Aide pour déchiffer log navilog1...

Résolu
cora -  
toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Depuis plusieurs semaines, des fenêtres de pub s'ouvrent sans arrêt pendant que je suis sur Internet. Après avoir fait plusieurs scans et nettoyage (spybot, adaware, ccleaner), rien y fait, toujours au même point. J'ai donc fait une recherche grâce à navilog1, comme il est conseillé sur plusieurs sites. Quelqu'un pourrait il m'aider avec mon log ? :

Search Navipromo version 3.3.6 commencé le 21/11/2007 à 10:34:28,40

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\anne.cornilleau\Application Data ***

*** Recherche dossiers dans ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\pzvsxl.dat
C:\WINDOWS\system32\pzvsxl.exe
C:\WINDOWS\system32\pzvsxl_nav.dat
C:\WINDOWS\system32\pzvsxl_navps.dat

Processus caché(s) :

C:\WINDOWS\system32\pzvsxl.exe

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans *

gnc.exe absent, Recherche non effectué dans !

*** Recherche fichiers ***

C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\pzvsxl.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse terminée le 21/11/2007 à 10:36:08,09 ***

Merci par avance pour votre aide!!
Configuration: Windows XP
Firefox 2.0.0.9

7 réponses

  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonjur,

    tu peux passer l´option 2 a savoir :

    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    post le rappport ici stp

    @+
    0
  2. cora
     
    Bonjour g!rly,
    Merci beaucoup de ta réponse. J'ai fait tout comme tu m'as dit et voilà le travail:

    Clean Navipromo version 3.3.6 commencé le 21/11/2007 à 11:54:30,41

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2800.1106

    Mode suppression automatique

    *** Creation backups fichiers trouvés par Catchme ***

    Copie vers "C:\Program Files\navilog1\Backupnavi"

    Copie C:\WINDOWS\system32\pzvsxl.dat réalisé avec succès !
    Copie C:\WINDOWS\system32\pzvsxl.exe réalisé avec succès !
    Copie C:\WINDOWS\system32\pzvsxl_nav.dat réalisé avec succès !
    Copie C:\WINDOWS\system32\pzvsxl_navps.dat réalisé avec succès !

    *** Suppression des fichiers trouvés avec Catchme ***

    C:\WINDOWS\system32\pzvsxl.dat supprimé !
    C:\WINDOWS\system32\pzvsxl.exe supprimé !
    C:\WINDOWS\system32\pzvsxl_nav.dat supprimé !
    C:\WINDOWS\system32\pzvsxl_navps.dat supprimé !

    ** 2ème passage avec résultats Catchme **

    C:\WINDOWS\prefetch\pzvsxl*.pf trouvé !
    Copie C:\WINDOWS\prefetch\pzvsxl*.pf réalisé avec succès !
    C:\WINDOWS\prefetch\pzvsxl*.pf supprimé !

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans C:\WINDOWS\System32 *

    * Suppression dans C:\DOCUME~1\ANNE~1.COR\LOCALS~1\APPLIC~1 *

    *** Suppression dossiers dans C:\WINDOWS ***

    *** Suppression dossiers dans C:\Program Files ***

    *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Suppression dossiers dans C:\Documents and Settings\anne.c\Application Data ***

    *** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

    *** Suppression fichiers ***

    C:\WINDOWS\system32\nvs2.inf supprimé !

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\anne.c\Local Settings\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche, création sauvegardes et suppression Heuristique :

    *** Sauvegarde du Registre vers dossier Backupnavi ***

    sauvegarde du Registre réalisé avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !

    *** Nettoyage terminé le 21/11/2007 à 11:57:45,62 ***

    Est-ce terminé ? je ne devrais plus avoir de fenêtres qui s'ouvrent à tout bout de champ?
    J'abuse encore un peu mais as-tu une idée de ce qu'est ce virus? Et comment se fait-il que rien ne l'ai repéré jusqu'à maintenant?
    Merci encore
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    j´aimmerais bien voir un rapport hijack this pour verifier :

    Télécharge HijackThis version francaise ici :

    -> http://pchelpbordeaux.free.fr/logiciels.html

    Tutoriel d´installation (images) :

    -> http://pchelpbordeaux.free.fr/tuto.html

    Tutoriel d´utilisation (video) :

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    Post le rapport généré ici stp...

    et pour repondre a ta question, tu as du chopé ca sur un site peu recommendable; surement a cause d´une protection (la tienne) insuffisante, et pourquoi personne ne le detecte : c´est un genre de rootkit = installation de fichiers cachés sur ton ordinateur...

    @+
    0
  4. cora
     
    Et voici!

    Logfile of HijackThis v1.99.1
    Scan saved at 13:43:43, on 21/11/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Belkin\Belkin Wireless AG Desktop Network Card\Wireless Utility\WLService.exe
    C:\Program Files\LANDesk\Shared Files\residentagent.exe
    C:\Program Files\Belkin\Belkin Wireless AG Desktop Network Card\Wireless Utility\WLanCfgAG.exe
    C:\Program Files\LANDesk\LDClient\LocalSch.EXE
    C:\WINDOWS\System32\CBA\pds.exe
    C:\Program Files\LANDesk\LDClient\qipclnt.exe
    C:\Program Files\LANDesk\LDClient\tmcsvc.exe
    C:\Program Files\Common Framework\FrameworkService.exe
    C:\Program Files\VirusScan\Mcshield.exe
    C:\Program Files\VirusScan\VsTskMgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
    C:\WINDOWS\System32\vmnat.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\System32\vmnetdhcp.exe
    C:\Program Files\LANDesk\LDClient\softmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\VirusScan\SHSTAT.EXE
    C:\Program Files\LANDesk\LDClient\webportal\sdclientmonitor.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\System32\igfxpers.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sciences-po.fr:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*; intranet.sciences-po.fr; ;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\LANDesk\LDClient\softmon.exe
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0

    \Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network

    Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [IntelAPMClient] "C:\Program Files\LANDesk\LDClient\amclient.exe" /apm /s /ro
    O4 - HKLM\..\Run: [LANDeskInventoryClient] "C:\Program Files\LANDesk\LDClient\LDIScn32.exe" /NTT=JELT:5007 /S=JELT /I=HTTP://JELT

    /ldlogon/ldappl3.ldz /NOUI
    O4 - HKLM\..\Run: [LANDeskVulscanClient] "C:\Program Files\LANDesk\LDClient\vulScan.exe" /noreboot /agentBehavior=1
    O4 - HKLM\..\Run: [SDClientMonitor] "C:\Program Files\LANDesk\LDClient\webportal\sdclientmonitor.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcStd7_0_9 -reboot 1
    O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.LNK = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Convertir en Adobe PDF - res://c:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/

    AcroIECapture.html
    O8 - Extra context menu item: Convertir en un fichier PDF existant - res://c:\Program Files\Adobe\Acrobat 7.0

    \Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://c:\Program Files\Adobe\Acrobat 7.0

    \Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://c:\Program Files\Adobe\Acrobat 7.0

    \Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://c:\Program Files\Adobe\Acrobat 7.0

    \Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://c:\Program Files\Adobe\Acrobat 7.0

    \Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://c:\Program Files\Adobe\Acrobat 7.0

    \Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://c:\Program Files\Adobe\Acrobat 7

    .0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02

    \bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1

    \SPYBOT~1\SDHelper.dll
    O16 - DPF: SEAGULL J Walk Java Client 3_1C10 - http://as400/jwalk/jwalk/jwalk_ie.cab
    O16 - DPF: SEAGULL J Walk Java Client 3_3C8 - http://as400/jwalk/jwalk/jwalk_ie.cab
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.

    download.akamai.com/6712/player/install/installer.exe
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: Belkin Wireless Notebook Card Service (BLKWLNB) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless AG Desktop

    Network Card\Wireless Utility\WLService.exe
    O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk Software, Ltd. - C:\Program Files\LANDesk\Shared Files\residentagent.

    exe
    O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\Program Files\LANDesk\LDClient\LocalSch.EXE
    O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\System32\CBA\pds.exe
    O23 - Service: Intel QIP Client Service - LANDesk Software Ltd. - C:\Program Files\LANDesk\LDClient\qipclnt.exe
    O23 - Service: Multicast LANDesk ciblé (Intel Targeted Multicast) - LANDesk Software Ltd. - C:\Program

    Files\LANDesk\LDClient\tmcsvc.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Common

    Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\VirusScan\VsTskMgr.exe
    O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-

    authd.exe
    O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
    O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

    Merci encore de tes réponses
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    rien de mechant...

    a l´aide de hijack this coche et fix ceci :

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    comment fixer :

    Tutoriel d´utilisation (video) :

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    puis tu srf avec internet explorer 6.0 = failles de securité alors fais les mises a jour windows par le site de windows up date et procure toi la version 7.0 d´internet explorer

    pourquoi ne pas surfer avec firefox : plus sur. tout en gardant internet explorer mais seulement pour les mises a jour windows car impossible a effectuer avec firefox

    http://www.firefox.fr/

    puis appuie simultanement sur la touche windows a droit de la barre d´espace (drapeau windows) et sur "e" ->une fois dans le post de travail click sur le disk c > program files >java ouvre le fichier java et click sur le fichier jre1.6.0_02 pour l´ouvrir puis ouvre le fichier bin et dedans tu recherche ceci : jucheck.exe tu double click dessus et effectue la mise a jour de java> tu veux la version 1.6.0_03
    une fois la mise a jour effectuée tu va dans ajoute/suppression de program et tu supprime toutes les autres update de java, il ne doit te rester que celle que tu viens de faire : 1.6.0_03

    et tu n´as pas de par feu a part celui de windows qui est comparable a une passoire, alors pour eviter que ce genre de probleme ne se reproduise telecharge et instale kerio 4.2

    par feu : kerio 4.2

    https://forums.cnetfrance.fr

    https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

    @+
    0
  7. cora
     
    Re,
    Merci beaucoup encore une fois, ça va déjà beaucoup mieux quand je surfe. En revanche, je n'utilise que Firefox... et c'est avec Firefox que j'avais tous ces pbs. J'utilise IE ou Opéra uniquement pour des tests web... Et pour ce qui est du pare feu et de java, je n'ai pas vraiment la main sur tout ça puisque je suis sur mon ordi pro...
    Je fais la dernière manip hijack et ca devrait être ok.
    Bref encore merci!
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok as toi de voir...
    de rien
    bye
    0
    1. air1
       
      salut a tous l'aurai aimé savoir si mon ordi est infecté mais comment faire avec les fichier navps data???? merci de me venir en aide.
      0
      1. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232 > air1
         
        Bonjour air1

        Ouvre ton propre topik et expose ton problème.

        0