Encore une victime de msn skinner

lissa1979 Messages postés 1 Statut Membre -  
rudyrital Messages postés 6233 Statut Membre -
Bonsoir,j'ai comme problème le Backdoor.Skinymes.Agent.A

ci joint le log

Search Navipromo version 1.1.5 commencé le lun. 16/04/2007 à 1:29:01,87

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Sandrine\Bureau
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Sandrine\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\dpumlsqx.dat
C:\windows\system32\dpumlsqx.exe
c:\WINDOWS\system32\dpumlsqx_nav.dat
c:\WINDOWS\system32\dpumlsqx_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\dpumlsqx.exe

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1390067357-926492609-725345543-1003\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
C:\WINDOWS\system32\dpumlsqx.dat trouvé !
**
C:\WINDOWS\system32\dpumlsqx.dat trouvé !
***
****
C:\WINDOWS\system32\dpumlsqx_navps.dat trouvé !
*****
******
*******
********
C:\WINDOWS\system32\citzke.exe trouvé !
C:\WINDOWS\system32\dpumlsqx.exe trouvé !

*** Analyse Terminé le lun. 16/04/2007 à 1:34:45,70 ***
Quelq'un pourrais t'il me dire ce que je dois faire maintenant pour me débarasser de cette bestiole?

Merci d'avance pour votre aide

Lissa 1979
Configuration: Windows XP
Internet Explorer 6.0

2 réponses

  1. rudyrital Messages postés 6233 Statut Membre 131
     
    Salut,

    Prends connaissance du contenu le lien suivant:
    http://www.f-secure.com/products/license-terms/eult_fra.pdf
    Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
    Maintenant fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Ensuite double clique sur navilog1.bat
    Laisses-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2 sans notre avis/accord)
    Patientes jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
    Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    0
    1. lissa1979
       
      Salut,voici le bloc note
      Search Navipromo version 1.1.5 commencé le lun. 16/04/2007 à 11:23:56,32

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Poster ce rapport sur le forum pour le faire analyser !!!
      !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

      Fix lancé depuis C:\Documents and Settings\Sandrine\Bureau
      Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

      Executé en mode normal

      *** Recherche Programmes installes ***




      *** Recherche dossiers dans C:\WINDOWS ***




      *** Recherche dossiers dans C:\Program Files ***




      *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




      *** Recherche dossiers dans C:\Documents and Settings\Sandrine\Application Data ***



      *** Recherche avec BlackLight Engine/F-secure ***
      BlackLight Engine est un produit de F-secure, pour + d'infos :
      https://www.f-secure.com/en

      Fichier(s) caché(s) dans C:\WINDOWS\system32 :

      c:\WINDOWS\system32\dpumlsqx.dat
      C:\windows\system32\dpumlsqx.exe
      c:\WINDOWS\system32\dpumlsqx_nav.dat
      c:\WINDOWS\system32\dpumlsqx_navps.dat

      Processus caché(s) dans C:\WINDOWS\system32 :

      C:\windows\system32\dpumlsqx.exe


      *** Recherche fichiers ***


      C:\WINDOWS\system32\nvs2.inf trouvé !


      *** Recherche cles registre ***


      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



      Recherche Clé Magic Control

      HKEY_CURRENT_USER\Software\Lanconfig trouvé !
      HKEY_USERS\S-1-5-21-1390067357-926492609-725345543-1003\Software\Lanconfig trouvé !


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche Heuristique :
      *
      C:\WINDOWS\system32\dpumlsqx.dat trouvé !
      **
      C:\WINDOWS\system32\dpumlsqx.dat trouvé !
      ***
      ****
      C:\WINDOWS\system32\dpumlsqx_navps.dat trouvé !
      *****
      ******
      *******
      ********
      C:\WINDOWS\system32\citzke.exe trouvé !
      C:\WINDOWS\system32\dpumlsqx.exe trouvé !


      *** Analyse Terminé le lun. 16/04/2007 à 11:29:22,90 ***

      Merci d'avance pour ton aide

      lissa1979
      0
      1. rudyrital Messages postés 6233 Statut Membre 131 > lissa1979
         
        Bonjour,

        Redémarre en mode sans échec

        Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
        Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
        Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
        (Si F8 ne marche pas utilise la touche F5).

        Double clique sur navilog1.bat
        Laisse-toi guider. Au menu principal, choisis 2 et valide.
        Laisse toi guider et réponds aux questions éventuelles
        Ton bureau va disparaitre, c'est normal.
        Patiente jusqu'au message :
        *** Nettoyage Termine le ..... ***
        Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
        Sauvegarde le rapport de manière à le retrouver
        Referme le blocnote. Ton bureau va réapparaitre
        Redémarre normalement et copie-colle l'intégralité dans une réponse.
        Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

        Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
        Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
        Tape explorer et valide. Celà te fera apparaitre ton bureau

        Ferme internet explorer puis Démarrer/panneau de configuration/options internet
        - onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
        electronic-group
        egroup
        Montorgueil
        VIP
        "Sunny Day Design Ltd"
        Tu les supprimes.


        Remets un log Hijackthis
        @+

        0
      2. lissa1979 > lissa1979
         
        Salu,excuse pour le retard,voila c'est fait et voici le log de hijackthis.
        Merci d'avance pour ton aide.
        lissa1979


        Logfile of HijackThis v1.99.1
        Scan saved at 12:34:44, on 22/04/2007
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
        C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
        C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
        C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
        C:\WINDOWS\system32\CTsvcCDA.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\RunDll32.exe
        C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
        C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
        C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
        C:\Program Files\MessengerPlus! 3\MsgPlus.exe
        C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
        C:\Program Files\MSN Messenger\msnmsgr.exe
        C:\PROGRA~1\INCRED~1\bin\IMApp.exe
        C:\WINDOWS\system32\wscntfy.exe
        C:\WINDOWS\system32\wuauclt.exe
        C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
        C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
        H:\mes docs ancien pc\HijackThis.exe
        C:\PROGRA~1\INCRED~1\bin\IncMail.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*https://fr.yahoo.com/?p=us
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
        R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*https://fr.yahoo.com/?p=us
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
        O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
        O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
        O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
        O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
        O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
        O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
        O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
        O4 - HKLM\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
        O4 - HKLM\..\Run: [dpumlsqx] c:\windows\system32\dpumlsqx.exe dpumlsqx
        O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
        O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
        O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
        O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
        O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
        O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
        O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
        O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.be/NET/Import/ImageUploader3.cab
        O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
        O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
        O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
        O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
        O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
        O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
        O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
        O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
        O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
        O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
        O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
        O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
        0
  2. maman surfeuse
     
    bonjour a tout le monde j ai egalement un probleme pour supprimer skinner de ma liste de contact je ne sais pas quoi faire j ai peur des virus a bientot bonne journee
    0
    1. lissa1979
       
      Bonjour,et bien suis la procédure que l'on m'avais dit et ton probleme sera résolu.

      Tiens moi au courant.

      Bye
      0
    2. rudyrital Messages postés 6233 Statut Membre 131
       
      Bonjour,

      Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
      Procèdes comme ceci :


      http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
      @+

      0