasoft
04/03/2007 16:40 <REP> LiteOn
16/01/2005 21:14 <REP> Macromedia
16/01/2005 06:22 <REP> Microsoft
04/03/2007 01:01 <REP> Mozilla
16/01/2005 06:53 <REP> Nikon
15/01/2006 11:04 <REP> Nokia
15/01/2006 11:12 <REP> Nokia Multimedia Player
27/02/2006 22:31 <REP> OpenOffice.org2
25/01/2007 18:55 <REP> Opera
15/01/2006 11:01 <REP> PC Suite
02/05/2006 22:55 <REP> Real
29/09/2005 00:20 <REP> Skype
14/10/2006 13:23 <REP> Sun
16/01/2005 06:22 62 desktop.ini
1 fichier(s) 62 octets
22 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Documents and Settings\Claire\Local Settings\Application Data

16/01/2005 06:22 <REP> .
16/01/2005 06:22 <REP> ..
16/01/2005 07:08 <REP> Adobe
14/09/2006 11:03 <REP> Google
20/06/2005 21:49 <REP> Help
27/04/2005 09:10 <REP> Identities
31/01/2006 21:36 <REP> IM
16/01/2005 06:22 <REP> Microsoft
04/03/2007 01:01 <REP> Mozilla
15/01/2006 10:40 <REP> Nokia
16/01/2005 15:50 <REP> Pixology
23/02/2006 21:52 <REP> RcIncidents
28/02/2006 12:56 <REP> WMTools Downloaded Files
13/03/2005 12:26 75ÿ776 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
27/02/2005 23:00 41ÿ304 GDIPFONTCACHEV1.DAT
09/05/2006 23:48 2ÿ535ÿ158 IconCache.db
3 fichier(s) 2ÿ652ÿ238 octets
13 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

20/09/2004 11:20 <REP> .
20/09/2004 11:20 <REP> ..
16/01/2005 06:17 <REP> Identities
22/01/2007 22:42 <REP> Intel
20/09/2004 11:20 <REP> Microsoft
20/09/2004 11:20 62 desktop.ini
1 fichier(s) 62 octets
5 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres
Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

20/09/2004 11:20 <REP> .
20/09/2004 11:20 <REP> ..
20/09/2004 11:20 <REP> Microsoft
16/01/2005 06:17 2ÿ786ÿ784 IconCache.db
1 fichier(s) 2ÿ786ÿ784 octets
3 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle ACER
Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Program Files

20/09/2004 11:09 <REP> .
20/09/2004 11:09 <REP> ..
20/09/2004 11:28 <REP> Acer Inc
20/09/2004 11:32 <REP> Adobe
05/01/2007 21:58 <REP> Alwil Software
03/04/2007 21:37 <REP> AntiVir PersonalEdition Classic
16/01/2005 06:51 <REP> ArcSoft
03/04/2007 21:58 <REP> CCleaner
20/09/2004 11:14 <REP> ComPlus Applications
20/09/2004 11:25 <REP> CONEXANT
20/09/2004 11:30 <REP> CyberLink
22/01/2007 22:01 <REP> DIFX
15/08/2005 00:46 <REP> DivX
07/01/2007 20:17 <REP> eMule
20/09/2004 11:09 <REP> Fichiers communs
26/05/2005 21:12 <REP> Google
05/01/2007 21:45 <REP> Grisoft
03/04/2007 21:25 <REP> Hijackthis Version Fran‡aise
20/01/2007 18:20 <REP> IKEA HomePlanner
31/01/2006 21:36 <REP> IncrediMail
20/09/2004 11:22 <REP> Intel
20/09/2004 11:15 <REP> Internet Explorer
07/07/2006 21:42 <REP> IVT Corporation
16/10/2005 15:51 <REP> IZArc
14/10/2006 13:22 <REP> Java
18/02/2005 17:14 <REP> Kit ADSL
16/01/2005 06:20 <REP> Launch Manager
20/01/2007 16:48 <REP> Lavasoft
04/11/2006 18:37 <REP> Lecteur CANALPLAY
20/09/2004 11:14 <REP> Messenger
20/09/2004 11:17 <REP> microsoft frontpage
13/03/2005 13:06 <REP> Microsoft Office
20/09/2004 11:15 <REP> Movie Maker
04/03/2007 01:01 <REP> Mozilla Firefox
10/06/2005 00:02 <REP> Mp3DirectCut
20/09/2004 11:14 <REP> MSN
26/03/2005 17:26 <REP> MSN Apps
20/09/2004 11:14 <REP> MSN Gaming Zone
26/03/2005 17:24 <REP> MSN Messenger
18/11/2006 11:42 <REP> MSXML 4.0
20/09/2004 11:15 <REP> NetMeeting
20/09/2004 11:31 <REP> NewTech Infosystems
16/01/2005 06:52 <REP> Nikon
15/01/2006 11:00 <REP> Nokia
20/09/2004 11:14 <REP> Online Services
27/02/2006 22:28 <REP> OpenOffice.org 2.0
25/01/2007 18:55 <REP> Opera
20/09/2004 11:15 <REP> Outlook Express
16/01/2005 06:51 <REP> QuickTime
02/05/2006 22:56 <REP> Real
04/03/2007 16:32 <REP> Savvy TV
20/09/2004 11:15 <REP> Services en ligne
27/01/2005 19:57 <REP> Skype
18/04/2005 18:30 <REP> Spybot - Search & Destroy
20/09/2004 11:27 <REP> Synaptics
08/07/2005 23:31 <REP> Web Radio Player 3.6
07/07/2005 20:52 <REP> Winamp
20/09/2004 11:14 <REP> Windows Media Player
20/09/2004 11:14 <REP> Windows NT
20/09/2004 11:17 <REP> xerox
28/02/2006 15:45 <REP> Yahoo!
05/04/2007 21:35 <REP> Zone Labs
0 fichier(s) 0 octets
62 R‚p(s) 1ÿ450ÿ999ÿ808 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
*.interepargne.natexis.fr REG_BINARY
www.rabbitfinder.com REG_BINARY
www.lacentrale.fr REG_BINARY
www.pagesjaunes.fr REG_BINARY
www.f1-live.com REG_BINARY
*.hotmail.msn.com REG_BINARY
forum.lixium.fr REG_BINARY
motardvosgien.free.fr REG_BINARY
espaceclient.neuf.fr REG_BINARY
www.neufgiga.com REG_BINARY
pagesperso.neuf.fr REG_BINARY
www.rally-live.com REG_BINARY
www.lemonde.fr REG_BINARY
support.acer-euro.com REG_BINARY
neufbox.neuf.fr REG_BINARY
extranet.neufcegetel.fr REG_BINARY
moncompte.neuf.fr REG_BINARY
www.novaplanet.com REG_BINARY
www.pandasoftware.com REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PCSuiteTrayApplication REG_SZ C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
0
Réponse 13 / 13
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
8 avril 2007 à 08:12
bien fais maintenant ceci
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).


***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.microsoft.com/fr-fr/ (choisis ta session courante "Claire") *****


# Etape 2/

* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ;
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail C:\ ;


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

comme je serai absent aujourd'hui ensuite tu feras ceci
faire un scan antivirus en ligne avec internet explorer et accepter l'activex
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur I agree
La fenêtre change encore, clique sur Click here to scan
Les signatures se chargent, etc.

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
bon courage
0

Discussions similaires

Problème de clavier, des fenêtre s'ouvrent !!
Lyon691D -
tanteelise -

5 réponses
iCloud affichage fenêtres intempestives. Réglages impossible.
jemlabd -
jemlabd -

9 réponses
Afficher deux fenêtres côte à côte
ptitchinoise -
pistouri -

11 réponses
Mon ordinateur ouvre des pages du bureau tout seul
Tanguy -
Tanguy -

9 réponses
comment activer les fenètre pop-up
zipou -
Tif -

14 réponses