adware suite à l'instal' de messenger skinner Fermé

Question

Bonjour,

Ma copine a eu la bonne idée d'installer messenger skinner. Et bien éviemment elle ne s'est pas soucié de l'adware (ou des) qu'il contenait. J'aurais voulu un peu d'aide pour m'aider à me débarasser de toutes ces énormes popup qui envahissent mon écran en permanence.

Merci beaucoup.

afideg · Answer

Bonsoir Weblord

Voici la première partie de la suite : télécharger directement le .exe ici : 
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > et enregistre-le sur ton bureau.

Ensuite double clique sur « Navilog1.exe », puis « Exécuter » pour lancer l'installation. 
Choisis la langue usuelle.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci navilog1 présent sur le bureau). 
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1). 

Laisse-toi guider. 
Au menu principal, choisis 1 et valide. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 


Al

afideg · Answer

Bonsoir Weblord,

Cela ne me paraît pas correct; en effet, ton scan date du " Started on 06/22/07 at 22:45:34 " .
Tu prends tous les risques qu'entre cette date et la date de ta demande d'aide "dimanche 24 juin 2007 à 21h22:40" , soient 2 jours , des mises à jours du programme aient été effectuées.

Par hasard, et puisque tu devines toujours aussi bien, n'aurais-tu pas par hasard supposé " qu'on allait te demander de faire ça " ( en souhaitant que les données du 22 juin soient encore dans ce PC ! ) ==> Sinon, refais l'analyse option 1, suivie de celle-ci :

1°- Double clique sur le raccourci « navilog1 » présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 3 et valide.
Laisse toi guider et réponds aux questions éventuelles ( et si ton bureau disparaît, c’est normal ):
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver ( « fichier » > « enregistrer sous » > choisis « bureau » ( par ex. sur le bureau et dénomme-le clean3)
)
Referme le bloc-notes. Ton bureau va réapparaître

Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau

•Puis, clic sur "Démarrer"/"panneau de configuration"/"options internet"
- onglet "Contenu" puis bouton [Certificats...] et si tu trouves ceci, en particulier dans [Éditeurs ... approuvés], (mais regarde ailleurs aussi) : electronic-group, egroup, Montorgueil
VIP, "Sunny Day Design Ltd" ... , tu les supprimes.

2°- ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >

Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.

Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >

•A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse
•Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : < https://jetable.org/en/index >
•Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

3°- Termine par ce scan en ligne Kaspersky avec< https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr >
Le scan ne marche que sous Internet Explorer.

Sous < https://www.informatruc.com >, on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner : « Exécuter l'analyse en ligne » .
Le scan ne marche que sous Internet Explorer.

Le scan va commencer.
Clic sur l'image « Kaspersky Online Scanner »
Puis sur "démarrer scan online " en bas à droite de la page.
< http://pictures.kaspersky.fr/bouton-scann1.jpg >
Clic sur « J'accepte » ( ou I agree )
On va te demander de télécharger un contrôle active x, accepte .
( on va peut-être demander installer ==> clic sur "installer" )
Tu attends que la mise à jour se termine ( patiente ), une fois terminé, clic sur « Suivant »
Clic sur « Paramètres d'analyse »
Coche la case « Étendue » >> Ok
Dans le menu « Choisissez la cible de l'analyse »
Clic sur Poste de travail pour faire un scan complet

Une fois le scan fini à 100%, clic sur "Enregistrer rapport sous..."
Enregistrer le rapport au format .txt (en nom tu mets «KAS» , et en « Type » tu choisis « fichier texte » (*.txt), puis [Enregistrer]
Tu ouvres le fichier que tu viens de sauvegarder,
Copier/coller le rapport généré, et poste-le

AIDE :
-Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
-Si il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien=> http://www.inoculer.com/activex.php3

Ça peut durer plus d’1 heure.
Patiente

Courage.
Merci
Al.

afideg · Answer

Re,
Bonjour

Aucune infection trouvée par Navilog1 n'a été supprimée !!!! ...  à défaut de recevoir confirmation par le rapport de l'option 3 que je t'avais demandé d'effectuer .

Et puisque PANDA a supprimé des éléments de Navilog1, il faut recommencer Option 1 > rapport > option 2 > rapport .
J'attends donc.

Désolé
Merci

Je m'absente cet ap-midi.

Weblord · Answer

Alors voici le rapport de l'option 1 de navilog1 :

Search Navipromo version 2.0.3 commencé le 27/06/2007 à 20:50:57,56
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Weblord\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 06/27/07 at 20:51:05.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..........................................................................................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/27/07 at 21:14:46 (return code = 0).


*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\vudecih.dat trouvé !
** 
C:\WINDOWS\system32\vudecih.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\vudecih_navps.dat trouvé !
***** 
C:\WINDOWS\system32\vudecih_nav.dat trouvé !
****** 
******* 
******** 
 
 
*** Analyse Terminé le 27/06/2007 à 21:15:17,93 *** 

Rapport de l'option 2 :

Clean Navipromo version 2.0.3 commencé le 27/06/2007 à 21:18:23,95

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Weblord\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Weblord\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
C:\WINDOWS\System32\vudecih.dat trouvé !
Copie C:\WINDOWS\system32\vudecih.dat réalise avec succes !
C:\WINDOWS\system32\vudecih.dat supprimé !

** 
*** 
**** 
C:\WINDOWS\System32\vudecih_navps.dat trouvé !
Copie C:\WINDOWS\system32\vudecih_navps.dat réalise avec succes !
C:\WINDOWS\system32\vudecih_navps.dat supprimé !

***** 
C:\WINDOWS\System32\vudecih_nav.dat trouvé !
Copie C:\WINDOWS\system32\vudecih_nav.dat réalise avec succes !
C:\WINDOWS\system32\vudecih_nav.dat supprimé !

****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 27/06/2007 à 21:22:41,00 ***

afideg · Answer

Bonsoir Weblord

Comment va le PC ?

Fais ceci SVP. Merci.

Fais une analyse par HijackThis, comme ceci:
- Avec connexion au Net en service,
- télécharge la version original de hijackthis < http://www.merijn.org/files/hijackthis.zip > https://www.pcastuces.com/logitheque/hijackthis.htm
- et un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm >

- Déconnecte-toi du Net pour installer le programme. ( débranche ton modem )

- Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple.
Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
( s'il n'y est pas, crée un raccourci sur vers le bureau )

-Redémarre ton PC impérativement.

- Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »

•Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
•NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
•Ouvre le rapport HijackThis précédemment sauvegardé et copie-colle le dans ta prochaine réponse

- à la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum

POURQUOI l'installer là ?
Le problème consiste à avoir un dossier dédié à HijackThis;
car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.

Pour info: Un "log" c'est la trace écrite de ce que un programme a fait et du résultat de son action.

Merci
Al.

afideg · Answer

Bonjour Weblord,

1°- Navilog1 a déjà fait du beau travail.
Supprime Navilog1 et ses composants ".exe et rapports" que tu as sur le PC ==> vers corbeille à vider.
Télécharge à nouveau < http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > et enregistre-le sur ton bureau.
Refais les deux mêmes analyses avec Navilog1, et poste les deux rapports Navilog1 comme tu viens de faire.

2°- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O15 - Trusted Zone: *.canalplay.com (HKLM)
O15 - Trusted Zone: *.canalplusactive.com (HKLM)
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://m6video.m6.fr/1click/install/files/installer2.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www- secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///F:/components/hidinputmonitorx.ocx
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www- secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} (FixController Control) - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://golden7cc.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///F:/components/A9.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/default.aspx 1131993500626
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file:///F:/components/wmvhdrating.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - https://www.phox.fr/fr-FR/
O16 - DPF: {A7ECD556-D6F6-4F41-8C6B-14AB246801A0} (Secure Delivery) - http://cdn.digitalcity.com/video/kdx.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.2.cab

Ensuite ferme tes programmes en cours, SURTOUT LES LOGICIELs AVEC PROTECTION EN TEMPS REEL, (antivirus, tea timer, ewido, ad-watch)... ( seul HijackThis doit être ouvert ) , et ensuite Clic [Fix checked]

3°- Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >

Si tu as besoin d'aide AVG-antispyware regarde ces tutoriels:
--> < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >
-- > < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
Tu enregistres le fichier dans Bureau.
A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau.

Ensuite tu te déconnectes du Net ( débranche ton modem éventuellement ), et tu fermes les sessions en cours.

Tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.0.47.exe".
Une page s’ouvre ; tu clic sur « Exécuter » Tu suis les instructions.
Tu notes au passage que l’installation va se faire en :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
Tu peux choisir le raccourci dans le menu « Démarrage »
Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.

Sur la page "état", tu choisis inactif pour le bouclier résident ( clic sur « Modifier l’état » ).
Sur la page "mise à jour", tu coches les cases au § « mise à jour automatique »
et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »).
Tu redémarres l'ordinateur si nécessaire.
-
Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
-- clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
-< http://bp3.blogger.com/ >
Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
Tu choisis ensuite l'onglet analyser, "analyse complète du système".

A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous".
Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.

4°- Poste un nouveau rapport HJT SVP

Merci
Al

Patience-Vigilance-Amour.

Weblord · Answer

Pfiou ! Ben il m'a fallu le temps de tout executer, mais c'est fait ! En tout cas les popups sont toujours là. 
Alors dans l'ordre :

1°/de nouveau les deux rapports navilog1 :
Option 1 :

Search Navipromo version 2.0.3 commencé le 30/06/2007 à 14:37:53,73
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Weblord\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 06/30/07 at 14:38:01.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .........................................................................................................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 06/30/07 at 14:59:14 (return code = 0).


*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\vudecih.dat trouvé !
** 
C:\WINDOWS\system32\vudecih.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\vudecih_navps.dat trouvé !
***** 
C:\WINDOWS\system32\vudecih_nav.dat trouvé !
****** 
******* 
******** 
 
 
*** Analyse Terminé le 30/06/2007 à 14:59:51,04 ***

Option 2

Clean Navipromo version 2.0.3 commencé le 30/06/2007 à 15:08:51,14

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Weblord\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Weblord\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
C:\WINDOWS\System32\vudecih.dat trouvé !
Copie C:\WINDOWS\system32\vudecih.dat réalise avec succes !
C:\WINDOWS\system32\vudecih.dat supprimé !

** 
*** 
**** 
C:\WINDOWS\System32\vudecih_navps.dat trouvé !
Copie C:\WINDOWS\system32\vudecih_navps.dat réalise avec succes !
C:\WINDOWS\system32\vudecih_navps.dat supprimé !

***** 
C:\WINDOWS\System32\vudecih_nav.dat trouvé !
Copie C:\WINDOWS\system32\vudecih_nav.dat réalise avec succes !
C:\WINDOWS\system32\vudecih_nav.dat supprimé !

****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 30/06/2007 à 15:14:16,50 ***

2°/manip HJT faite
3°/Pour AVG aucun rapport n'tait à afficher m'a-t-il dit !
4°/Voici un nouveau rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 16:43:36, on 30/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Prog\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Prog\internet\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Prog\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [m6] C:\Program Files\M6 Video\M6video.exe
O4 - HKLM\..\Run: [VZRemoteCommander] C:\Program Files\Sony\VAIO Zone Remote Commander\AvRmtCtr.exe
O4 - HKLM\..\Run: [TVTunerLib] C:\Program Files\Fichiers communs\Sony Shared\TVTunerLib\TVTLInstTool.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Prog\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Prog\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [vudecih] c:\windows\system32\vudecih.exe vudecih
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Prog\Tuneup\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: &Souscrire avec ArchosLink - file://D:\Prog\Archos\ArchosLink\script.js
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.com/fr/
O15 - Trusted Zone: *.canalplay.com
O15 - Trusted Zone: *.canalplusactive.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{810F3121-E3DF-4BB8-99B3-C83AA135AA1C}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - D:\Prog\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Program Files\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Program Files\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

afideg · Answer

Bonjour Weblord,

Mais pour les rapports .... et pour cette mauvaise nouvelle ( popups !) ;)

1°- Pour AVG Anti spyware, j'écrivais ceci :

« A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous".
Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse. »

Il n'est pas normal de ne pas avoir un rapport, mais il faut l'enregistrer avec un nom , que tu retrouves ensuite là où tu l'as enregistré ( bureau par ex. ) .
Il faut recommencer.
Désolé.

2°- O4 - HKLM\..\Run: [vudecih] c:\windows\system32\vudecih.exe vudecih

Double clique sur le raccourci Navilog1 présent sur le bureau
Laisse-toi guider.
Au menu principal, choisis 4 et valide
Ton bureau va disparaitre, c'est normal.

Le fix va te demander de "saisir le nom de fichier"
Saisis ce qui est en gras ci-après et rien d'autre puis valide: vudecih
Le fix va te demander de ressaisir vudecih, fais-le et valide.
Laisse-toi guider et réponds aux questions éventuelles
Le fix va t'informer qu'il va alors redémarrer ton PC

Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message : "Nettoyage termine le ..... ".

Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver retrouver ( « fichier » > « enregistrer sous » > choisis « bureau » ( par ex. sur le bureau et dénomme-le clean4 )
Referme le bloc-notes.
Ton bureau va réapparaître

•Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le "gestionnaire de tâches".
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Taper « explorer » et valider. Cela fera apparaître ton bureau

•Puis, clic sur "Démarrer"/"panneau de configuration"/"options internet"
- onglet "Contenu" puis bouton [Certificats...] et si tu trouves ceci, en particulier dans [Éditeurs ... approuvés], (mais regarde ailleurs aussi) : electronic-group, egroup, Montorgueil
VIP, "Sunny Day Design Ltd" ... , tu les supprimes.

Copier/coller l'intégralité du rapport dans une réponse.

3°- Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec < https://www.informatruc.com >
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur « RunThis.bat » pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés et Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire ; il te demandera d'appuyer sur une touche pour redémarrer.
<souligne>Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom « Report.txt ».
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

4°- Télécharge Combofix.exe (par sUBs) sur ton Bureau
< http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe >
Double clique sur l'icône combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse

Merci Al.

afideg · Answer

Bonjour Marie,

Merci.
Bordas & son bordel !!
Sait-il que nous sommes des bénévoles, ni plus ni moins  ?

Al.

afideg · Answer

(Suite pour Weblord ) 

-)-Télécharge Registry Search Tool, ici 
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip 
Dezippe-le sur ton bureau (clic droit dessus > extraire tout) 
lance RegSrch.vbs, et si jamais ton antivirus te le demandait, autorise l'exécution du script. 

Dans la fenetre < http://img221.imageshack.us/img221/3900/screenshot282sk1.gif > du programme, 
copie/colle: Magic Control  et valide avec ok 
Attends que le notepad s'ouvre, puis copie et colle le contenu du rapport ici. 
Refais la même chose avec Lanconfig, et ensuite avec MessengerSkinner  + rapports.


Merci
Al

afideg · Answer

Bonjour Weblord, 

Je dois revenir sur le post # pour cette ligne  O4 - HKLM\..\Run: [vudecih] c:\windows\system32\vudecih.exe vudecih  , et pour  cette série C:\WINDOWS\system32\hysdwpbbmg.* qui n'avait pas été traitée correctement au début du topic.

Supprime le programme NaviFix/Navilog1 et ses composants qui sont dans ton PC.
Télécharge la dernière version 2.0.5 Mise à jour 01/07/2007.
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > et enregistre-le sur ton bureau.

Déconnecte ton PC du Net = quitte InternetExplorer ( débranche ton modem éventuellement ).
Ensuite fais ceci:


Ensuite double clique sur « Navilog1.exe », puis « Exécuter » pour lancer l'installation. 
Choisis la langue usuelle. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci navilog1 présent sur le bureau). 
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1). 

1)- Double clique sur le raccourci Navilog1 présent sur le bureau 
Laisse-toi guider. 
Au menu principal, choisis 4 et valide 
Ton bureau va disparaitre, c'est normal. 

Le fix va te demander de "saisir le nom de fichier" 
Saisis ce qui est en gras ci-après et rien d'autre puis valide: vudecih 
Le fix va te demander de ressaisir vudecih, fais-le et valide. 
Laisse-toi guider et réponds aux questions éventuelles 
Le fix va t'informer qu'il va alors redémarrer ton PC 

Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts 
Appuie sur une touche comme demandé. 
(si ton Pc ne redémarre pas automatiquement, fais le toi même) 
Au redémarrage de ton PC, choisis ta session habituelle. 

Patiente jusqu'au message : "Nettoyage termine le ..... ". 

Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir. 
Sauvegarde le rapport de manière à le retrouver  ( « fichier » > « enregistrer sous » > choisis « bureau » ( par ex. sur le bureau et dénomme-le "clean41" ) 
Referme le bloc-notes. 
Ton bureau va réapparaître 

•Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le "gestionnaire de tâches". 
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter" 
Taper « explorer » et valider. Cela fera apparaître ton bureau 


Ne reconnecte pas le PC au Net !


2)- Fais strictement la même chose ( choisir l'option 4 ) avec ceci à coller dans la saisie : hysdwpbbmg ( attention = 2 fois saisir ) ; à la fin, Sauvegarde le rapport de manière à le retrouver  ( « fichier » > « enregistrer sous » > choisis « bureau » ( par ex. sur le bureau et dénomme-le "clean42" ) 
Referme le bloc-notes. 


Reconnecte ton PC au Net
Poste les deux rapports

afideg · Answer

Re,
Weblord
Essaie ce petit utilitaire qui permet d'activer Windows Scripting Host : 
http://assiste.com.free.fr/p/logitheque/noscript.html 

Mais exécute post #19 important également.

Al.

afideg · Answer

Re,

C'est la misère.
1) Clique sur Démarrer/Exécuter puis saisis : regedit
2) Ouvre HKCU\Software\Microsoft\Windows Script Host\Settings.
3) En  DWORD as-tu une valeur nommée Enabled
?

Merci

afideg · Answer

Re,
Bonjour Weblord

DWORD  dans le tableau de droite . ==> as-tu la mention "enable" ?

Et je ne vois toujours pas les résultats du post # 19 .
Merci
Al.

afideg · Answer

Re,
OK, c'est bon ça !

Supprime Registry Search Tool.

Clic "Démarrer" > "Exécuter" > copier.coller REGEDIT dans la lucarne > valide 
Dans la page des registres , clic "Edition" > "Rechercher" > copier/coller Lanconfig et lancer la recheche.
Copie la clé où tu vois un élément en surbrillance.
Puis poursuis la recherche par clic sur F3 , et Copie les clés où tu vois un élément en surbrillance.
Jusqu'au message " Fin de la recherche ".

Refais la même chose avec MessengerSkinner 


Merci


Je n'ai pas non plus les rapports du post # 12 SDFix et ComboFix.


Stop cause orage ;
Désolé
Al.

afideg · Answer

Re,

A)- Essaie de comprendre ce que j'explique au post #27: 
j'ai dit « Refais la même chose avec MessengerSkinner »
j'ai dit au post# 12  SDFix = 3°




B - Télécharge The Avenger par Swandog46 sur ton Bureau: 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Click sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur votre bureau 

Attention : ne pas poursuivre si tu ne comprends pas !

2. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer simultanément sur les touches (Ctrl+C): 

Files to delete: 
c:\WINDOWS\system32\vudecih.* 
C:\WINDOWS\system32
vs2.inf

Registry keys to delete:
HKEY_CURRENT_USER\Software\Lanconfig


3)- Double-clic sur l'icône "avenger.exe" du bureau, puis [OK] ( sur le message qui s'affiche ). 
•- Sous "Script file to execute" cocher le bouton ratio devant "Input Script Manually". 
< http://img78.imageshack.us/img78/5258/screenshot265wz9.gif  >
- Puis clique sur l'icône " en forme de loupe " qui va ouvrir une nouvelle fenêtre "View/edit script" 
- Dans cette fenêtre colle le texte .
- Pour cela, pointer la souris dans le coin supérieur gauche de cette fenêtre, et cliquer; puis simultanément sur les touches CTL+V 
- Cliquer Done
- Ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script 
- Réponds "Yes" deux fois quand demandé. 


4. The Avenger va automatiquement faire ce qui suit: 
Il va Re-démarrer le système. 
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau, ceci est NORMAL. 
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. 
Ce fichier log se trouve ici : C:\avenger.txt 

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta réponse .

Attention : ne pas faire  si tu ne comprends pas !

Merci

afideg · Answer

Bonsoir Weblord,

1°- Je constate que tu utilises un disque Externe, ou une partition D
Est-ce le seul disque amovible sur Clé USB ?
Dans ce cas, il faut lire ceci < http://forum.malekal.com/sutra22549.php#22549 > où tu trouves qu'il faut impérativement désinfecter TOUS LES DISQUES.

Pour cela, il y a l'outil Flash_Disinfector de sUBs:
< http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe >
Utilisation :
Téléchargez et enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyez sur "Ok", pour faire réapparaitre le bureau.

2°- Supprimer ces outils devenus inutiles:
Navifix/Navilog1.exe
SDFix
Combofix.exe
Registry Search Tool
The Avenger

3°- Ouvre ce lien :
https://www.bleepingcomputer.com/download/linux/
pour télécharger regsearch.zip.
Choisis "Enregistrer" puis "Bureau".
A la fin du déchargement fais un clic droit sur l'icône de regsearch.zip créée sur le bureau,choisis "Extraire tout" et suis les instructions.
Exécute Regsearch.exe qui se trouve dans le dossier qui vient d'être créé en double-cliquant et clique sur exécuter.
Dans la fenêtre qui s'ouvre vérifie que toutes les cases sont cochées.
Ensuite copier/coller MESSENGERSKINNER dans la première ligne de la fenêtre .
Clique sur OK pour rechercher dans le registre.
En fin de recherche, le bloc-note s'ouvre. Copie-colle le contenu du rapport dans ta réponse.
Le rapport se trouve dans le même dossier que Regsearch.exe sous le nom RegSearch.txt.

Merci
Al.

afideg · Answer

Re,
Bonjour Weblord,

Oui, je ne vois plus rien à faire.
Tout semble corrigé.
Content pour toi.

Bon vent.
Al

Adware suite à l'instal' de messenger skinner

18 réponses

Discussions similaires