Intrusions détectées par Sunbelt Firewall Fermé

Question

Bonjour à tous,

j'étais emm...nuyé depuis quelques temps avec des publicités intempestives (spyware-secure, casino, sites X).

J'ai installé depuis Sunbelt Personal Firewall. Pour l'instant j'ai l'impression de ne plus avoir de pub, par contre Sunbelt me signale régulièrement des tentatives d'intrusion de type "Injection de code". L'application initiatrice est à chaque fois un programme avec un nom qui semble changer, et situé dans System32, style "aevmpsrbj.exe".
A chaque fois, le programme est accompagné de deux fichiers avec le même  nom et les extensions "_nav.dat" et "_navps.dat".

Ci-dessous un log HiJackThis.

Merci d'avance si quelqu'un peut m'aider à me débarrasser de l'intrus...

Tom Pouce

P.S.: je suis informaticien (mais coté développement, pas du tout système) --> je veux bien qu'on m'explique en même temps les manipulations, histoire de me coucher moins bête. Et de me débrouiller tout seul à l'occasion.

-------------------------------------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:31:44, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.avast.com/registration-free-antivirus?lang=FRE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 1
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [bvsilgia] c:\windows\system32\bvsilgia.exe bvsilgia
O4 - HKLM\..\Run: [pdagvsa] c:\windows\system32\pdagvsa.exe pdagvsa
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [messengerskinner] D:\SVG_Petit volume\Documents and Settings\Nanou\Mes documents\MessengerSkinner\MessengerSkinner.exe (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [WeatherDPA] "C:\Program Files\Hotbar\bin\10.0.342.0\Weather.exe" -auto (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [eayakj] c:\windows\system32\eayakj.exe eayakj (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [mskljxmzw] c:\windows\system32\mskljxmzw.exe mskljxmzw (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [ngdndbg] c:\windows\system32
gdndbg.exe ngdndbg (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [enuzub] c:\windows\system32\enuzub.exe enuzub (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [mwnnde] c:\windows\system32\mwnnde.exe mwnnde (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [ipecvrzef] c:\windows\system32\ipecvrzef.exe ipecvrzef (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [cssumcueah] c:\windows\system32\cssumcueah.exe cssumcueah (User 'Nanou')
O4 - HKUS\S-1-5-21-3671820266-2522276285-2732599346-1005\..\Run: [laahva] c:\windows\system32\laahva.exe laahva (User 'Nanou')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 10.5.1.2023 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 10.5.1.2023 (User 'Default user')
O4 - S-1-5-21-3671820266-2522276285-2732599346-1005 Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe (User 'Nanou')
O4 - S-1-5-21-3671820266-2522276285-2732599346-1005 Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe (User 'Nanou')
O4 - S-1-5-21-3671820266-2522276285-2732599346-1005 User Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe (User 'Nanou')
O4 - S-1-5-21-3671820266-2522276285-2732599346-1005 User Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe (User 'Nanou')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Program Files\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?dcae72ceb0474c16b1db5c951e26760c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?dcae72ceb0474c16b1db5c951e26760c
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

jfkpresident · Answer

télécharge navilog ici:http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
installa le sur ton bureau
clic sur l'option 1
poste ton rapport
ne choisi pas l'option 2 sans accord!

tompouce86 · Answer

Bonjour, et merci pour la réponse rapide!

Ci-joint mon log Navilog, bon courage...

------------------------------------------------------------------------------------------
Search Navipromo version 3.3.5 commencé le 11/11/2007 à 12:18:48,28

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 08.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 


*** Recherche Programmes installés ***


MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Thomas\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\THOMAS\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

bbrszksrqn.exe trouvé ! 
bvphgsd.exe trouvé ! 
bvphgsd.dat trouvé ! 
bvphgsd_nav.dat trouvé ! 
bvphgsd_navps.dat trouvé ! 
cwivsditea.exe trouvé ! 
gwapapa.exe trouvé ! 
lqpxmqkplh.exe trouvé ! 
tnrpiqyxs.exe trouvé ! 
tnrpiqyxs.exe trouvé ! 
ziagqqrff.exe trouvé ! 
zuwpks.exe trouvé ! 
aevmpsrbj.exe trouvé ! 
aevmpsrbj.dat trouvé ! 
aevmpsrbj_nav.dat trouvé ! 
aevmpsrbj_navps.dat trouvé ! 
azsngk.exe trouvé ! 
bmxoehsmwb.exe trouvé ! 
btyyfv.exe trouvé ! 
cssumcueah.exe trouvé ! 
cssumcueah.dat trouvé ! 
cssumcueah_nav.dat trouvé ! 
cssumcueah_navps.dat trouvé ! 
cztccbb.exe trouvé ! 
eayakj.exe trouvé ! 
eayakj.dat trouvé ! 
eayakj_nav.dat trouvé ! 
eayakj_navps.dat trouvé ! 
eleueyvpl.exe trouvé ! 
enuzub.exe trouvé ! 
enuzub.dat trouvé ! 
enuzub_nav.dat trouvé ! 
enuzub_navps.dat trouvé ! 
hjgzfekmij.exe trouvé ! 
hojrvid.exe trouvé ! 
ipecvrzef.exe trouvé ! 
ipecvrzef.dat trouvé ! 
ipecvrzef_nav.dat trouvé ! 
ipecvrzef_navps.dat trouvé ! 
laahva.exe trouvé ! 
laahva.dat trouvé ! 
laahva_nav.dat trouvé ! 
laahva_navps.dat trouvé ! 
lcpblriav.exe trouvé ! 
mskljxmzw.exe trouvé ! 
mskljxmzw.dat trouvé ! 
mskljxmzw_nav.dat trouvé ! 
mskljxmzw_navps.dat trouvé ! 
mwhjwrw.exe trouvé ! 
mwnnde.exe trouvé ! 
mwnnde.dat trouvé ! 
mwnnde_nav.dat trouvé ! 
mwnnde_navps.dat trouvé ! 
ngdndbg.exe trouvé ! 
ngdndbg.dat trouvé ! 
ngdndbg_nav.dat trouvé ! 
ngdndbg_navps.dat trouvé ! 
qytxeyxl.exe trouvé ! 
sftodny.exe trouvé ! 
titagab.exe trouvé ! 
toktyhk.exe trouvé ! 
tyusac.exe trouvé ! 
vixmfkzxxz.exe trouvé ! 
wizgxmnppo.exe trouvé ! 
xthzbyj.exe trouvé ! 
yjslze.exe trouvé ! 

* Recherche dans C:\DOCUME~1\THOMAS\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-3416F5C2.pf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\aevmpsrbj.dat trouvé !
C:\WINDOWS\system32\cssumcueah.dat trouvé !
C:\WINDOWS\system32\eayakj.dat trouvé !
C:\WINDOWS\system32\enuzub.dat trouvé !
C:\WINDOWS\system32\ipecvrzef.dat trouvé !
C:\WINDOWS\system32\laahva.dat trouvé !
C:\WINDOWS\system32\mskljxmzw.dat trouvé !
C:\WINDOWS\system32\mwnnde.dat trouvé !
C:\WINDOWS\system32
gdndbg.dat trouvé !
C:\WINDOWS\system32\pdagvsa.dat trouvé !
C:\WINDOWS\system32\aevmpsrbj_nav.dat trouvé !
C:\WINDOWS\system32\bvphgsd_nav.dat trouvé !
C:\WINDOWS\system32\cssumcueah_nav.dat trouvé !
C:\WINDOWS\system32\eayakj_nav.dat trouvé !
C:\WINDOWS\system32\enuzub_nav.dat trouvé !
C:\WINDOWS\system32\ipecvrzef_nav.dat trouvé !
C:\WINDOWS\system32\laahva_nav.dat trouvé !
C:\WINDOWS\system32\mskljxmzw_nav.dat trouvé !
C:\WINDOWS\system32\mwnnde_nav.dat trouvé !
C:\WINDOWS\system32
gdndbg_nav.dat trouvé !
C:\WINDOWS\system32\pdagvsa_nav.dat trouvé !
C:\WINDOWS\system32\qlnisvpsnx.exe trouvé !


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse terminée le 11/11/2007 à 12:19:32,23 ***

jfkpresident · Answer

re,
apparement tu as eu affaire a messenger skinner(spyware secure)
tu peux passer a la phase 2(desinfection)
puis tu desinstalle "navilog"
tu me dit si tu est embeté encore

tompouce86 · Answer

Argh!

la désinfection s'est apparement bien passé (voir le log qui suit)... mais nouvelle alerte subelt sur un programme "opvbywruo.exe" (toujours dans System32). Celui a l'air différent des autres, il n'est accompagné que d'un .dat, et pas des _nav.dat et _navps.dat.

Une suggestion pour la manup suivante?

Merci,

  Tom Pouce

---------------------------------------------------------------------
Clean Navipromo version 3.3.5 commencé le 11/11/2007 à 17:27:31,73

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 08.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique 


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

bbrszksrqn.exe trouvé !
Copie bbrszksrqn.exe réalisé avec succès !
bbrszksrqn.exe supprimé !

bvphgsd.exe trouvé !
Copie bvphgsd.exe réalisé avec succès !
bvphgsd.exe supprimé !

bvphgsd.dat trouvé !
Copie bvphgsd.dat réalisé avec succès !
bvphgsd.dat supprimé !

bvphgsd_nav.dat trouvé !
Copie bvphgsd_nav.dat réalisé avec succès !
bvphgsd_nav.dat supprimé !

bvphgsd_navps.dat trouvé !
Copie bvphgsd_navps.dat réalisé avec succès !
bvphgsd_navps.dat supprimé !

cwivsditea.exe trouvé !
Copie cwivsditea.exe réalisé avec succès !
cwivsditea.exe supprimé !

gwapapa.exe trouvé !
Copie gwapapa.exe réalisé avec succès !
gwapapa.exe supprimé !

lqpxmqkplh.exe trouvé !
Copie lqpxmqkplh.exe réalisé avec succès !
lqpxmqkplh.exe supprimé !

tnrpiqyxs.exe trouvé !
Copie tnrpiqyxs.exe réalisé avec succès !
tnrpiqyxs.exe supprimé !

ziagqqrff.exe trouvé !
Copie ziagqqrff.exe réalisé avec succès !
ziagqqrff.exe supprimé !

zuwpks.exe trouvé !
Copie zuwpks.exe réalisé avec succès !
zuwpks.exe supprimé !

aevmpsrbj.exe trouvé !
Copie aevmpsrbj.exe réalisé avec succès !
aevmpsrbj.exe supprimé !

aevmpsrbj.dat trouvé !
Copie aevmpsrbj.dat réalisé avec succès !
aevmpsrbj.dat supprimé !

aevmpsrbj_nav.dat trouvé !
Copie aevmpsrbj_nav.dat réalisé avec succès !
aevmpsrbj_nav.dat supprimé !

aevmpsrbj_navps.dat trouvé !
Copie aevmpsrbj_navps.dat réalisé avec succès !
aevmpsrbj_navps.dat supprimé !

azsngk.exe trouvé !
Copie azsngk.exe réalisé avec succès !
azsngk.exe supprimé !

bmxoehsmwb.exe trouvé !
Copie bmxoehsmwb.exe réalisé avec succès !
bmxoehsmwb.exe supprimé !

btyyfv.exe trouvé !
Copie btyyfv.exe réalisé avec succès !
btyyfv.exe supprimé !

cssumcueah.exe trouvé !
Copie cssumcueah.exe réalisé avec succès !
cssumcueah.exe supprimé !

cssumcueah.dat trouvé !
Copie cssumcueah.dat réalisé avec succès !
cssumcueah.dat supprimé !

cssumcueah_nav.dat trouvé !
Copie cssumcueah_nav.dat réalisé avec succès !
cssumcueah_nav.dat supprimé !

cssumcueah_navps.dat trouvé !
Copie cssumcueah_navps.dat réalisé avec succès !
cssumcueah_navps.dat supprimé !

cztccbb.exe trouvé !
Copie cztccbb.exe réalisé avec succès !
cztccbb.exe supprimé !

eayakj.exe trouvé !
Copie eayakj.exe réalisé avec succès !
eayakj.exe supprimé !

eayakj.dat trouvé !
Copie eayakj.dat réalisé avec succès !
eayakj.dat supprimé !

eayakj_nav.dat trouvé !
Copie eayakj_nav.dat réalisé avec succès !
eayakj_nav.dat supprimé !

eayakj_navps.dat trouvé !
Copie eayakj_navps.dat réalisé avec succès !
eayakj_navps.dat supprimé !

C:\WINDOWS\prefetch\eayakj*.pf trouvé !
Copie C:\WINDOWS\prefetch\eayakj*.pf réalisé avec succès !
C:\WINDOWS\prefetch\eayakj*.pf supprimé !

eleueyvpl.exe trouvé !
Copie eleueyvpl.exe réalisé avec succès !
eleueyvpl.exe supprimé !

enuzub.exe trouvé !
Copie enuzub.exe réalisé avec succès !
enuzub.exe supprimé !

enuzub.dat trouvé !
Copie enuzub.dat réalisé avec succès !
enuzub.dat supprimé !

enuzub_nav.dat trouvé !
Copie enuzub_nav.dat réalisé avec succès !
enuzub_nav.dat supprimé !

enuzub_navps.dat trouvé !
Copie enuzub_navps.dat réalisé avec succès !
enuzub_navps.dat supprimé !

C:\WINDOWS\prefetch\enuzub*.pf trouvé !
Copie C:\WINDOWS\prefetch\enuzub*.pf réalisé avec succès !
C:\WINDOWS\prefetch\enuzub*.pf supprimé !

hjgzfekmij.exe trouvé !
Copie hjgzfekmij.exe réalisé avec succès !
hjgzfekmij.exe supprimé !

hojrvid.exe trouvé !
Copie hojrvid.exe réalisé avec succès !
hojrvid.exe supprimé !

ipecvrzef.exe trouvé !
Copie ipecvrzef.exe réalisé avec succès !
ipecvrzef.exe supprimé !

ipecvrzef.dat trouvé !
Copie ipecvrzef.dat réalisé avec succès !
ipecvrzef.dat supprimé !

ipecvrzef_nav.dat trouvé !
Copie ipecvrzef_nav.dat réalisé avec succès !
ipecvrzef_nav.dat supprimé !

ipecvrzef_navps.dat trouvé !
Copie ipecvrzef_navps.dat réalisé avec succès !
ipecvrzef_navps.dat supprimé !

C:\WINDOWS\prefetch\ipecvrzef*.pf trouvé !
Copie C:\WINDOWS\prefetch\ipecvrzef*.pf réalisé avec succès !
C:\WINDOWS\prefetch\ipecvrzef*.pf supprimé !

laahva.exe trouvé !
Copie laahva.exe réalisé avec succès !
laahva.exe supprimé !

laahva.dat trouvé !
Copie laahva.dat réalisé avec succès !
laahva.dat supprimé !

laahva_nav.dat trouvé !
Copie laahva_nav.dat réalisé avec succès !
laahva_nav.dat supprimé !

laahva_navps.dat trouvé !
Copie laahva_navps.dat réalisé avec succès !
laahva_navps.dat supprimé !

lcpblriav.exe trouvé !
Copie lcpblriav.exe réalisé avec succès !
lcpblriav.exe supprimé !

mskljxmzw.exe trouvé !
Copie mskljxmzw.exe réalisé avec succès !
mskljxmzw.exe supprimé !

mskljxmzw.dat trouvé !
Copie mskljxmzw.dat réalisé avec succès !
mskljxmzw.dat supprimé !

mskljxmzw_nav.dat trouvé !
Copie mskljxmzw_nav.dat réalisé avec succès !
mskljxmzw_nav.dat supprimé !

mskljxmzw_navps.dat trouvé !
Copie mskljxmzw_navps.dat réalisé avec succès !
mskljxmzw_navps.dat supprimé !

C:\WINDOWS\prefetch\mskljxmzw*.pf trouvé !
Copie C:\WINDOWS\prefetch\mskljxmzw*.pf réalisé avec succès !
C:\WINDOWS\prefetch\mskljxmzw*.pf supprimé !

mwhjwrw.exe trouvé !
Copie mwhjwrw.exe réalisé avec succès !
mwhjwrw.exe supprimé !

mwnnde.exe trouvé !
Copie mwnnde.exe réalisé avec succès !
mwnnde.exe supprimé !

mwnnde.dat trouvé !
Copie mwnnde.dat réalisé avec succès !
mwnnde.dat supprimé !

mwnnde_nav.dat trouvé !
Copie mwnnde_nav.dat réalisé avec succès !
mwnnde_nav.dat supprimé !

mwnnde_navps.dat trouvé !
Copie mwnnde_navps.dat réalisé avec succès !
mwnnde_navps.dat supprimé !

ngdndbg.exe trouvé !
Copie ngdndbg.exe réalisé avec succès !
ngdndbg.exe supprimé !

ngdndbg.dat trouvé !
Copie ngdndbg.dat réalisé avec succès !
ngdndbg.dat supprimé !

ngdndbg_nav.dat trouvé !
Copie ngdndbg_nav.dat réalisé avec succès !
ngdndbg_nav.dat supprimé !

ngdndbg_navps.dat trouvé !
Copie ngdndbg_navps.dat réalisé avec succès !
ngdndbg_navps.dat supprimé !

C:\WINDOWS\prefetch
gdndbg*.pf trouvé !
Copie C:\WINDOWS\prefetch
gdndbg*.pf réalisé avec succès !
C:\WINDOWS\prefetch
gdndbg*.pf supprimé !

qytxeyxl.exe trouvé !
Copie qytxeyxl.exe réalisé avec succès !
qytxeyxl.exe supprimé !

sftodny.exe trouvé !
Copie sftodny.exe réalisé avec succès !
sftodny.exe supprimé !

titagab.exe trouvé !
Copie titagab.exe réalisé avec succès !
titagab.exe supprimé !

toktyhk.exe trouvé !
Copie toktyhk.exe réalisé avec succès !
toktyhk.exe supprimé !

tyusac.exe trouvé !
Copie tyusac.exe réalisé avec succès !
tyusac.exe supprimé !

vixmfkzxxz.exe trouvé !
Copie vixmfkzxxz.exe réalisé avec succès !
vixmfkzxxz.exe supprimé !

wizgxmnppo.exe trouvé !
Copie wizgxmnppo.exe réalisé avec succès !
wizgxmnppo.exe supprimé !

xthzbyj.exe trouvé !
Copie xthzbyj.exe réalisé avec succès !
xthzbyj.exe supprimé !

yjslze.exe trouvé !
Copie yjslze.exe réalisé avec succès !
yjslze.exe supprimé !


* Suppression dans C:\DOCUME~1\THOMAS\LOCALS~1\APPLIC~1 *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Thomas\Application Data ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-3416F5C2.pf supprimé !    

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Thomas\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche, création sauvegardes et suppression Heuristique :

C:\WINDOWS\System32\pdagvsa.dat trouvé !
Copie C:\WINDOWS\system32\pdagvsa.dat réalisé avec succès !
C:\WINDOWS\system32\pdagvsa.dat supprimé !

C:\WINDOWS\System32\pdagvsa_nav.dat trouvé !
Copie C:\WINDOWS\system32\pdagvsa_nav.dat réalisé avec succès !
C:\WINDOWS\system32\pdagvsa_nav.dat supprimé !

C:\WINDOWS\system32\qlnisvpsnx.exe trouvé !
Copie C:\WINDOWS\system32\qlnisvpsnx.exe réalisé avec succès !
C:\WINDOWS\system32\qlnisvpsnx.exe supprimé !


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 11/11/2007 à 17:31:37,14 ***
-----------------------------------------------------

jfkpresident · Answer

essaye la:https://www.virustotal.com/gui/
voit s'il te trouve quelquechose
dis moi si ya du nouveau
normalement tu ne dois plus avoir de "popup" sur le net

tompouce86 · Answer

Seul Panda m'a noté le fichier en question comme "Suspicious file". 

Ca craint?

jfkpresident · Answer

est ce qu'il te propose de le supprimer?

tompouce86 · Answer

Sur virusTotal ils te proposent seulement d'uploader un fichier et de l'analyser, pas de les supprimer. Je ne vois rien pour l'installer sur mon PC?

jfkpresident · Answer

tu ne peux pas effacé le fichier infecté maintenant que tu connais son nom?

tompouce86 · Answer

Je tente le coup, j'ai encore deux exe signalés par sunbelt, avec leur .dat , ygncnv.exe et opvbywruo.exe --> je les renomme en .bad, on verra ce que ca donne...

ygncnv c'est une saloperie, j'ai beau le renommer ca continue à générer des alertes, et le .dat se recrée à chaque fois. Et je ne peux pas le supprimer (accès refusé, fichier occupé)

sur VirusTotal, seul CAT-QuickHeal me le signale comme "suspicious"

Intrusions détectées par Sunbelt Firewall

10 réponses

Discussions similaires

Newsletters