Spyware secure via WebMediaPlayer Résolu/Fermé

Question

Bonjour,
comme beaucoup je me suis faite avoir par le logiciel WebMediaPlayer sur un site qui semblait légitime! depuis des pops up s'affichent pour spyware et mon ordi est très lent.
Après plusieurs tentative par ad-aware et spybot il ne reste plus que 2 possibilités : Navilog1 ou formater mon ordi :) donc on va commencer par le 1er avant de faire le grand chantier!
Voici le résultat d'analyse et merci par avance pour votre aide!


Search Navipromo version 3.1.1 commencé le 26/09/2007 à 12:46:36,50

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 21.09.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\k-ro1981\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***


*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) :

C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe

Processus caché(s) :

C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers suspects :


* Scan C:\Documents and Settings\k-ro1981\local settings\application data *

Fichiers trouvés :

qkutfbqmgx.exe trouvé ! 



*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :


C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 26/09/2007 à 12:58:36,02 ***

jlpjlp · Answer

slt,
 
= Lance navilog1 
= Cette fois-ci choisi l'option 2 
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... *** 
= Un rapport va être génrer sur ton C:\ qui sera en option 2 
Note: le bureau disparaît 

= colle le contenu du rapport de navilog (qui est en option2) 
---------------------- 



Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

·  Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean 
·  Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec 
·  Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.

http://kerio.probb.fr/tuto-Clean-h37.html

kro1981 · Answer

Merci pour la réponse rapide!!!
je viens de passer l'étape 2 mais j'ai l'impression que spybot a bloqué le logiciel... l'ordi a donc redémarré et a effectué l'analyse. 
Pour l'instant je n'ai pas de pub (ouf) mais je ne sais pas si je dois passer à la prochaine étape...
il semble y avoir une erreur dans l'analyse mais je laisse les pro me guider!

Clean Navipromo version 3.1.1 commencé le 26/09/2007 à 13:22:33,75

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 21.09.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11

Mode suppression automatique 


*** Creation backups fichiers trouvés par Blacklight *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe !!ERREUR SUPPRESSION!! 
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe !!ERREUR SUPPRESSION!! 
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe !!ERREUR SUPPRESSION!! 
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe !!ERREUR SUPPRESSION!! 
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe !!ERREUR SUPPRESSION!! 
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe !!ERREUR SUPPRESSION!! 
 
** 2ème passage ** 

C:\WINDOWS\prefetch\qkutfbqmgx*.pf trouvé ! 
Copie C:\WINDOWS\prefetch\qkutfbqmgx*.pf réalise avec succes !
C:\WINDOWS\prefetch\qkutfbqmgx*.pf supprimé !

C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.dat trouvé ! 
Copie C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.dat réalise avec succes !
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.dat supprimé !

C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx_nav.dat trouvé ! 
Copie C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx_nav.dat réalise avec succes !
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx_nav.dat supprimé !

C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx_navps.dat trouvé ! 
Copie C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx_navps.dat réalise avec succes !
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx_navps.dat supprimé !

C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe trouvé ! 
Copie C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe réalise avec succes !
C:\Documents and Settings\k-ro1981\local settings\application data\qkutfbqmgx.exe supprimé !

*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\WINDOWS\system32 *


* Scan C:\Documents and Settings\k-ro1981\local settings\application data *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\k-ro1981\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\k-ro1981\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!



*** Nettoyage termine le 26/09/2007 à 13:28:23,84 ***

kro1981 · Answer

j'ai un nouveau problème désormais... j'ai installé clean.cmd et suivi le tutorio et maintenant j'ai CMD.EXE qui s'ouvre à chaque démarrage! comment faire! help! j'aurais dû m'arrêter à Navilog1 car clean.cmd a ralenti mon ordi...

jlpjlp · Answer

desinstalle clean

_________

fais DEMARRER puis EXECUTER et  tape       msconfig      dans l'onglet demarrer supprime cmd
puis redemarre et accepte le message qui s'affiche
_______

refait navilog premiere partie

kro1981 · Answer

J'avais déjà supprimé le dossier clean et le zip comme dit dans le tutorio. En faisant msconfig > Démarrage il n'y a aucun programme cmd... pourtant il apparaît au démarrage (je dois quitter la fenetre d'exécution pour que mon bureau apparait).
Désolé pour ces problèmes mais je ne vois pas d'autres solutions que ce forum :(
merci par votre aide!
j'ai refais le scan via navilog voici le résultat :

Search Navipromo version 3.1.1 commencé le 26/09/2007 à 15:30:39,01

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 21.09.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\k-ro1981\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\PROGRA~1 ***


*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/26/07 at 15:30:40.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ............................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/26/07 at 15:36:02 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers suspects :


* Scan C:\Documents and Settings\k-ro1981\local settings\application data *



*** Recherche fichiers *** 




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 26/09/2007 à 15:36:35,69 ***

kro1981 · Answer

Je viens de redémarrer et je crois que c'est bon finalement!
Merci JlpJlp! je ne sais pas trop si c'est dû à ça mais j'avais supprimé Ad-aware et Spybot.
Là il a redémarré plus rapidement et sans le cmd.exe.
Donc si j'ai bien compris le forum il faut que je résume la soluce :
- Installer Navilog1 faire l'étape 1
- Attendre le top des pro pour lancer l'étape 2
- Puis perso je m'arrêterai là car Clean m'a un peu fait paniquer... (mais bon je suis pas une pro :)

Merci encore pour votre aide!
Bonne fin de journée :)

jlpjlp · Answer

c'est effectivement peut etre aussi parce que tu as modifié spybot et ad aware que ca a planter


tu peut virer clean et navilog

remets spybot et ad aware

bonne journée

pag · Answer

Bonjour,

J'ai le meme probleme avec webmediaplayer, j'ai effectue une recherche navilog1 et voila le resultat :

Creation de la liste des programmes installes

Veuillez patienter

Search Navipromo version 3.3.8 commence le 03/01/2008 a 14:44:29,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes legitimes !!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie desinfection sans l'avis d'un specialiste !!!




*** Recherche programmes installes ***

 Veuillez patienter


 Recherche terminee


*** Recherche dossiers dans C:\WINDOWS ***

 Veuillez patienter

 Recherche terminee


*** Recherche dossiers dans C:\Program Files ***

 Veuillez patienter

 Recherche terminee


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

Veuillez patienter

 Recherche terminee


*** Recherche dossiers dans "C:\Documents and Settings\Gautier\application data"
 ***

Veuillez patienter

 Recherche terminee


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 Veuillez patienter

 Recherche terminee


*** Recherche avec Catchme par gmer ***
pour + d'infos : http://www.gmer.net

Veuillez patienter ... Le scan peut durer une dizaine de minutes ...

C:\WINDOWS\system32\bbplzh_nav.dat
C:\WINDOWS\system32\bbplzh.dat
C:\WINDOWS\system32\bbplzh.exe
C:\WINDOWS\system32\bbplzh_nav.dat
C:\WINDOWS\system32\bbplzh_navps.dat

*** Recherche avec GenericNaviSearch ***

Veuillez patienter

        1 fichier(s) copi¨¦(s).

GenericNaviCheck v0.2 for IL-MAFIOSO
Credits: Malware Analysis & Diagnostic
Coded by fRoGGz - SecuBox Labs (FRANCE)
©°©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©´
©¸©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¼        1 fichier(s) c
opi¨¦(s).

GenericNaviCheck v0.2 for IL-MAFIOSO
Credits: Malware Analysis & Diagnostic
Coded by fRoGGz - SecuBox Labs (FRANCE)
©°©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©´
©¸©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¤©¼
*** Recherche fichiers ***

Veuillez patienter

 Recherche terminee

*** Recherche cles specifiques dans le Registre ***

 Veuillez patienter


! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Lanconfig
    LAN REG_SZ  UP

*** Module de Recherche complementaire ***

Veuillez patienter...


! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates\TrustedPublisher\Certifi
cates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
    Blob        REG_BINARY      0F0000000100000010000000718B9510613CCAF8AFCAFCBF
945663A103000000010000001400000062119EF862C6B3A0D853419B87EB3E2F6C78640A20000000
01000000DF030000308203DB30820344A00302010202033FC398300D06092A864886F70D01010405
003055310B3009060355040613025A4131253023060355040A131C54686177746520436F6E73756C
74696E67202850747929204C74642E311F301D0603550403131654686177746520436F6465205369
676E696E67204341301E170D3035303831353031353134345A170D3037303931363133323531325A
30818B310B3009060355040613024652310E300C0603550408130552686F6E65310D300B06035504
0713044C796F6E31193017060355040A1310656C656374726F6E69632D67726F7570312730250603
55040B131E536563757265204170706C69636174696F6E20446576656C6F706D656E743119301706
035504031310656C656374726F6E69632D67726F757030820122300D06092A864886F70D01010105
000382010F003082010A0282010100E2754D8A4E6D4DB6E025B0073520DDD7EEEC116A813940FDA2
C4C66F7A354ADB3036188D4078F8891B3FE15D467DFBA5E17984CAC2B246C27C052E63956DFE817E
B423B9615BDDFDDAADAC5E2AC0F41F583EDD24D7830F5875DF2937A9152B741EEF3950E5116E76D2
E7E3FFDF6FCB5858AF26F5E2EFFD019A1F82B98D7F21ED089D5BB8553CD89C823BECAEB62EA1CC4B
455CB4E93E8AC715320F31DC3FBC2D0BE0D65C608C58C19FF06DA7BC1EC48A45EF0219EEF4029450
4E2663B1C9DAD6A2241DF996C59CF110B706285FBAEAE0C55D776573536218C3C7AE248B82CAE015
13CD8B2828A94F4A70BA6E199919A0F5EAE20643FEAABEBE2BA3B2819E92790203010001A381FD30
81FA301F0603551D250418301606082B06010505070303060A2B0601040182370201163011060960
86480186F8420101040403020410301D0603551D0404163014300E300C060A2B0601040182370201
160302078030230603551D11041C301A82187777772E656C656374726F6E69632D67726F75702E63
6F6D303E0603551D1F043730353033A031A02F862D687474703A2F2F63726C2E7468617774652E63
6F6D2F546861777465436F64655369676E696E6743412E63726C303206082B060105050701010426
3024302206082B060105050730018616687474703A2F2F6F6373702E7468617774652E636F6D300C
0603551D130101FF04023000300D06092A864886F70D01010405000381810075160A692F4BC2096B
CE67C58B0D88320552104E4D35F5018BC2AB1BE03ECAE3C0ABE7DB45629B1B3C1812039145C15D6F
2774C211A2C86F93A819573D58A3C0E66D1E19E84638800E3372880B4E9CDCF70CC769BDEFF236ED
3AC6F20E370122FA791E71B0EA8BE78077FFC288C382B201D78EA8BBF9E9457FAD4EE80273279C


*** Analyse terminee le 03/01/2008 a 15:05:18,39 ***
Appuyez sur une touche pour continuer...




Voil¨¤, est-ce que je peux supprimer automatiquement sans enlever de fichiers l¨¦gitimes.

Merci d'avance.

jlpjlp · Answer

refais un rapport navilog et colle le car il y a eu un souci

pag · Answer

Merci de la réponse rapide.
Finalement, j'ai fais une installation de "promorever"  (http://www01.pc-on-internet.com/uninstall/download/promoremover_20080103203030.zip) proposé par WebMediaPlayer pour enlever toutes les publicités qu'il mettait.
Pour l'instant, je n'ai pas revu de publicité. Je ne sais pas si j'ai bien fait, mais c'est plus rapide que de faire plein de recherches navilog...

D'après vous ai-je bien fait ?

jlpjlp · Answer

pour spywrae secure il vaudrait mieux me coller un rapport navilog bien fait pour etre sûr

a plus

Spyware secure via WebMediaPlayer

11 réponses

Discussions similaires