Spyware secure

Résolu
Utilisateur anonyme -  
 LilG -
Bonsoir à tous,
J'ai un prob avec spyware machin....(mais bon sang quand vont ils stopper ces trucs qui nous pourrisent la vie, c'est pas ça internet...enfin je ne referai pas le monde.....
En tous cas je me permet de poster les logs hijack et navlog pour tous ceux quiauront la gentillesse de m'aider à virer cet intru.....
Avis aux modérateurs je reposte alors que déjà pas mal de monde ont exposé un problème spyware secure, car je pense que ces "virus" sont à étudier au cas par cas selon la config...sous réserve d'une mé compréhension de ma part.

1) log hijack

Logfile of HijackThis v1.99.1
Scan saved at 20:22:55, on 30/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\windows\system32\tzltax.exe
D:\Program Files\yodm3d(cube bureaux virtuels)\Yodm3D.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\RealVNC\VNC4\WinVNC4.exe
D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Program Files\maintenance\hijackthis\hijackthis_hijackthis_1.99.1_anglais_17891.exe
D:\WINDOWS\system32\HPZipm12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yodm3D] D:\Program Files\yodm3d(cube bureaux virtuels)\Yodm3D.exe
O4 - HKCU\..\Run: [µTorrent] "D:\Program Files\uTorrent\utorrent.exe"
O4 - HKCU\..\Run: [uTorrent] "D:\Program Files\uTorrent\utorrent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{60CEFF18-2103-4E67-8D55-DDDDF37A0C06}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - D:\Program Files\Windows Live\installer\WLSetupSvc.exe

2) rapport navilog

Search Navipromo version 2.0.5 commencé le 30/07/2007 à 20:27:27,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis D:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans D:\WINDOWS ***

*** Recherche dossiers dans D:\Program Files ***

*** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans D:\Documents and Settings\Phil2\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans D:\WINDOWS\system32 :

d:\WINDOWS\system32\tzltax.dat
D:\windows\system32\tzltax.exe
d:\WINDOWS\system32\tzltax_nav.dat
d:\WINDOWS\system32\tzltax_navps.dat

Processus caché(s) dans D:\WINDOWS\system32 :

D:\windows\system32\tzltax.exe

*** Recherche fichiers ***

D:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
D:\WINDOWS\system32\tzltax.dat trouvé !
**
D:\WINDOWS\system32\tzltax.dat trouvé !
***
****
D:\WINDOWS\system32\tzltax_navps.dat trouvé !
*****
******
*******
********

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse Terminé le 30/07/2007 à 20:33:59,87 ***

Voila d'avance merci.

J'ai une question : peut on avoir l'adresse de l'empafé qui injecte spyware secure à notre insu ? car j'aimerais le signaler je ne saispas encore où mais je trouverai, en tous cas lui dire ce que je pense de lui.

Merci bien et bon surf..
Phil2
Configuration: Windows XP
Internet Explorer 7.0

20 réponses

  1. LilG
     
    Bonsoir , ton log hijack est correct par contre tu n'a pas de pare-feu?

    Télécharge F-secure==>https://www.luanagames.com/index.fr.html

    Fait ceci:

    Lance-le en double-cliquant sur le fichier blbeta.exe
    Accepte la licence, et clique enfin sur "Scan"
    Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
    copie/colle le
    0
    1. Utilisateur anonyme
       
      Bonsoir lilg, et merci de te soucier de mon problème

      J'ai le parefeu windows.

      J'ai cliqué sur le lien que tu me donnes, fsbl rootkit se met en route (je n'ai pas l'impression qu'il s'installe, car pas vu dans le program file), il scan puis rien, et je n'arrive pas à trouver le fichier log si il en a généré un... j'ai recherché par "blbeta" et "fsbl" rien. Tu peux me dire où dois je regarder ? s'il t plait.

      A+
      Phil2
      0
    2. Utilisateur anonyme
       
      Re bonsoir lilg

      Bon finalement j'ai réussi à obtenir ce log que tu veux consulter :

      07/31/07 00:37:21 [Info]: BlackLight Engine 1.0.64 initialized
      07/31/07 00:37:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      07/31/07 00:37:21 [Note]: 7019 4
      07/31/07 00:37:21 [Note]: 7005 0
      07/31/07 00:37:27 [Note]: 7006 0
      07/31/07 00:37:27 [Note]: 7011 1512
      07/31/07 00:37:27 [Note]: 7026 0
      07/31/07 00:37:27 [Note]: 7026 0
      07/31/07 00:37:27 [Note]: 7024 3
      07/31/07 00:37:27 [Info]: Hidden process: D:\windows\system32\tzltax.exe
      07/31/07 00:37:29 [Note]: FSRAW library version 1.7.1022
      07/31/07 00:42:51 [Info]: Hidden file: d:\WINDOWS\system32\tzltax.dat
      07/31/07 00:42:51 [Note]: 10002 1
      07/31/07 00:42:52 [Info]: Hidden file: D:\windows\system32\tzltax.exe
      07/31/07 00:42:52 [Note]: 10002 1
      07/31/07 00:42:55 [Info]: Hidden file: d:\WINDOWS\system32\tzltax_nav.dat
      07/31/07 00:42:55 [Note]: 10002 1
      07/31/07 00:42:55 [Info]: Hidden file: d:\WINDOWS\system32\tzltax_navps.dat
      07/31/07 00:42:55 [Note]: 10002 1
      07/31/07 00:47:34 [Note]: 7007 0

      voila bonne nuit et à demain et encore merci.
      Phil2
      a+
      0
  2. LilG
     
    AH excuse moi j'ai zappé

    fait:
    Démarrer =>Poste de travail =>Outils =>Options des dossiers =>Affichage
    Cocher = Afficher les fichiers et dossiers cachés
    Plus bas
    Décocher =Masquer les extensions des fichiers dont le type est connu
    Décocher =Masquer les fichiers protégés du système d'exploitation
    Ne pas tenir compte du message qui s’affiche

    Puis allé supprimé les fichiers indiqués par les fléches (=>XxxX<=):

    D:\windows\system32\=>tzltax.exe<=
    d:\WINDOWS\system32\=>tzltax.dat<=
    D:\windows\system32\=>tzltax.exe<=
    d:\WINDOWS\system32\=>tzltax_nav.dat <=
    d:\WINDOWS\system32\=>tzltax_navps.dat<=

    +Nouveau rapport F-secure :)
    0
  3. Utilisateur anonyme
     
    Salut lilg
    Dsl Problème non règlé je viens encore d'avoir cette ouverture intempestive de spymachin...
    ci joint le log demandé (hier soir en attendant j'avais fait le nettoyage, spybot, ad aware, avg antispyware et avg anti rootkit....juste pour info, puis après nettoyage hd et defrag)
    Merci en tous cas de m'aider
    A+ phil2

    log de fsbl :

    07/31/07 18:46:29 [Info]: BlackLight Engine 1.0.64 initialized
    07/31/07 18:46:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    07/31/07 18:46:29 [Note]: 7019 4
    07/31/07 18:46:29 [Note]: 7005 0
    07/31/07 18:46:32 [Note]: 7006 0
    07/31/07 18:46:32 [Note]: 7011 1516
    07/31/07 18:46:32 [Note]: 7026 0
    07/31/07 18:46:33 [Note]: 7026 0
    07/31/07 18:46:33 [Note]: 7024 3
    07/31/07 18:46:33 [Info]: Hidden process: D:\windows\system32\tzltax.exe
    07/31/07 18:46:34 [Note]: FSRAW library version 1.7.1022
    07/31/07 18:51:45 [Info]: Hidden file: d:\WINDOWS\system32\tzltax.dat
    07/31/07 18:51:45 [Note]: 10002 1
    07/31/07 18:51:46 [Info]: Hidden file: D:\windows\system32\tzltax.exe
    07/31/07 18:51:46 [Note]: 10002 1
    07/31/07 18:51:48 [Info]: Hidden file: d:\WINDOWS\system32\tzltax_nav.dat
    07/31/07 18:51:48 [Note]: 10002 1
    07/31/07 18:51:48 [Info]: Hidden file: d:\WINDOWS\system32\tzltax_navps.dat
    07/31/07 18:51:48 [Note]: 10002 1
    07/31/07 18:54:12 [Note]: 7007 0
    0
  4. LilG
     
    Ah je n'avait pas fait attention au rapport navilog

    Télécharge clean==>http://www.malekal.com/download/clean.zip

    = Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel

    Fait ceci:

    = Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    =double-clic Dossier Clean
    = double-clic Clean. ( avec comme symbole une roue dentée)

    ==> lance clean.zip et choisi choisi l'option 2=taper 2

    = Lance navilog1
    = Cette fois-ci choisi l'option 2
    = Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
    = Un rapport va être génrer sur ton C:\ qui sera en option 2
    Note: le bureau disparaît

    = Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)

    poste le rapport de clean.zip option 2.

    Nouveau rapport F-secure

    encore désolé pour cette faute d'inatentiion!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re bonsoir lilg et pas besoin de t'excuser, c'est déjà sympas de m'aider, c'est moi qui s'excuse avec mon virus..... j'aurais préféré une petite angine...

    Voila ci joint les rapports demandés :

    1) rapport clean :

    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Script execute en mode sans echec 31/07/2007 a 20:21:46,85

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression des fichiers dans D:

    *** Suppression des fichiers dans D:\WINDOWS\

    *** Suppression des fichiers dans D:\WINDOWS\system32

    *** Suppression des fichiers dans D:\Program Files

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !

    2) rapport navilog

    Clean Navipromo version 2.0.5 commencé le 31/07/2007 à 20:26:17,12

    Fix lancé depuis D:\Program Files\navilog1
    Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

    Mode suppression automatique avec prise en charge résultats Blacklight

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

    *** Suppression dossiers dans D:\WINDOWS ***

    *** Suppression dossiers dans D:\Program Files ***

    *** Suppression dossiers dans D:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans D:\Documents and Settings\Phil2\Application Data ***

    *** Suppression fichiers ***

    D:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu D:\WINDOWS\Temp effectué !
    Nettoyage contenu D:\Documents and Settings\Phil2\Local Settings\Temp effectué !

    *** Sauvegarde du registre vers dossier Backupnavi***

    sauvegarde du registre réalise avec succes !

    *** Nettoyage registre ***

    Nettoyage registre Ok

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche et Suppression Heuristique :

    *
    D:\WINDOWS\System32\tzltax.dat trouvé !
    Copie D:\WINDOWS\system32\tzltax.dat réalise avec succes !
    D:\WINDOWS\system32\tzltax.dat supprimé !

    **
    ***
    ****
    D:\WINDOWS\System32\tzltax_navps.dat trouvé !
    Copie D:\WINDOWS\system32\tzltax_navps.dat réalise avec succes !
    D:\WINDOWS\system32\tzltax_navps.dat supprimé !

    *****
    D:\WINDOWS\System32\tzltax_nav.dat trouvé !
    Copie D:\WINDOWS\system32\tzltax_nav.dat réalise avec succes !
    D:\WINDOWS\system32\tzltax_nav.dat supprimé !

    ******
    *******
    ********

    3)Contrôle présence clés Rootkit dans le registre :

    Aucune autre clés présente dans le registre !

    4)Certificats :

    Certificat Egroup supprimé !

    *** Nettoyage termine le 31/07/2007 à 20:28:33,78 ***

    Voila en espérant que ces log seront les bons......et que cette vermine de spy....
    est extermin.
    En tous cas merci lilg
    a+
    phil2
    0
  7. Utilisateur anonyme
     
    Salut lilg

    Et bien si j'ai encore des problèmes avec ce spy.... Ceci étant, je pense que je viens de remarquer un drole de truc, figures toi qu'à chaque fois que je me connecte à comment ça marche, 1 fois sur deux j'ai le page ".....ne peux pas afficher la page....", comme quand on a plus de connexion à internet, par ailleurs dans le cas sur deux où ça marche c'est toujours à ce moment là que le spyware f secure se déclenche......c bizarre.... et lorsque dans le cas où il marque "impossible d'afficher la page...." , si j'essai un autre site ça marche impeccable de plus l'accès à comment ça marche est très long comme si l'ordi ramait....alors que bon athlon xp overclocké avec 1giga ram bien entretenu....pas trop de logiciel dessus...c 'est étonnant et c'est vrai que dans l'ensemble je sent un ralentissement de "vitesse" depuis que j'ai ces prob...j'avais pas trop fait le rapprochement mais depuis que tu t'occupes d'essayer de m'aider je fait bcp plus attention aux symptomes.....

    A plus
    phil2
    0
  8. LilG
     
    L'accés a commentcamarche été chamboulé hier je ne parvenait pas a me connecté nn plus

    Poste un nouveau rapport hijack stp
    0
  9. Utilisateur anonyme
     
    Bonsoir,
    ci joint log hijack.

    Logfile of HijackThis v1.99.1
    Scan saved at 23:39:55, on 02/08/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16473)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\Ati2evxx.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    D:\Program Files\Alwil Software\Avast4\ashServ.exe
    D:\windows\system32\tzltax.exe
    D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    D:\Program Files\yodm3d(cube bureaux virtuels)\Yodm3D.exe
    D:\Program Files\uTorrent\utorrent.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Program Files\RealVNC\VNC4\WinVNC4.exe
    D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    G:\copie disque externe\Informatique\programmes éxécutables\Maintenance\Anti intrusion\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [Yodm3D] D:\Program Files\yodm3d(cube bureaux virtuels)\Yodm3D.exe
    O4 - HKCU\..\Run: [µTorrent] "D:\Program Files\uTorrent\utorrent.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{60CEFF18-2103-4E67-8D55-DDDDF37A0C06}: NameServer = 192.168.1.1
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
    O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - D:\Program Files\Windows Live\installer\WLSetupSvc.exe

    A+
    Phil2
    0
  10. LilG
     
    Ok le rapport est clean

    Poste un nouveau rapport avec F-secure il arrive que des fichiers apparaissent aprés l'analyse de navilog.

    Va dans démmarer==>Rechercher==>Virusgarde==>Supprime tout ce que tu trouve.

    ps: te conseille d'installer un pare feu!
    0
  11. Utilisateur anonyme
     
    Salut,
    ci joint rapport navilog, merci a+

    Search Navipromo version 2.0.5 commencé le 04/08/2007 à 0:05:37,17

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis D:\Program Files\navilog1
    Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans D:\WINDOWS ***

    *** Recherche dossiers dans D:\Program Files ***

    *** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans D:\Documents and Settings\Phil2\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    Fichier(s) caché(s) dans D:\WINDOWS\system32 :

    d:\WINDOWS\system32\tzltax.dat
    D:\windows\system32\tzltax.exe
    d:\WINDOWS\system32\tzltax_nav.dat
    d:\WINDOWS\system32\tzltax_navps.dat

    Processus caché(s) dans D:\WINDOWS\system32 :

    D:\windows\system32\tzltax.exe

    *** Recherche fichiers ***

    D:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    D:\WINDOWS\system32\tzltax.dat trouvé !
    **
    D:\WINDOWS\system32\tzltax.dat trouvé !
    ***
    ****
    D:\WINDOWS\system32\tzltax_navps.dat trouvé !
    *****
    D:\WINDOWS\system32\tzltax_nav.dat trouvé !
    ******
    *******
    ********

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    *** Analyse Terminé le 04/08/2007 à 0:12:37,51 ***
    0
  12. LilG
     
    Bizarre les fichiers supprimé sont de nouveau présent

    Télécharge clean==>http://www.malekal.com/download/clean.zip

    = Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel

    Fait ceci:

    = Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    =double-clic Dossier Clean
    = double-clic Clean. ( avec comme symbole une roue dentée)

    ==> lance clean.zip et choisi choisi l'option 2=taper 2

    = Lance navilog1
    = Cette fois-ci choisi l'option 2
    = Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
    = Un rapport va être génrer sur ton C:\ qui sera en option 2
    Note: le bureau disparaît

    = Redémarre en mode normal et colle le contenu du rapport de navilog (qui est en option 2)

    poste le rapport de clean.zip option 2.

    _______________________________________________________________________________

    Ensuite:

    = Relancer navilog (en mode normale)
    = taper F
    = Appuyer sur une touche jusqu' arriver aux options
    = Choisir option 1 ( = taper 1 )
    ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

    un rapport : fixnavi.txt
    dans ==> C :
    le copier/coller dans la réponse
    0
    1. Utilisateur anonyme
       
      Clean Navipromo version 2.0.5 commencé le 04/08/2007 à 18:38:49,84

      Fix lancé depuis D:\Program Files\navilog1
      Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

      Mode suppression automatique avec prise en charge résultats Blacklight



      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


      *** Suppression dossiers dans D:\WINDOWS ***


      *** Suppression dossiers dans D:\Program Files ***


      *** Suppression dossiers dans D:\Documents and Settings\All Users\Application Data ***


      *** Suppression dossiers dans D:\Documents and Settings\Phil2\Application Data ***



      *** Suppression fichiers ***

      D:\WINDOWS\system32\nvs2.inf supprimé !

      *** Suppression fichiers temporaires ***

      Nettoyage contenu D:\WINDOWS\Temp effectué !
      Nettoyage contenu D:\Documents and Settings\Phil2\Local Settings\Temp effectué !


      *** Sauvegarde du registre vers dossier Backupnavi***


      sauvegarde du registre réalise avec succes !


      *** Nettoyage registre ***


      Nettoyage registre Ok

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche et Suppression Heuristique :

      *
      D:\WINDOWS\System32\tzltax.dat trouvé !
      Copie D:\WINDOWS\system32\tzltax.dat réalise avec succes !
      D:\WINDOWS\system32\tzltax.dat supprimé !

      **
      ***
      ****
      D:\WINDOWS\System32\tzltax_navps.dat trouvé !
      Copie D:\WINDOWS\system32\tzltax_navps.dat réalise avec succes !
      D:\WINDOWS\system32\tzltax_navps.dat supprimé !

      *****
      D:\WINDOWS\System32\tzltax_nav.dat trouvé !


      Salut, ci joint les deux rapports demandés
      merci d'avance, on finira par l'avoir...


      Le premier :

      Copie D:\WINDOWS\system32\tzltax_nav.dat réalise avec succes !
      D:\WINDOWS\system32\tzltax_nav.dat supprimé !

      ******
      *******
      ********

      3)Contrôle présence clés Rootkit dans le registre :

      Aucune autre clés présente dans le registre !

      4)Certificats :

      Certificat Egroup supprimé !

      *** Nettoyage termine le 04/08/2007 à 18:40:41,59 ***


      le deuxième :

      Search Navipromo version 2.0.5 commencé le 04/08/2007 à 18:44:27,68

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Poster ce rapport sur le forum pour le faire analyser !!!
      !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

      Fix lancé depuis D:\Program Files\navilog1
      Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

      Executé en mode normal

      *** Recherche Programmes installes ***




      *** Recherche dossiers dans D:\WINDOWS ***




      *** Recherche dossiers dans D:\Program Files ***




      *** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***




      *** Recherche dossiers dans D:\Documents and Settings\Phil2\Application Data ***



      *** Recherche avec BlackLight Engine/F-secure ***
      BlackLight Engine est un produit de F-secure, pour + d'infos :
      https://www.f-secure.com/en


      F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
      ======================================

      Copyright 2005-2006 F-Secure Corporation. All rights reserved.
      This is a beta version. It will expire on 1st of October, 2007.
      Version information: 2.2.1064.

      [+] Started on 08/04/07 at 18:44:29.
      [+] Initializing ...
      [+] Starting scan, press Ctrl-C to abort.
      [+] Scanning for hidden items ..........................................................
      [+] Scan complete.
      [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
      [+] Exited on 08/04/07 at 18:50:29 (return code = 0).


      *** Recherche fichiers ***




      *** Recherche cles registre ***


      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



      Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



      Recherche Clé Magic Control



      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche fichiers connus:


      2)Recherche Heuristique :
      *
      **
      ***
      ****
      *****
      ******
      *******
      ********

      3)Recherche Certificats :


      *** Analyse Terminé le 04/08/2007 à 18:50:40,37 ***



      je me demande juste une chose : lorsque tu me fais nettoyer en mode "sans échecs" ne faudrait il pas passer par l'administrateur plutôt que l'utilisateur habituel ?

      a+ et encore merci de passer du temps pour moi...
      0
  13. LilG
     
    Salut désolé pas présent ce week-end,

    Non avec l'utilisateur habituel c'est bon aussi,

    Il me faudrait encore un rapport F-secure
    0
    1. Utilisateur anonyme
       
      Salut lilg
      Ci joint le rapport

      08/06/07 17:56:31 [Info]: BlackLight Engine 1.0.64 initialized
      08/06/07 17:56:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      08/06/07 17:56:31 [Note]: 7019 4
      08/06/07 17:56:31 [Note]: 7005 0
      08/06/07 17:56:51 [Note]: 7006 0
      08/06/07 17:56:51 [Note]: 7011 1552
      08/06/07 17:56:51 [Note]: 7026 0
      08/06/07 17:56:51 [Note]: 7026 0
      08/06/07 17:56:51 [Note]: 7024 3
      08/06/07 17:56:51 [Info]: Hidden process: D:\windows\system32\tzltax.exe
      08/06/07 17:56:53 [Note]: FSRAW library version 1.7.1022
      08/06/07 18:02:15 [Info]: Hidden file: d:\WINDOWS\system32\tzltax.dat
      08/06/07 18:02:15 [Note]: 10002 1
      08/06/07 18:02:16 [Info]: Hidden file: D:\windows\system32\tzltax.exe
      08/06/07 18:02:16 [Note]: 10002 1
      08/06/07 18:02:19 [Info]: Hidden file: d:\WINDOWS\system32\tzltax_nav.dat
      08/06/07 18:02:19 [Note]: 10002 1
      08/06/07 18:02:19 [Info]: Hidden file: d:\WINDOWS\system32\tzltax_navps.dat
      08/06/07 18:02:19 [Note]: 10002 1
      08/06/07 18:08:32 [Note]: 7007 0


      a+ phil2
      0
  14. LilG
     
    Ok

    Télécharge OtmoveIT==>http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    Fait ceci:

    = Copier ce texte:

    D:\windows\system32\tzltax.exe
    d:\WINDOWS\system32\tzltax.dat
    D:\windows\system32\tzltax.exe
    d:\WINDOWS\system32\tzltax_nav.dat
    d:\WINDOWS\system32\tzltax_navps.dat

    note : il faut le chemin complet et toutes les suppressions à faire

    = Double-clic sur OTMoveIt.exe
    = Dans le cadre de Gauche ==> clic-droit ==> coller
    = Clic MoveIt!
    = si redémarrage demandé==> Clic : YES
    = Un rapport dans ==> C:_OTMoveItMovedFilesdate du jour à copier/coller dans la réponse
    0
  15. Utilisateur anonyme
     
    Salut
    Désolé de ne pas avoir répondu plus tôt, .... énormément de travail au bureau ces temps ci...
    Ok j'ai fait ce que tu as demandé, mais dans la précipitation j'ai également fait "clean up" juste après avoir fait "movelt", de toute façon c'est seulement après ce clean up qu'il a demandé de rebooter. Donc je ne pense pas avoir fait une grosse bétise.
    Ci joint le log :

    D:\windows\system32\tzltax.exe moved successfully.
    d:\WINDOWS\system32\tzltax.dat moved successfully.
    File/Folder D:\windows\system32\tzltax.exe not found.
    d:\WINDOWS\system32\tzltax_nav.dat moved successfully.
    d:\WINDOWS\system32\tzltax_navps.dat moved successfully.

    Created on 08/12/2007 13:08:52

    Merci à plus
    Phil 2
    0
  16. Utilisateur anonyme
     
    Salut

    And the winner is...........................
    Lilg

    Un ENORME MMMEERRCCII pour m'avoir libéré de cette M.... de spyware.
    Je suis vraiment content, j'ai fait plusieures tentatives de connection sur internet
    et plus rien.

    Lilg t'es une bète.
    Encore merci

    A+
    Phil2 (le content) lol
    0
  17. LilG
     
    Mdr ba sa me fait plizir pour toi :)

    Bonne soirée a toi @++
    0
  18. Utilisateur anonyme
     
    Salut

    Donc après plusieurs jours de fonctionnement je confirme plus aucun problème.

    Merci à lilg, espérant que d'autres profiteront de ce sujet, pour se dépanner.

    A+
    Phil2
    0