Adware.Navipromo Résolu

Question

Bonsoir,
Je rencontre exactement le même problème que décrit par Nina concernant ce virus dont Bitdefender n'arrive pas à me débarrasser...

Pour infos, quelles sont les conséquences de ce machin???

Voici le rapport obtenu:

Search Navipromo version 3.3.6 commencé le 19/11/2007 à 20:04:25,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 


*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Duhagon\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\DUHAGON\LOCALS~1\APPLIC~1



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\DUHAGON\LOCALS~1\APPLIC~1 *



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse terminée le 19/11/2007 à 20:05:26,75 ***

Voilà, je vous remercie par avance de votre aide.
Bien cordialement
Thierry.

nardino · Answer

Bonsoir.
Rien à signaler dans ce rapport.
Tu peux supprimer navilog
- Via ajout/suppression des programmes (Navilog1 3.11)
- Via le fichier unins000.exe présent dans le dossier %programfiles%
avilog1.

Puis supprime ensuite le dossier C:\Program Files\Navilog1.

Décris les symptômes que tu constates sur ton pc et poste un rapport Hijackthis:
Installe cet utilitaire (Hijackthis):
http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download

Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe

-Lance-le par Do a system scan and save a logfile.
-A la fin du scan, un blocnote va s'ouvrir, enregistre le sous HJT1.txt.
-Puis sans le fermer :
CTRL+A pour tout sélectionner
CTRL+C pour copier 
CTRL+V pour coller dans la réponse
-Et tu le refermes pour le moment.
-Tu attends les résultats de l'analyse.

Thierry DUHAGON · Answer

Ce qui nous donne...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:45, on 19/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Microsoft IntelliType Pro	ype32.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logitech\Profiler\lwemon.exe
C:\Program Files\WheresJames\StartupMgr\StartupMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\VSTASCAN\vsaccess.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BHO Barre de Confiance CM-CIC - {988B07F5-7392-455A-8A1F-64935CB8B6ED} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro	ype32.exe"
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Program Files\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [WheresJames Startup Manager] C:\Program Files\WheresJames\StartupMgr\StartupMgr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://tarot4.obs-azur.fr/activex/AxisCamControl.cab
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll (file missing)
O22 - SharedTaskScheduler: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll (file missing)
O23 - Service: Apache2 - Unknown owner - C:\MoCCAM\apache\bin\Apache.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: MySQL - Unknown owner - C:\MoCCAM\mysql\bin\mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Thierry DUHAGON · Answer

Je ne rencontre aucun problème particulier sur mon PC

Il n'y a que Bit Défender qui réagit a chaque analyse ou des que je souhaite éliminer les fichiers Temporaires.

Fichier:
c:\documents and settings\duhagon\local settings	empory internet files\content.ie5\0vqvbi9\webmediaplayer_setup[1].exe =>(NSIS2o)=>Izma_solid_nsis0014=>(NSISg)=>Izma_solid_nsis0002

Infecté par:
Adware.Navipromo.BYN


Mon PC:
NVIDIA Geforce FX5700LE
AMD Athlon XP2600+
1.92 GHZ
1Go de Ram
sous XP

Merci!

nardino · Answer

Bonsoir.
Telecharge ATF-Cleaner : http://www.atribune.org/content/view/25/1/

Ouvre ATF-Cleaner et clique sur [b]Select All[/b] et sur le bouton [b]Empty selected[/b], puis [b]OK[/b] dans le popup [b]Done[/b] qui s'ouvrira quelques secondes plus tard.
Puis [b]Quit[/b].


Pour Firefox et/ou Opéra, clique en haut sur le nom du navigateur et même chose en décochant les mots de passe si tu veux les conserver.
(La question te sera posée si tu ne le décoches pas.)

Et cela devrait résoudre ton problème.

Thierry DUHAGON · Answer

Merci de ton aide!

Je viens d efaire la manip à plusieurs reprises mais dés que je clique sur Empty selected... Bit Defender détecte les 2 fichiers navipromo et le message No files were removed s'affiche!

;-)

nardino · Answer

Bonsoir,
Télécharge OTMoveIt : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe Sur ton bureau. Important.

Tu le lances, il ne nécessite pas d'installation.

Tu inscris (ou tu colles) le chemin du fichier/dossier à supprimer dans la fenêtre de gauche (Paste List of Files/Folders to be moved) et tu cliques sur MoveIt!.
(La case Unregister Dll's and OCX's doit être cochée.)
c:\documents and settings\duhagon\local settings	empory internet files\content.ie5\0vqvbi9\webmediaplayer_setup[1].exe
Le fichier passe alors dans la fenêtre de droite.
Et tu obtiendras à la racine du système un dossier C:\_OTMoveIt
Dans ce dernier un sous-dossier Moved Files dans lequel il y aura une sauvegarde du/des fichier(s) supprimé(s) et un fichier de ce type
 ********_******.log (mm/jj/aaaa_hh/mm/ss = date et horaire de la suppression).
Tu le posteras par copier-coller pour contrôle.

Si un redémarrage est demandé, accepte-le après avoir fermé tes applications en cours

Thierry DUHAGON · Answer

Bon je dois avoir une erreur dans cette ligne

c:\documents and settings\duhagon\local settings	empory internet files\content.ie5\0vqvbi9\webmediaplayer_setup[1].exe 

modifiée en:

c:\documents and settings\duhagon\local settings	empory internet files\content.ie5\Ovqvgbi9\webmediaplayer_setup[1].exe 

Echec:  Can not create file


c:\documents and settings\duhagon\local settings	empory internet files\content.ie5\0vqvgbi9\webmediaplayer_setup[1].exe 

Echec: cannot create file:
not found!

Quelle vacherie ce truc là!!!

nardino · Answer

Bonsoir,
La bonne adresse est :

c:\documents and settings\duhagon\local settings	emporary internet files\content.ie5\0vqvgbi9\webmediaplayer_setup[1].exe

Thierry DUHAGON · Answer

Là je reste sur le c...!!!

Bon la manip est effectuée


En voulant supprimer les messages temp, Bit Defender déteste encore ces fichiers navipromo!!!

nardino · Answer

Bonjour,
Je peux voir le rapport OtMoveIt ?

Thierry DUHAGON · Answer

Bonjour!
Et voici le rapport... je viens de refaire la manip à l'instant:

File move failed. c:\documents and settings\duhagon\local settings	emporary internet files\content.ie5\0vqvgbi9\webmediaplayer_setup[1].exe scheduled to be moved on reboot.
 
Created on 11/20/2007 13:24:00

Encore merci de l'aide!

;-)

Th.

nardino · Answer

Bonjour,
As-tu redémarré ?
Le problème est-il résolu ?

Thierry DUHAGON · Answer

Bonsoir!!!

Oui, j'ai effectivement redémarrer le PC mais Bit Defender... détecte toujours cette vacherie dés que je supprime les fichiers temporaires... c'est toujours là!

;-)

nardino · Answer

Peux-tu te rendre dans ce dossier pour y vérifier la présence du fichier .
Et tu m'indiques le chemin exact ainsi que le nom du fichier.

Thierry DUHAGON · Answer

Alors... quelques trucs bizarres!

c: Disque local
Documents and settings
Duhagon
Local settings
Temp

et là ... rien ne ressemble au message de Bit defender

c:\documents and settings\duhagon\local settings	emporary internet files\content.ie5\0vqvgbi9\webmediaplayer_setup[1].exe=>(NSIS2o)=>Izma_solid_nsis0014=>(NSISg)=>Izma_solid_nsis0002 

Rien de tout ca dans Temp!

!!!

nardino · Answer

Bonsoir.
Tu ne vois pas le dossier Temporary Internet Files ?
Dans une fenêtre de l'explorateur Windows, Outils, Options des dossiers, Onglet Affichage:
Tu coches
-Afficher les dossiers et fichiers cachés
Tu décoches
-Cacher les extensions des fichiers dont le type est connu.

Thierry DUHAGON · Answer

IDEM!

j'ai un dossier Tempory Internet Files dans

c: Disque local 
Documents and settings 
Default User
Local settings
Tempory Internet Files... mais il est vide.

nardino · Answer

Re,

Affiche les fichiers système pour voir s'il est toujours vide.

Thierry DUHAGON · Answer

OK... il y a du monde maintenant!
mais je ne trouve pas:
content.ie5\0vqvgbi9\webmediaplayer_setup[1].exe

Le seul fichier ou figure adware navipromo dans l'extension semble être un fichier image

Voilà!

Thierry DUHAGON · Answer

Il n'y a plus que du fichier texte, des cookies, et 2 fichiers favicon.ico
et aucun 
content.ie5\0vqvgbi9\webmediaplayer_setup[1].exe 

...

nardino · Answer

Bonsoir.
Si tu as bien supprimer le dossier navilog1 je ne vois pas d'où vient le problème.

Thierry DUHAGON · Answer

Bonjour,
résultat de l'analyse anti virale de cette nuit avec Bit Defender:


//-----------------------------------------------------------------
//
//	ProduitBitDefender Antivirus v10
//	Produit10.2
//
//	Créé le: 	20/11/2007	23:11:20
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: 	C:\
Dossiers	: 7707
Fichiers	: 386701
Processus Mémoire analysés	: 36
Archives	: 3959 
Fichiers enpaquetés 	: 31994
Virus trouvés	: 1
Fichiers infectés 	: 2
Processus Mémoire infectés	: 0
Fichiers suspects 	: 0
Alertes	: 0
Fichiers désinfectés 	: 0
Fichiers effacés	: 0
Fichiers déplacés	: 0
Erreurs I/O 	: 26
Temps d'analyse 	:=01:18:35
Fichiers/seconde 	:82

Statistiques Spywares

Registres analysés		: 1711
Registres infectés 		: 0
Cookies analysés			: 38
Cookies infectés		: 0
Fichiers spyware infectés			: 0
Menaces Spyware détectées	: 0


Définitions virus	: 956607
Plugins d'analyse	: 16
Plugins archives	: 41
Plug-ins décompression	: 7
Plug-ins messagerie	: 6
Plug-ins système	: 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[X] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[ ] Programmes
[X] Tous les fichiers
[ ] Extensions définies par l'utilisateur: 
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\deep_scan\1195596680.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe=>(NSIS 2o)=>lzma_solid_nsis0006	Détecté: Adware.Navipromo.BYN
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe=>(NSIS 2o)=>lzma_solid_nsis0006	Désinfection impossible
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe=>(NSIS 2o)=>lzma_solid_nsis0006	Déplacement impossible
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe=>(NSIS 2o)=>lzma_solid_nsis0014=>(NSIS g)=>lzma_solid_nsis0002	Détecté: Adware.Navipromo.BYN
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe=>(NSIS 2o)=>lzma_solid_nsis0014=>(NSIS g)=>lzma_solid_nsis0002	Désinfection impossible
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe=>(NSIS 2o)=>lzma_solid_nsis0014=>(NSIS g)=>lzma_solid_nsis0002	Déplacement impossible


pfffffffff!!!

J'enrage....

Thierry DUHAGON · Answer

Et si maintenant j'analyse que le fichier Tempory Internet Files... il ne trouve rien!!!!!!


//-----------------------------------------------------------------
//
//	ProduitBitDefender Antivirus v10
//	Produit10.2
//
//	Créé le: 	21/11/2007	07:54:32
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: 	C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files
Dossiers	: 10
Fichiers	: 10
Processus Mémoire analysés	: 0
Archives	: 0 
Fichiers enpaquetés 	: 0
Virus trouvés	: 0
Fichiers infectés 	: 0
Processus Mémoire infectés	: 0
Fichiers suspects 	: 0
Alertes	: 0
Fichiers désinfectés 	: 0
Fichiers effacés	: 0
Fichiers déplacés	: 0
Erreurs I/O 	: 0
Temps d'analyse 	:=00:00:02
Fichiers/seconde 	:5

Définitions virus	: 956651
Plugins d'analyse	: 16
Plugins archives	: 41
Plug-ins décompression	: 7
Plug-ins messagerie	: 6
Plug-ins système	: 5

Options d'analyse

Détection
[ ] Analyser le secteur de boot
[ ] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur: 
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[X] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\Duhagon\Application Data\BitDefender\Desktop\Profiles\Logs\contextual\1195628072.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[ ] Clés de registres
[ ] Cookies


Fichiers analysés

C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\AntiPhishing\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\A34JZ6AD\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\A34JZ6AD\desktop.ini	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\desktop.ini	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\index.dat	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\LBC58Y21\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\MUW3RTQJ\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\MUW3RTQJ\ccsetup201[1].exe	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\NTWOD3R1\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\NTWOD3R1\desktop.ini	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\WBXMTLK1\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\WBXMTLK1\desktop.ini	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\WXVHO9VF\	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\WXVHO9VF\desktop.ini	OK
C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\desktop.ini	OK

SAcré bazard!

Thierry DUHAGON · Answer

Enfin, si j'utilise ATF Cleaner exe, Bit Defender dégage encore les 2 dossiers adware navipromo

En tout cas, encore merci beaucoup de ton aide et de ta disponibilité.

Th

nardino · Answer

Bonjour,

1-Télécharge BFU (Brut Force Uninstall de Merijn)
http://www.merijn.org/files/bfu.zip

2-Création du dossier bfu 
Tu crées un dossier(b]bfu[/b], par exemple C:\bfu, donc à la racine du système.
Tu y décompresses bfu.zip et tu obtiens un fichier bfu.exe

3-Creation du script thierry.bfu
Fais un copier/coller des lignes ci-dessous (en italique) dans le Blocnote.
Note: Dans le Bloc-notes, vérifier dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
Enregistre le fichier dans le dossier C:\bfu sous le nom de thierry.bfu
Pour cela, choisir "Tous les fichiers" dans la liste déroulante de "Type" lors du "Enregistrer sous..".
Si l'extension est thierry.bfu.txt, renomme le fichier en thierry.bfu 

FileDelete C:\Documents and Settings\Duhagon\Local Settings\Temporary Internet Files\Content.IE5\0VQVGBI9\webmediaplayer_setup[1].exe

4- Redémarrage en mode sans échec
Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.

Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire.
Il faut choisir la même session qu'en mode normal et non pas la session administrateur.

5-Exécution du script thierry.bfu

Clic droit et exécuter en tant qu'administrateur.
Quand tu cliques sur l'icône "dossier" à droite de la barre, "Script to execute", sélectionne thierry.bfu
Coche la case devant "Show log after script ends"
Tu valides et ensuite tu cliques sur "Execute".
Attend l'apparition de  Complete script execution et clique sur OK.
Clique sur Exit pour fermer le programme.

6- Redémarrage en mode normal.

Donne des infos sur l'évolution de la situation.

Thierry DUHAGON · Answer

Comme son nom l'indique... ca va être du brutal!!!
Là je suis short timing... mais je fais tout ceci ce soir.

Encore merci!
Thierry.

PS: notice imprimée et programme téléchargé! Prêt pour ce soir! ;-)

afideg · Answer

Up
Juste pour suivre.
Merci.
Al.

Thierry DUHAGON · Answer

Nardino,

Script éxecuté!!!

BFU v1.10.0
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 21:08:09, on 21/11/2007

Script completed.


Et ce coup là ... tu l'as eu!!!!!!!

Un grand merci pour tout ce travail, ta patience et ta persévérance!

Je ne connaissais pas ce forum, mais là, je vais faire une pub d'enfer !!!!

Enfin, et sans indiscrétion, ca marche comment tout ca? C'est ton boulot? c'est bénévole? 

En tout cas chapeau!!!

Thierry

Thierry DUHAGON · Answer

Et je ne suis pas prêt de recliquer sur une pub à la c.. en plus sur un site sur le quel je vais régulièrement: https://www.airliners.net/ où je n'ai jamais eu de problème!
LA pub en question concernait un truc comme "avoir plusieurs chaine de TV par internet"
Bit Defender avait détecté cette daube  à ce moment là pour la première fois!!!!

Merci
A+

Th.

nardino · Answer

Bonsoir.
Tu peux supprimer le dossier bfu et tout ce qu'il contient.
Pour répondre à ta question, je suis comme tout le mode ici bénévole et ce n'est pas du tout mon boulot.
Je suis un ancien menuisier, ce qui n'est pas du tout le même job.
Heureux de t'avoir dépanné.
Je me surnommes volontiers le pitt-bull  lol
Passe ta question en résolu.

Quelques conseils.

Tu peux remplacer, dans l'usage courant, Internet Explorer par :
-Firefox : http://www.mozilla-europe.org/fr/products/firefox/
-CookieSafe : https://addons.mozilla.org/fr/firefox/addon/2497
-Noscript : https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org 
-AdblockPlus : https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org
Il faut cependant conserver IE pour les mises à jours sur WindowsUpdate  ou les sites d'analyses antivirus en ligne qui utilisent les activeX.

De même pour gérer ta messagerie, remplace Outlook Express ou Windows mail par :
Thunderbird : http://www.mozilla-europe.org/fr/products/thunderbird/

Pour ta protection.
 
Antivirus payant:
- AVK G DATA : http://www.antivirus-avk.fr/index.php (avec ou sans pare-feu)
- Kaspersky : https://www.kaspersky.fr/ (avec ou sans pare-feu
- Antivir Personal Edition Premium : https://www.avira.com/ (protège la messagerie)
- Avira Premium Security Suite : https://www.avira.com/ (pare-feu inclus 

Gratuit

- AntiVir Personal : https://www.avira.com/
- Avast : https://www.avast.com/fr-fr/free-antivirus-download

Pare-feu

En français
- Comodo™ Firewall : http://www.personalfirewall.comodo.com/
- PC Tools Firewall Plus : https://fr.norton.com/
- Kerio Personal Firewall : http://www.sunbelt-software.com/Kerio-Download.cfm

En anglais
-Online Armor Free Personal Firewall : http://www.tallemu.com/online_armor_free.html

Tenir à jour régulièrement:
- Adobe reader : https://get2.adobe.com/reader/otherversions/
- Foxit reader : https://www.foxitsoftware.com/pdf-reader/ (Alternative au premier)
- Sun Java JRE : https://www.oracle.com/java/technologies/javase-downloads.html

Installer un fichier Hosts comme présenté sur ce deux liens. 
- Par Tesgaz : http://speedweb1.free.fr/frames2.php?page=securite10
- Par Terdef : http://assiste.com.free.fr/p/carnets_de_voyage/hosts.html
- Par Malekal : https://www.malekal.com/fichier-hosts/

Pour le nettoyage et la protection en résident contre les spywares:
- AVG AntiSpyware : https://www.avg.com/en-ww/free-antivirus-download (gratuit et payant pour conserver les mises à jour automatiques et la protection résidente.)
- Spybot Search and Destroy : https://www.safer-networking.org/ (Utile pour le Tea-Timer, sa vaccination et son fichier hosts entre autre.

Eviter les sites à risques:
Crack et warez, xxx, jeux gratuits souvent, téléchargement par P2P
Le P2P par Gof : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
Les risques du P2P par Tesgaz : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
Les dangers des cracks par Malekal : http://forum.malekal.com/ftopic893.php

Ne pas cliquer sur n'importe quoi.
Toujours bien lire quand tu installes un programme, pour n'installer que lui et pas les copains (toolbar et autres intrus)
Exemple :
- MessengerSkinner avec Messenger plus, appelé "sponsors"
- Néro et la Ask Toolbar
- Certaines versions de Firefox avec la Google toolbar
- Etc...

Contrôler tout ce qui a été téléchargé ou envoyé par Msn, avant de l'ouvrir où plus encore de l'exécuter, en cliquant droit sur le fichier et contrôler avec l'antivirus voir un antispyware.
Pour les pièces jointes de messagerie, les enregistrer au préalable et pratiquer comme ci-dessus.

Thierry DUHAGON · Answer

Et bien merci pour toute ces infos et encore merci à toi pour le boulot!
Je suis bluffé!
Je viens de faire de la pub sur le forum Orbiter... simulateur spatial!

A+
Thierry

Thierry DUHAGON · Answer

Discussion terminée

Thierry DUHAGON · Answer

... tu fais comment pour notifier que c'est résolu????

nardino · Answer

Je m'en occupe.
Il suffit de cliquer sur Problème résolu en dessous de ce cadre de réponse

afideg · Answer

Bonjour Nardino et Thierry DUHAGON, J'aimerais faire un test dès lors que ce topic est résolu, s'il vous plaît. Rechercher des traces résiduelles éventuelles de WebMediaPlayer, comme ceci: 1°- Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe > •-Enregistre-le sur ton bureau •- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > •- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper (ou faire un copier/coller de) : valeur à rechercher avec l’extension du fichier , soit webmediaplayer_setup[1].exe - Type de recherche : sélectionner l'option 6 puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp > •- OAD va maintenant rechercher le fichier. Laisse-le travailler jusqu'à ce qu'il en ait terminé. Suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Patienter. •- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé. •- Faire un copier/coller de ce rapport dans ton prochain post. •-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors du téléchargement / utilisation 2°- Installe ceci < http://www.billsway.com/vbspage/vbsfiles/FileInfo.zip > sur le bureau. Le dézipper.(extraire ici) Une fois que fileinfo.vbs est lancé, il demande sur quel disque dur on veut rechercher le fichier Soit on tape la lettre du lecteur; par exemple C . Et on valide avec [OK] Ensuite il faut taper le nom du fichier sans l'extension webmediaplayer > [OK] Patiente Poste le résultat Relancer le test avec webmediaplayer_setup[1] Supprimer ensuite ces deux programmes du test. Merci bien. Al

Adware.Navipromo

35 réponses

Votre réponse

Discussions similaires

Newsletters