Sujet Précédent Sujet Suivant

Ordi infecté par AdWare.Win32.NaviPromo.gen

sandra.l Messages postés 31 Statut Membre -  
 ^^Marie^^ -
et bonjour a tous , pour verification après les soucis de l'ordi d mon fils j'ai verifié le mien et ben voila le resultat ci dessous

KASPERSKY ON-LINE SCANNER REPORT
Sunday, August 19, 2007 6:32:50 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 19/08/2007
Enregistrements dans la base antivirus Kaspersky : 385119

Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\

Statistiques de l'analyse
Total d'objets analysés 39725
Nombre de virus trouvés 3
Nombre d'objets infectés 14 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:57:31

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\03b65d7b43eff2f4ba6b84ced2380c2f_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\554022fcb8e8af6b6d69668dd5802393_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\6931bba942396e44cf5927dfcd9796ca_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\726f41694f72cb5eccceb2d6dcff8bf2_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\7668b537f655bd827fd49ed0a3b482f9_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\7b194169431c510cb16500119de36326_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\9498729ebe9729c1a831fc99aa848c0a_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\b0ef6206cc4dacdf7ae53179b4c11966_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\cebe549e492fa95b4aa50b9e88a3b805_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\db38520671e106f2c66bb5d29c7e2b39_ee5a6b19-8925-4070-9b7c-5fb107acb0df L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Messenger\sandra13112@msn.com\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Messenger\sandra13112@msn.com\SharingMetadata\Working\database_A498_DEE4_98DE_B450\dfsr.db L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Messenger\sandra13112@msn.com\SharingMetadata\Working\database_A498_DEE4_98DE_B450\fsr.log L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Messenger\sandra13112@msn.com\SharingMetadata\Working\database_A498_DEE4_98DE_B450\fsrtmp.log L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Messenger\sandra13112@msn.com\SharingMetadata\Working\database_A498_DEE4_98DE_B450\tmp.edb L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Application Data\Microsoft\Windows Live Contacts\sandra13112@msn.com\real\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Temp\~DFB8B5.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Temp\~DFB946.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\sandra\NTUSER.DAT.LOG L'objet est verrouillé ignoré

C:\Program Files\INSTAFINK\instafink.dll Infecté : not-a-virus:AdWare.Win32.404Search.l ignoré

C:\Program Files\Microsoft SQL Server\MSSQL\Data\master.mdf L'objet est verrouillé ignoré

C:\Program Files\Microsoft SQL Server\MSSQL\Data\mastlog.ldf L'objet est verrouillé ignoré

C:\Program Files\Microsoft SQL Server\MSSQL\Data\model.mdf L'objet est verrouillé ignoré

C:\Program Files\Microsoft SQL Server\MSSQL\Data\modellog.ldf L'objet est verrouillé ignoré

C:\Program Files\Microsoft SQL Server\MSSQL\Data\tempdb.mdf L'objet est verrouillé ignoré

C:\Program Files\Microsoft SQL Server\MSSQL\Data\templog.ldf L'objet est verrouillé ignoré

C:\Program Files\Microsoft SQL Server\MSSQL\LOG\ERRORLOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{A3655532-6B59-483D-9F4A-8B49DA1543E9}\RP537\A0246716.exe/stream/data0002 Infecté : not-a-virus:AdWare.Win32.NaviPromo.ao ignoré

C:\System Volume Information\_restore{A3655532-6B59-483D-9F4A-8B49DA1543E9}\RP537\A0246716.exe/stream Infecté : not-a-virus:AdWare.Win32.NaviPromo.ao ignoré

C:\System Volume Information\_restore{A3655532-6B59-483D-9F4A-8B49DA1543E9}\RP537\A0246716.exe NSIS: infecté - 2 ignoré

C:\System Volume Information\_restore{A3655532-6B59-483D-9F4A-8B49DA1543E9}\RP537\change.log L'objet est verrouillé ignoré

C:\WINDOWS\$_hpcst$.hpc L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{F4218050-3899-4CDB-8415-4A563E3D0CE0}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\aduzmojec.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\cuyjsrb.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré

C:\WINDOWS\system32\oagfoxwnt.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\pbkgxbxqpz.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\rxncnlgtj.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\sclnzfuo.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\sqwplvioj.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\tcsxjfzanm.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\vgqklhwdsz.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\yogpjxf.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_208.dat L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

j'ai avira comme anti virus et il n'a rien trouvé, comment le desinfecter
A voir également:

31 réponses

  • 1
  • 2
Réponse 1 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonsoir sandra

Voici la première partie de la suite : télécharger directement le .exe ici :
< http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe > et enregistre-le sur ton bureau.

Ensuite double clique sur « Navilog1.exe », puis « Exécuter » pour lancer l'installation.
Choisis la langue usuelle.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci navilog1 présent sur le bureau).
(Si ce n'est pas le cas, vas dans le poste de travail, en double-cliquant sur le fichier « navilog1.bat » se trouvant dans %program files%Navilog1).

Laisse-toi guider.
Au menu principal, choisis 1 et valide.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc-notes.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Merci
Al.
0
Réponse 2 / 31
plouf plouf Messages postés 5037 Date d'inscription   Statut Contributeur Dernière intervention   801
 
Bonjour Sandra.l,
Pour commencer
Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

2.Peux tu ,faire les scans, suivants stp :
avg antispsyware
avg antispyware
https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/
puis
Poster un rapport hijacthis
http://telechargement.zebulon.fr/hijackthis-fr.html
http://pageperso.aol.fr/balltrap34/Hijenr.gif
et de poster tous les rapports obtenus/le forum .
Bon courage !
a+;)
Plouf Plouf
EDIT , Bonsoir Afideg, à l'écriture de mon post , rien n'apparraissait encore , désolée .
A bientôt et bonne désinfection :)
0
Réponse 3 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Salut plouf plouf,
No problem.
On peut poursuivre ensemble.
Je ne pourrai pas m'appliquer trop longtemps.
Merci à toi.
Al.
0
Réponse 4 / 31
plouf plouf Messages postés 5037 Date d'inscription   Statut Contributeur Dernière intervention   801
 
Merci de me proposer ça , c'est gentil à toi .
mais pour ma part , je ne vais plus pouvoir poursuivre avant demain, si je vois que sandra.l a besoin d'une réponse , et que tu ne peux pas répondre , je compléterais alors . Puisque tu m'invites à le faire :)
bonne soirée à bientôt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re-bonsoir sandra.l

Peux-tu faire ce que j'ai demandé. S'il te plaît ?

Merci
Al.
0
Réponse 6 / 31
plouf plouf Messages postés 5037 Date d'inscription   Statut Contributeur Dernière intervention   801
 
Bonjour ,
doublon vaio infecte
a+
plouf Plouf
0
Réponse 7 / 31
sandra.l Messages postés 31 Statut Membre
 
voila le rapport avec un peu de retard , touts mes excuses et merci de votr aide

1 fichier(s) copié(s).

Creation de la liste des programmes installes

Veuillez patienter

Search Navipromo version 2.0.8 commence le 20/08/2007 Ó 10:25:21,24

!!! Attention,ce rapport peut indiquer des fichiers/programmes legitimes !!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie desinfection sans l'avis d'un specialiste !!!

*** Recherche Programmes installes ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\WINDOWS ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\Program Files ***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data
***

Veuillez patienter

Recherche terminee

*** Recherche dossiers dans C:\Documents and Settings\sandra\Application Data **
*

Veuillez patienter

Recherche terminee

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Veuillez patienter ... le scan peut durer une dizaine de minutes ...

C:\Program Files\navilog1\fsbl-20070820082618.log
1 fichier(s) copié(s).

*** Recherche fichiers ***

Veuillez patienter

Recherche terminee

*** Recherche cles registre ***

Veuillez patienter

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Lanconfig
LAN REG_SZ UP

! REG.EXE VERSION 3.0

HKEY_USERS\S-1-5-21-1614895754-1580818891-1343024091-1008\Software\Lanconfig
LAN REG_SZ UP
*** Module de Recherche complementaire ***
(recherche fichiers specifiques)

Veuillez patienter...

! REG.EXE VERSION 3.0

HKEY_USERS\S-1-5-21-1614895754-1580818891-1343024091-1008\Software\Microsoft\Sys
temCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C
78640A
Blob REG_BINARY 0F0000000100000010000000718B9510613CCAF8AFCAFCBF
945663A103000000010000001400000062119EF862C6B3A0D853419B87EB3E2F6C78640A20000000
01000000DF030000308203DB30820344A00302010202033FC398300D06092A864886F70D01010405
003055310B3009060355040613025A4131253023060355040A131C54686177746520436F6E73756C
74696E67202850747929204C74642E311F301D0603550403131654686177746520436F6465205369
676E696E67204341301E170D3035303831353031353134345A170D3037303931363133323531325A
30818B310B3009060355040613024652310E300C0603550408130552686F6E65310D300B06035504
0713044C796F6E31193017060355040A1310656C656374726F6E69632D67726F7570312730250603
55040B131E536563757265204170706C69636174696F6E20446576656C6F706D656E743119301706
035504031310656C656374726F6E69632D67726F757030820122300D06092A864886F70D01010105
000382010F003082010A0282010100E2754D8A4E6D4DB6E025B0073520DDD7EEEC116A813940FDA2
C4C66F7A354ADB3036188D4078F8891B3FE15D467DFBA5E17984CAC2B246C27C052E63956DFE817E
B423B9615BDDFDDAADAC5E2AC0F41F583EDD24D7830F5875DF2937A9152B741EEF3950E5116E76D2
E7E3FFDF6FCB5858AF26F5E2EFFD019A1F82B98D7F21ED089D5BB8553CD89C823BECAEB62EA1CC4B
455CB4E93E8AC715320F31DC3FBC2D0BE0D65C608C58C19FF06DA7BC1EC48A45EF0219EEF4029450
4E2663B1C9DAD6A2241DF996C59CF110B706285FBAEAE0C55D776573536218C3C7AE248B82CAE015
13CD8B2828A94F4A70BA6E199919A0F5EAE20643FEAABEBE2BA3B2819E92790203010001A381FD30
81FA301F0603551D250418301606082B06010505070303060A2B0601040182370201163011060960
86480186F8420101040403020410301D0603551D0404163014300E300C060A2B0601040182370201
160302078030230603551D11041C301A82187777772E656C656374726F6E69632D67726F75702E63
6F6D303E0603551D1F043730353033A031A02F862D687474703A2F2F63726C2E7468617774652E63
6F6D2F546861777465436F64655369676E696E6743412E63726C303206082B060105050701010426
3024302206082B060105050730018616687474703A2F2F6F6373702E7468617774652E636F6D300C
0603551D130101FF04023000300D06092A864886F70D01010405000381810075160A692F4BC2096B
CE67C58B0D88320552104E4D35F5018BC2AB1BE03ECAE3C0ABE7DB45629B1B3C1812039145C15D6F
2774C211A2C86F93A819573D58A3C0E66D1E19E84638800E3372880B4E9CDCF70CC769BDEFF236ED
3AC6F20E370122FA791E71B0EA8BE78077FFC288C382B201D78EA8BBF9E9457FAD4EE80273279C

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certifi
cates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
Blob REG_BINARY 0F0000000100000010000000718B9510613CCAF8AFCAFCBF
945663A103000000010000001400000062119EF862C6B3A0D853419B87EB3E2F6C78640A20000000
01000000DF030000308203DB30820344A00302010202033FC398300D06092A864886F70D01010405
003055310B3009060355040613025A4131253023060355040A131C54686177746520436F6E73756C
74696E67202850747929204C74642E311F301D0603550403131654686177746520436F6465205369
676E696E67204341301E170D3035303831353031353134345A170D3037303931363133323531325A
30818B310B3009060355040613024652310E300C0603550408130552686F6E65310D300B06035504
0713044C796F6E31193017060355040A1310656C656374726F6E69632D67726F7570312730250603
55040B131E536563757265204170706C69636174696F6E20446576656C6F706D656E743119301706
035504031310656C656374726F6E69632D67726F757030820122300D06092A864886F70D01010105
000382010F003082010A0282010100E2754D8A4E6D4DB6E025B0073520DDD7EEEC116A813940FDA2
C4C66F7A354ADB3036188D4078F8891B3FE15D467DFBA5E17984CAC2B246C27C052E63956DFE817E
B423B9615BDDFDDAADAC5E2AC0F41F583EDD24D7830F5875DF2937A9152B741EEF3950E5116E76D2
E7E3FFDF6FCB5858AF26F5E2EFFD019A1F82B98D7F21ED089D5BB8553CD89C823BECAEB62EA1CC4B
455CB4E93E8AC715320F31DC3FBC2D0BE0D65C608C58C19FF06DA7BC1EC48A45EF0219EEF4029450
4E2663B1C9DAD6A2241DF996C59CF110B706285FBAEAE0C55D776573536218C3C7AE248B82CAE015
13CD8B2828A94F4A70BA6E199919A0F5EAE20643FEAABEBE2BA3B2819E92790203010001A381FD30
81FA301F0603551D250418301606082B06010505070303060A2B0601040182370201163011060960
86480186F8420101040403020410301D0603551D0404163014300E300C060A2B0601040182370201
160302078030230603551D11041C301A82187777772E656C656374726F6E69632D67726F75702E63
6F6D303E0603551D1F043730353033A031A02F862D687474703A2F2F63726C2E7468617774652E63
6F6D2F546861777465436F64655369676E696E6743412E63726C303206082B060105050701010426
3024302206082B060105050730018616687474703A2F2F6F6373702E7468617774652E636F6D300C
0603551D130101FF04023000300D06092A864886F70D01010405000381810075160A692F4BC2096B
CE67C58B0D88320552104E4D35F5018BC2AB1BE03ECAE3C0ABE7DB45629B1B3C1812039145C15D6F
2774C211A2C86F93A819573D58A3C0E66D1E19E84638800E3372880B4E9CDCF70CC769BDEFF236ED
3AC6F20E370122FA791E71B0EA8BE78077FFC288C382B201D78EA8BBF9E9457FAD4EE80273279C

GenericNaviCheck beta by IL-MAFIOSO
Credits: Malware Analysis & Diagnostic
┌──────────────────────────────────────┐
[+] C:\WINDOWS\system32\zwblynojda.exe
[!] NaviPromo - Malware/Packer.

[+] Total: 1
└──────────────────────────────────────┘ 1 fichier(s) copié(s).

*** Analyse Termine le 20/08/2007 a 10:38:25,09 ***
Appuyez sur une touche pour continuer...
0
Réponse 8 / 31
sandra.l Messages postés 31 Statut Membre
 
la deuxieme partie du rapport et encore merci a vous tous

Search Navipromo version 2.0.8 commencé le 20/08/2007 à 10:25:21,23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\sandra\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\zwblynojda.dat
C:\windows\system32\zwblynojda.exe
c:\WINDOWS\system32\zwblynojda_nav.dat
c:\WINDOWS\system32\zwblynojda_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\zwblynojda.exe

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1614895754-1580818891-1343024091-1008\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
C:\WINDOWS\system32\zwblynojda.dat trouvé !
**
C:\WINDOWS\system32\zwblynojda.dat trouvé !
***
****
*****
******
*******
********

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

C:\WINDOWS\system32\zwblynojda.exe trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Analyse Terminé le 20/08/2007 à 10:38:25,09 ***
0
Réponse 9 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,
OK,
Merci.

Bonjour sandra.l

Dis-moi, ici on est bien sur ton PC.
L'autre topic étant relatif au PC de ton fils ?
Merci.

Continue comme ceci:
Double clique sur le raccourci « navilog1 » présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Laisse toi guider et réponds aux questions éventuelles ( et si ton bureau disparaît, c’est normal ):
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver ( « fichier » > « enregistrer sous » > choisis « bureau » ( par ex. sur le bureau et dénomme-le clean2 )
Poste ce rapport sur ce forum.
Referme le bloc-notes.
Ton bureau va réapparaître

Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau

Merci
Al.
0
Réponse 10 / 31
sandra.l Messages postés 31 Statut Membre
 
oui c'est bien mon pc , voila le rapport d'analyse d'avg, et encor merci de ton aide

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 12:09:02 20/08/2007

+ Résultat de l'analyse:

C:\Program Files\INSTAFINK -> Adware.404Search : Ignoré.
C:\Program Files\INSTAFINK\instafink.dll -> Adware.404Search : Ignoré.
HKLM\SOFTWARE\Classes\ADM25.ADM25 -> Adware.Altnet : Ignoré.
HKLM\SOFTWARE\Classes\ADM25.ADM25\CurVer -> Adware.Altnet : Ignoré.
HKLM\SOFTWARE\Classes\ADM4.ADM4 -> Adware.Altnet : Ignoré.
HKLM\SOFTWARE\Classes\ADM4.ADM4\CurVer -> Adware.Altnet : Ignoré.
HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Adware.Altnet : Ignoré.
HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Adware.Altnet : Ignoré.
C:\Documents and Settings\sandra\Cookies\sandra@netgear.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\sandra\Cookies\sandra@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\sandra\Cookies\sandra@smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\sandra\Cookies\sandra@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.

Fin du rapport
0
Réponse 11 / 31
sandra.l Messages postés 31 Statut Membre
 
voila les 2 rapports 1 avec avira et le 2 eme sans

Search Navipromo version 2.0.8 commencé le 20/08/2007 à 10:25:21,23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\sandra\Application Data ***

...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\zwblynojda.dat
C:\windows\system32\zwblynojda.exe
c:\WINDOWS\system32\zwblynojda_nav.dat
c:\WINDOWS\system32\zwblynojda_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\zwblynojda.exe

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-1614895754-1580818891-1343024091-1008\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
C:\WINDOWS\system32\zwblynojda.dat trouvé !
**
C:\WINDOWS\system32\zwblynojda.dat trouvé !
***
****
*****
******
*******
********

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

C:\WINDOWS\system32\zwblynojda.exe trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

*** Analyse Terminé le 20/08/2007 à 10:38:25,09 ***

Clean Navipromo version 2.0.8 commencé le 20/08/2007 à 12:45:15,67

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\sandra\Application Data ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\sandra\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

*** Recherche avec GenericNaviSearch Beta ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

Aucun Fichier trouvé !

Fichiers suspects non supprimés :

Aucun Fichier suspect trouvé !

*** Nettoyage termine le 20/08/2007 à 12:52:27,92 ***
0
Réponse 12 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Sandra.l ça ne va pas.
C'est quoi tous ces trucs .

Peux-tu faire ce que j'ai demandé post # 9 SVP et me poster le rapport.

Ne fais rien d'autre.

Merci
Al.
0
Réponse 13 / 31
sandra.l Messages postés 31 Statut Membre
 
voila le rapport hijackthis , j'espere que les nouvlles seront bonnes, car moi la !!!!!
en tout cas merci beaucoup

Logfile of HijackThis v1.99.1
Scan saved at 13:10:44, on 20/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\NWDLS.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\notepad.exe
C:\WINDOWS\MMKeybd.exe
C:\Program Files\Netropa\OSD.exe
C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Office Keyboard Driver\PS2USBKbdDrv.exe
C:\Program Files\Multimedia Mouse Driver\MouseDrv.exe
C:\Program Files\NETGEAR\WG511SCU\Utility\Gear511.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [MSN Service] amsnmsgrs.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\MMKeybd.exe
O4 - HKLM\..\Run: [WG511WLU] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S94.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WireLessKeyboard] C:\Program Files\Office Keyboard Driver\StartAutorun.exe PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [AS00_Gear511] C:\Program Files\NETGEAR\WG511SCU\Utility\Gear511.exe -hide
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunServices: [MSN Service] amsnmsgrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\eMule.exe -AutoStart
O4 - Global Startup: Gestionnaire de services SQL Server.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Msde 2000.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\scm.exe
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\sandra\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102w.bay102.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.coupdepoucepc.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Netgear Wireless Domain Login Service (NWDLS) - Unknown owner - C:\WINDOWS\system32\NWDLS.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
0
Réponse 14 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
sandra.l

Si tu n'appliques pas mon post # 12 ( qui renvoit au #9 ) nous ne nous en sortirons pas.

J'attends impatiemment que tu fasses ce que j'ai demandé ==> et c'est urgent !

Al.
0
Réponse 15 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Allo ?

Si tu t'emploies sur deux topic en même temps , ça n'ira pas non plus .
J'attends

Tu as déjà perdu trop de temps sur des tâches que je ne demandais pas .
C'est presque la pagaille .

Merci
Al.
0
Réponse 16 / 31
sandra.l Messages postés 31 Statut Membre
 
voila le rapport

Clean Navipromo version 2.0.8 commencé le 20/08/2007 à 13:57:15,68

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 15.08.2007 a 15h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\sandra\Application Data ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\sandra\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

*** Recherche avec GenericNaviSearch Beta ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

Aucun Fichier trouvé !

Fichiers suspects non supprimés :

Aucun Fichier suspect trouvé !

*** Nettoyage termine le 20/08/2007 à 14:04:11,69 ***
0
Réponse 17 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,
Merci

Je ne vois pas que Navilog1 ait supprimé ce qu'il avait trouvé ; à savoir :
c:\WINDOWS\system32\zwblynojda.dat
C:\windows\system32\zwblynojda.exe
c:\WINDOWS\system32\zwblynojda_nav.dat
c:\WINDOWS\system32\zwblynojda_navps.dat
==> bizarre .

Fais maintenant ceci, SVP :

A)- Suppression des éléments trouvés par Kaspersky.

1°- Télécharger OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

2°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )

3°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller cette liste entière (=le chemin exact) des fichiers que tu dois supprimer :

C:\Program Files\INSTAFINK\instafink.dll
C:\WINDOWS\system32\aduzmojec.exe
C:\WINDOWS\system32\cuyjsrb.exe
C:\WINDOWS\system32\oagfoxwnt.exe
C:\WINDOWS\system32\pbkgxbxqpz.exe
C:\WINDOWS\system32\rxncnlgtj.exe
C:\WINDOWS\system32\sclnzfuo.exe
C:\WINDOWS\system32\sqwplvioj.exe
C:\WINDOWS\system32\tcsxjfzanm.exe
C:\WINDOWS\system32\vgqklhwdsz.exe
C:\WINDOWS\system32\yogpjxf.exe
c:\WINDOWS\system32\zwblynojda.dat
C:\windows\system32\zwblynojda.exe
c:\WINDOWS\system32\zwblynojda_nav.dat
c:\WINDOWS\system32\zwblynojda_navps.dat

-dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ".
-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.
Sinon, arrête puis redémarre le PC.

4°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )

5°- Le rapport se trouve en C:\_OTMoveIt\MovedFiles; tu ouvres le dossier et tu trouveras le rapport à poster.

B)- Suppression des éléments trouvés par AVG Anti-Spyware.

1°- Relance le programme AVG Anti-Spyware

2°- Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
- clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
-< http://bp3.blogger.com/... >

3°- Poste le rapport final.

C)- Mise à jour de HijackThis.

1°- Tu supprimes cette version HijackThis v1.99.1 (vf.exe).

2°- Tu la remplaces par celle-ci, comme ceci :
- Avec connexion au Net en service,
Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 Finale
< http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download > avec un installeur.

- Déconnecte-toi du Net pour installer le programme

Crée un nouveau dossier à la racine de ton disque dur : C:\Program Files\HijackThis.
Pour cela :
Double-clique sur poste de travail, double-clique sur l'icône de C:\ .
Double-clique sur le répertoire Program Files et fais un clic-droit dans la fenêtre et choisis "nouveau" > "nouveau dossier" ==> Nomme-le "HijackThis".
Décompresse le programme précédemment téléchargé dans ce nouveau dossier HijackThis.
S'il n'y est pas, crée un raccourci sur vers le bureau

-Redémarre ton PC impérativement.

( Au besoin un Tutorial de BipBip avec copies d'écran ici < http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm > )

3°- Fais une analyse par HijackThis, comme ceci:
Arrête tous les programmes en cours et ferme toutes les fenêtres
Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »
Poste enfin le rapport.

D)- Il semble que vous n'utilisez pas d'antivirus ou qu'il n'est pas actif.

Télécharger Antivir sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp:< https://www.avira.com/en/free-antivirus-windows > qui prend en compte la case Rootkit. - En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] ( cocher la case « mode expert ».
TUTORIELS : < http://www.malekal.com/tutorial_antivir.html >
< http://www.libellules.ch/tuto_antivir.php > et < http://manuelsdaide.com/Antivir/Antivir.htm > .

Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation;

Attention : Après l'installation du programme, et avant de lancer l'analyse, il faut redémarrer le PC en mode sans échec < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

Lancer Antivir en Scan complet ( analyse avancée )
Supprimer tous les fichiers infectés trouvés;
Poster le rapport SVP.

E)- PARE FEU-WINDOWS
Aucun pare-feu actif sur ton PC .
Vas dans "Panneau de configuration" et ouvre le "Centre de sécurité" (icône du bouclier)
Assure-toi tout d'abord que le pare-feu est activé (le bouton est vert dans ce cas!).
Clique sur le menu pare-feu et sélectionne l'onglet "Exceptions".
Si la case "Partage de fichiers et d'imprimantes" est cochée , décoche-la.
Oui pour un parefeu plus performant, mais le parefeu Windows configuré de cette manière évite la surinfection.

F)- Pour cette O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Accepte que je te livre une info pour Boonty Games:

Sais-tu que leur politique et la suivante (voici ce qu'ils écrivent) ? :
"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent ds services payants et partage des données regroupées montrant le type
et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."

Aussi, si tu es d'accord avec eux, pas de problèmes.
Sinon, il faut le désinstaller comme indiqué ci-dessous.
>
1°- Configure ainsi les paramètres suivants :
Démarrer/PanneauConfiguration/OptionsDossiers /onglet "Affichage" et là :
•- cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
•- décocher la case devant la ligne :
- masquer fichiers protégés du dossier système
Puis cliquer [APPLIQUER à TOUS les Dossiers] et [OK]
>
2°- Ensuite, tu suis le chemin "Poste de Travail" > "C:\" et tu supprimes ( la terminaison ci-après en caractères gras ):
- C:\Program Files\Fichiers communs\BOONTY Shared
- Idem .... autres lignes avec Boonty
>
3°- « Démarrer » > "Exécuter » > taper services.msc et valider par [OK]
La fenêtre des Services s'ouvre => vérifier dans la partie inférieure que l'onglet "Etendu" soit bien sélectionné .
- Dans la colonne de gauche "Nom", DOUBLE CLIQUE sur le service noté en GRAS ci-contre BOONTY Shared pour faire apparaître "Propriétés".
- Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement ci-contre : C:\Program Files\Fichiers communs\BOONTY Shared. - Clique sur Arrêter
- Ensuite, dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
- Valide la modification par OK
- Ferme la fenêtre des Services.
>
4°- Vérifie ceci avec "Démarrer" > "Panneau de Configuration" > [Ajout/Suppr de progr] ==> sélectionne Boonty, BOONTY Shared et/ou Boonty Games > clic sur [Supprimer] )
>
5°- As-tu déjà été dans la Base de registres ? ==> sauvegarde l'intégralité du registre comme ceci : "démarrer"/"exécuter"/taper : regedit

Ne sélectionnez rien d'autre que ( = mettre en surbrillance ) le « Poste de travail » ( afin d'effectuer une sauvegarde global du registre ). ( Ici, dans la suite logique, le Poste de travail , est celui en tête de la liste des clés du registre ; puisqu’à cette étape, on est dans l’éditeur de registres )
• Dans le menu « Fichier » cliquez sur « Exporter.... »
• Dans « Enregistrer dans », choisissez le dossier de sauvegarde. C’est-à-dire : BUREAU.
• Dans le champ "Nom de fichier" : tapez le nom de votre fichier de sauvegarde. (ex : registre1)
• Dans le champ déroulant Type , choisissez "Fichiers d’enregistrement (*.reg)".
< http://img252.imageshack.us/img252/8522/screenshot258es5.gif >
• Cochez la case ( le bouton ratio ) « Tout ».
• Cliquez sur [Enregistrer]. Puis Quitter le registre.
L'icône du fichier de sauvegarde du Registre est sur le bureau.

6°- Lance JV16 ( par exemple ), et fais un prénettoyage complet des cases vertes.
TUTO < http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Maintenance/compatible-vista-windows-sujet_167629_1.htm >
Ensuite, à la section VII-Fonction "chercheur du registre" , tu lances les recherches sur base des mots "Boonty", "Boonty games" et "BOONTY Shared" pour terminer chaque suppression.
Après ça, je ne comprendrais pas qu'il reste des traces de Boonty dans ton PC.

Patience et courage.
C'est presque fini.
Al.

0
Réponse 18 / 31
sandra.l Messages postés 31 Statut Membre
 
rapport de otmoveit

C:\Program Files\INSTAFINK\instafink.dll unregistered successfully.
C:\Program Files\INSTAFINK\instafink.dll moved successfully.
File/Folder C:\WINDOWS\system32\aduzmojec.exe not found.
File/Folder C:\WINDOWS\system32\cuyjsrb.exe not found.
File/Folder C:\WINDOWS\system32\oagfoxwnt.exe not found.
File/Folder C:\WINDOWS\system32\pbkgxbxqpz.exe not found.
File/Folder C:\WINDOWS\system32\rxncnlgtj.exe not found.
File/Folder C:\WINDOWS\system32\sclnzfuo.exe not found.
File/Folder C:\WINDOWS\system32\sqwplvioj.exe not found.
File/Folder C:\WINDOWS\system32\tcsxjfzanm.exe not found.
File/Folder C:\WINDOWS\system32\vgqklhwdsz.exe not found.
File/Folder C:\WINDOWS\system32\yogpjxf.exe not found.
File/Folder c:\WINDOWS\system32\zwblynojda.dat not found.
File/Folder C:\windows\system32\zwblynojda.exe not found.
File/Folder c:\WINDOWS\system32\zwblynojda_nav.dat not found.
File/Folder c:\WINDOWS\system32\zwblynojda_navps.dat not found.
File/Folder not found.

Created on 08/20/2007 15:09:37
0
Réponse 19 / 31
sandra.l Messages postés 31 Statut Membre
 
rapport avg

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 15:41:22 20/08/2007

+ Résultat de l'analyse:

HKLM\SOFTWARE\Classes\ADM25.ADM25 -> Adware.Altnet : Nettoyé.
HKLM\SOFTWARE\Classes\ADM25.ADM25\CurVer -> Adware.Altnet : Nettoyé.
HKLM\SOFTWARE\Classes\ADM4.ADM4 -> Adware.Altnet : Nettoyé.
HKLM\SOFTWARE\Classes\ADM4.ADM4\CurVer -> Adware.Altnet : Nettoyé.
HKLM\SOFTWARE\Classes\AppID\Altnet Signing Module.EXE -> Adware.Altnet : Nettoyé.
HKLM\SOFTWARE\Classes\AppID\adm.EXE -> Adware.Altnet : Nettoyé.
C:\Documents and Settings\sandra\Cookies\sandra@netgear.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\sandra\Cookies\sandra@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\sandra\Cookies\sandra@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\sandra\Cookies\sandra@smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\sandra\Cookies\sandra@statcounter[2].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\Documents and Settings\sandra\Cookies\sandra@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\sandra\Cookies\sandra@m.webtrends[1].txt -> TrackingCookie.Webtrends : Nettoyé.

Fin du rapport
0
Réponse 20 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,
C'est bon tout cela.
Poursuis le reste des manips demandées.
Merci.

PS Aurais-tu fais des manips intermédiaires qui expliqueraient la suppression des éléments trouvés par Kasperky , et par Navilog1 ( dès lors que tu n'avais pas encore lancé l'option 2 de Navilog1 ).
Merci de me les décrire , s'il y a lieu.

Al.
0