Problème Navipromo et/ou spyware secure

ovils -  
 ovils -
Bonjour,

Je lance un appel à l'aide pour les PB suivant:

Quand je suis sur internet des pages s'affichent automatiquement dont une sur un alerte virale.
J'ai scanné mon disque avec Windows defender , Ad-ware et Spybot. Sans résultat.
Spybot bloquent les fenêtres et donne les infos suivantes: Détection d'une URL malicieuse: http//em.em-on-internet.com/.... et Identifié comme: LiveSVC.wintrim pour les pages ouvertes.

En consultant les discussions sur ce site j'ai l'impression qu'il sagit d'un PB connu sous le nom de Navipromo ou spyware secure.
Est-ce le cas ?

Quelqu'un pourrait-il m'aider à sortir de ce mauvais pas et me donner la marche à suivre ?

Merci d'avance

Iternet explorer 7.0
Windows Vista
Configuration: Windows Vista
Internet Explorer 7.0

21 réponses

  • 1
  • 2
  1. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    salut carrossier ! ovils !
    petite intrusion,
    pour Vista
    Désactive le contrôle des comptes utilisateurs
    (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    execute ensuite navilog comme l'a dit carrossier !
    @ +
    1
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    petite intrusion !
    J'ai en suite lancé un scan de C avec antivir. Alerte pour le fichier C:\Program Files\Navilog1\Backupnavi\fvnhgogwon.exe

    il se peut que certains A V considerent navilog comme un virus ! donc pas de soucis à te faire avec ceci >
    C:\Program Files\Navilog1\Backupnavi\fvnhgogwon.exe
    1
  3. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    il manque ceci !!
    1
  4. Utilisateur anonyme
     
    bonjour voici la marche a suivre

    Fais un clic droit sur ce lien
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    TUTO :: http://www.malekal.com/Adware.Magic_Control.php
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    bonjour jorginho67 merci !
    0
  7. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    de nada !
    je te laisse la main !
    0
  8. ovils
     
    Merci à Carrosier et jorginho pour un eréponse aussi rapide
    Ci-dessous le rapport
    Search Navipromo version 3.3.8 commencé le 14/12/2007 à 16:04:20,38

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows Vista 6.0.6000
    Internet Explorer : 7.0.6000.16575
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\Windows ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\ProgramData ***

    *** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

    *** Recherche dossiers dans C:\Users\Andr‚\AppData\Local\virtualstore\Program Files ***

    *** Recherche dossiers dans C:\Users\Andr‚\AppData\Roaming ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\Users\André\AppData\Local\fvnhgogwon.dat
    C:\Users\André\AppData\Local\fvnhgogwon.exe
    C:\Users\André\AppData\Local\fvnhgogwon_nav.dat
    C:\Users\André\AppData\Local\fvnhgogwon_navps.dat

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\Windows\system32 *

    * Recherche dans C:\Users\Andr‚\AppData\Local\Microsoft *

    * Recherche dans C:\Users\Andr‚\AppData\Local\virtualstore\windows\system32 *

    * Recherche dans C:\Users\Andr‚\AppData\Local *

    Fichiers trouvés :

    fvnhgogwon.exe trouvé !

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\Windows\system32 :

    * Dans C:\Users\Andr‚\AppData\Local\Microsoft :

    * Dans C:\Users\Andr‚\AppData\Local\virtualstore\windows\system32 :

    * Dans C:\Users\Andr‚\AppData\Local :

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    4)Recherche fichiers connus :

    *** Analyse terminée le 14/12/2007 à 16:14:21,79 ***
    merci pour la suite
    0
  9. Utilisateur anonyme
     
    ok voici la suite (by ^^marie^^ mercie)
    Double cliques sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valides.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Fermes toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuies sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc-notes va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc-notes. Ton bureau va réapparaitre

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    Postes le rapport içi.

    Ferme internet explorer puis Démarrer/panneau de configuration/options internet
    - onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :
    electronic-group
    egroup
    Montorgueil
    VIP
    "Sunny Day Design Ltd"
    Tu les supprimes.

    Pour supprimer Navilog par la suite

    1/ Désinstalle Navilog1 Via ajout/suppression des programmes --> Navilog1
    Via le fichier uninstall présent dans le dossier %programfiles%\navilog1.1
    Ensuite supprime également ce dossier : C:\Program Files\navilog1

    Ensuite

    C'est un complément de désinfection
    Il supprime des fichiers appartenant à des malwares.
    Il ne vise pas des infections particulières.

    Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
    Tuto
    http://mickael.barroux.free.fr/securite/clean.php
    Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
    Cela va créer un dossier clean.
    Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    Double-clic sur clean. Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Un rapport Va etre généré, colle le contenu entier ici.

    (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )
    0
    1. ovils
       
      Voici le raport
      Clean Navipromo version 3.3.8 commencé le 14/12/2007 à 16:39:33,27

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

      Microsoft Windows Vista 6.0.6000
      Internet Explorer : 7.0.6000.16575
      Système de fichiers : NTFS

      Mode suppression automatique


      *** Creation backups fichiers trouvés par Catchme ***

      Copie vers "C:\Program Files\navilog1\Backupnavi"

      Copie C:\Users\André\AppData\Local\fvnhgogwon.dat réalisée avec succès !
      Copie C:\Users\André\AppData\Local\fvnhgogwon.exe réalisée avec succès !
      Copie C:\Users\André\AppData\Local\fvnhgogwon_nav.dat réalisée avec succès !
      Copie C:\Users\André\AppData\Local\fvnhgogwon_navps.dat réalisée avec succès !

      *** Suppression des fichiers trouvés avec Catchme ***

      C:\Users\André\AppData\Local\fvnhgogwon.dat supprimé !
      C:\Users\André\AppData\Local\fvnhgogwon.exe supprimé !
      C:\Users\André\AppData\Local\fvnhgogwon_nav.dat supprimé !
      C:\Users\André\AppData\Local\fvnhgogwon_navps.dat supprimé !

      ** 2ème passage avec résultats Catchme **

      * Dans C:\Windows\system32 *


      * Dans C:\Users\Andr‚\AppData\Local\Microsoft *


      * Dans C:\Users\Andr‚\AppData\Local\virtualstore\windows\system32 *




      fvnhgogwon.exe trouvé !
      Copie fvnhgogwon.exe réalisée avec succès !
      fvnhgogwon.exe !!ERREUR SUPPRESSION!!

      fvnhgogwon.dat trouvé !
      Copie fvnhgogwon.dat réalisée avec succès !
      fvnhgogwon.dat supprimé !

      fvnhgogwon_nav.dat trouvé !
      Copie fvnhgogwon_nav.dat réalisée avec succès !
      fvnhgogwon_nav.dat supprimé !

      fvnhgogwon_navps.dat trouvé !
      Copie fvnhgogwon_navps.dat réalisée avec succès !
      fvnhgogwon_navps.dat supprimé !

      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans C:\Windows\System32 *


      * Suppression dans C:\Users\Andr‚\AppData\Local\Microsoft *


      * Suppression dans C:\Users\Andr‚\AppData\Local\virtualstore\windows\system32 *


      * Suppression dans C:\Users\Andr‚\AppData\Local *

      fvnhgogwon.exe trouvé !
      Copie fvnhgogwon.exe réalisée avec succès !
      fvnhgogwon.exe !!ERREUR SUPPRESSION!!



      *** Suppression dossiers dans C:\Windows ***


      *** Suppression dossiers dans C:\Program Files ***


      *** Suppression dossiers dans C:\ProgramData ***


      *** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


      *** Suppression dossiers dans c:\users\andré\appdata\roaming\microsoft\windows\start menu\programs ***


      *** Suppression dossiers dans C:\Users\Andr‚\AppData\Local\virtualstore\Program Files ***


      *** Suppression dossiers dans C:\Users\Andr‚\AppData\Roaming ***



      *** Suppression fichiers ***


      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\Windows\Temp effectué !
      Nettoyage contenu C:\Users\ANDR~1\AppData\Local\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans C:\Windows\system32 *


      * Dans C:\Users\Andr‚\AppData\Local\Microsoft *


      * Dans C:\Users\Andr‚\AppData\Local\virtualstore\windows\system32 *




      *** Sauvegarde du Registre vers dossier Backupnavi ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !

      *** Fichiers suspects non supprimés par Navilog1 ***
      !! Fichiers légitimes possibles, à contrôler avant suppression !!

      Fichiers suspects dans C:\Users\Andr‚\AppData\Local :

      C:\Users\Andr‚\AppData\Local\fvnhgogwon.exe trouvé !

      *** Nettoyage terminé le 14/12/2007 à 17:05:51,86 ***

      Je continue ....
      Tout ce passe bien
      0
  10. Utilisateur anonyme
     
    ok j'attend le rapport de clean puis apres nous allons regarder dans le ventre de ton ordi !

    Télécharge HijackThis ici:
    http://www.commentcamarche.net/telecharger/telechargement 159 hijackthis

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre-le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    renome le ovils.exe ( clic droit puis renomer)
    Lance le puis:
    Clique sur "do a system scan and save logfile" (cf démo)
    Faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
    1. ovils
       
      Voici le rapport de clean

      14/12/2007 a 18:35:11,71

      *** Recherche C:

      *** Recherche C:\Windows\

      *** Recherche C:\Windows\system32
      C:\Windows\system32\wininit.exe FOUND
      C:\Windows\system32\wininit.exe FOUND

      *** Recherche C:\Program Files
      0
  11. Utilisateur anonyme
     
    ok passe a l'option 2 de clean !
    0
    1. ovils
       
      Ce matin je reprends les opérations

      Ci-dessous ea rapport de clean 2
      Le fichier wininit.exe n'a pas été supprimé. Faut-il qu'il le soit?
      J'ai lancé clean en mode normal. Dans le texte de clean il me semble qu'il était précisé que le mode save était nécessaire.
      Faut-il faire autre chose pour cette phase ?

      Je passe à l'étape hijackthis
      0
      1. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169 > ovils
         
        ou est le rapport de Cleanzip option 2 ?

        Je te conseille de copie/coler ce texte et de l'enregister sur ton bureau !

        noirci le texte a l'aide de ta souris, puis clic droit > copier!
        fais un clic droit sur ton bureau et selectionnes > nouveau > doccument texte
        colles le texte dans le blocnotes !
        laisse le sur le bureau .

        Important: tu n'auras pas accès à Internet à partir du moment ou te redémarrera en mode sans échec)
        Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
        Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

        1) Redémarre en mode sans échec

        Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
        Sélectionner "Mode sans échec" et appuyer sur [Entrée]
        Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

        2) Cleanzip

        _ Ouvre le dossier Clean qui se trouve sur ton bureau.
        _ Double-clique sur clean.cmd.
        Une fenêtre noire va apparaître,

        choisis l'option 2.
        Clean va maintenant supprimer les fichiers infectés,

        3) Rapport
        _ Appuis sur la touche ENTREE du clavier pour ouvrir le rapport. tu l'enregistrer si besoin.
        (menu Edition / Enregistrer sous).
        Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant :
        "rapport_clean.txt" à la racine de votre disque dur (ex : C:\rapport_clean.txt).

        Comment faire :Tuto
        http://mickael.barroux.free.fr/securite/clean.php

        Redémarre en mode normal et poste le rapport qui se trouve ici C:\rapport_clean.txt

        Bon courage
        @ plus !

        Jo. (;o):
        0
    2. ovils
       
      le fichier téléchargé pour hijackthis n'est pas un fichier zip mais hJTInstall (type de fichier .exe)

      faut-il le mettre dans un répertoire C ou directment rattaché à C ?
      0
  12. Utilisateur anonyme
     
    instal le sur ton bureau , renome le , rend toi a la racine du disque , cherche le fichier trend micro , ouvre le et renome hijackthis.exe en ovils.exe ! puis double clic dessus puis do a scan systemes and save a log files ! copie le rapport entier et colle le dans ta prochaine reponse
    0
    1. ovils
       
      Mauvaisenouvelle: les fenêtres réapparaissent à nouveau quand je suis sur IE

      Peut ête est-ce du aux fichiers non supprimés avec navilog1 ou clean ??

      Pour hijack voilà ce que j'ai fait.

      Téléchargement de hjtinstall sur le bureau
      lancement de ce fichier pour l'installation
      création d'un répertoire C://hijachthis pour l'installation
      Dans ce répertoire un seul fichier hijackthis.exe
      et un raccorci sur le bureau

      J'ai lancer le scan avec ce raccourci

      résultat du san ci-dessous
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:21:27, on 15/12/2007
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16575)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\Program Files\HP\QuickPlay\QPService.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
      C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
      C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Windows\System32\igfxtray.exe
      C:\Windows\System32\hkcmd.exe
      C:\Windows\System32\igfxpers.exe
      C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Windows\ehome\ehtray.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Windows\system32\igfxsrvc.exe
      C:\Program Files\Logitech\SetPoint\SetPoint.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\ehome\ehmsas.exe
      C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
      C:\Program Files\Sony Corporation\VirtualExpander\VirtualExpander.exe
      C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Windows\System32\mobsync.exe
      C:\hijackthis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O1 - Hosts: ::1 localhost
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
      O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
      O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
      O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
      O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [PCLEUSBTip] C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
      O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\Windows\system32\PCLECoInst.dll",CheckUSBController
      O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
      O4 - Startup: VirtualExpander.lnk = ?
      O4 - Global Startup: Logitech SetPoint.lnk = ?
      O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O13 - Gopher Prefix:
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
      O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
      O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
      O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
      0
  13. Utilisateur anonyme
     
    Télécharge VundoFix.exe par Atribune http://www.atribune.org/content/view/24/2/ sur ton Bureau.

    * Double-clique sur VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est terminé, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique sur OK

    --> Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    0
    1. ovils
       
      Vundofix n'a pas trouvé de fichier infecté.

      Rapport ci-dessous


      VundoFix V6.7.3

      Checking Java version...

      Scan started at 15:46:51 15/12/2007

      Listing files found while scanning....

      No infected files were found.


      Beginning removal...


      Suite ....????
      0
  14. Utilisateur anonyme
     
    Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31

    http://www.commentcamarche.net/telecharger/telechargement 230 smitfraudfix

    * Installe le à la racine de C

    * double clic sur l'exe pour le décompresser et lancer le fix.
    Utilisation ----- option 1 - Recherche :
    * Double clique sur smitfraudfix.cmd
    * Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection
    . * Poste le rapport ici
    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. ovils
       
      Ci-dessous le rapport de smithfraudfix.
      D'autre part comme tu me le demandais j'ai trouvé deux certificats electric-group. Je les ai supprimés mais ils reviennent.

      SmitFraudFix v2.264

      Scan done at 14:18:19,66, 16/12/2007
      Run from C:\SmitfraudFix
      OS: Microsoft Windows [version 6.0.6000] - Windows_NT
      The filesystem type is NTFS
      Fix run in normal mode

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\Windows\system32\csrss.exe
      C:\Windows\system32\wininit.exe
      C:\Windows\system32\csrss.exe
      C:\Windows\system32\services.exe
      C:\Windows\system32\lsass.exe
      C:\Windows\system32\lsm.exe
      C:\Windows\system32\winlogon.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\SLsvc.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\System32\spoolsv.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
      C:\Program Files\HP\QuickPlay\QPService.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
      C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Windows\System32\igfxtray.exe
      C:\Windows\System32\hkcmd.exe
      C:\Windows\System32\igfxpers.exe
      C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Windows\system32\igfxsrvc.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Windows\ehome\ehtray.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Users\André\AppData\Local\fvnhgogwon.exe
      C:\Program Files\Logitech\SetPoint\SetPoint.exe
      C:\Program Files\Google\Google Updater\GoogleUpdater.exe
      C:\Program Files\Sony Corporation\VirtualExpander\VirtualExpander.exe
      C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
      C:\Windows\ehome\ehmsas.exe
      C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      c:\Program Files\Common Files\LightScribe\LSSrvc.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\SearchIndexer.exe
      C:\Windows\system32\DRIVERS\xaudio.exe
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
      C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
      C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\wbem\wmiprvse.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
      C:\Windows\system32\wbem\wmiprvse.exe
      C:\Windows\system32\cmd.exe
      C:\Windows\system32\conime.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Andr‚


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Andr‚\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\ANDR~1\FAVORI~1


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""
      "LoadAppInit_DLLs"=dword:00000000


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Intel(R) PRO/100 VE Network Connection
      DNS Server Search Order: 192.168.1.254

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7E5285D-DFA7-410A-B174-E2497E1C3A9F}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7E5285D-DFA7-410A-B174-E2497E1C3A9F}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{C7E5285D-DFA7-410A-B174-E2497E1C3A9F}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


      »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


      »»»»»»»»»»»»»»»»»»»»»»»» End
      0
  15. Utilisateur anonyme
     
    bonjour ok redemarre en mode sans echecs et passe a l'option 2 ton papier paint va disparaitre c'est normal ! copie et colle le rapport qui va etre genere dans ta prochaine reponse
    0
    1. ovils
       
      Ci-dessous le rapport de la phase 2.

      SmitFraudFix v2.264

      Scan done at 11:14:59,41, 17/12/2007
      Run from C:\SmitfraudFix
      OS: Microsoft Windows [version 6.0.6000] - Windows_NT
      The filesystem type is NTFS
      Fix run in safe mode

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Killing process


      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      127.0.0.1 localhost
      ::1 localhost

      »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

      S!Ri's WS2Fix: LSP not Found.


      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{C7E5285D-DFA7-410A-B174-E2497E1C3A9F}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{C7E5285D-DFA7-410A-B174-E2497E1C3A9F}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\..\{C7E5285D-DFA7-410A-B174-E2497E1C3A9F}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


      »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


      »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

      Registry Cleaning done.

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» End


      Suite ....?
      0
  16. Utilisateur anonyme
     
    bonjour tu va bien ?comment se porte ton ordi ?
    0
    1. ovils
       
      Merci moi ça va mais mon ordi semble être un peu récalcitrant ...

      Les fenêtres continuent à apparaître.
      Une nouveauté: Spybot a bloqué une autre URL : Javascript: sendstat .. Type BleueStreak

      Il arrive également qu'IE ne réponde pas du premier coup.

      Quelle est ton analyse de la situation ?

      Les corrections sont peut être efficaces mais au premier racordement à internet l'infection se reproduit. En effet rien n'empêche le PB de se reproduire. Possible ou pas?

      Y-a-t-il de ton point de vue un risque plus grave par exemple accès aux comptes bancaires ?

      Merci de me consacrer autant de temps.

      Y-a-t-il quelque chose d'autre à faire ?
      0
  17. ovils
     
    J'ai installé antivir.

    Au premier redémarrage alerte antivir pour un trojan fichier c:\users\andré\appdata\local\fvnhgogwon.exe

    Je l'ai mis en quarantaine pour pousuivre le démarrage.

    J'ai en suite lancé un scan de C avec antivir. Alerte pour le fichier C:\Program Files\Navilog1\Backupnavi\fvnhgogwon.exe

    Impossible de le mettre en quarentaine (pas le droit administrateur)

    Au final en quarantaine je retrouve les deux fichiers

    Ci-dessous tu trouveras le rapport du scan

    Les fichiers trouvés sont ceux trouvés par navilog1.

    As-tu une interprétation de tout ça ?

    AntiVir PersonalEdition Classic
    Report file date: lundi 17 décembre 2007 16:22

    Scanning for 974630 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows Vista
    Windows version: (plain) [6.0.6000]
    Username: André
    Computer name: PC-DE-ANDRÉ

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
    ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 15:15:34
    ANTIVIR2.VDF : 7.0.1.96 2048 Bytes 14/12/2007 15:15:34
    ANTIVIR3.VDF : 7.0.1.108 31232 Bytes 17/12/2007 15:15:34
    AVEWIN32.DLL : 7.6.0.45 3084800 Bytes 17/12/2007 15:15:37
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

    Configuration settings for the scan:
    Jobname..........................: Local Hard Disks
    Configuration file...............: c:\program files\avira\antivir personaledition classic\alldiscs.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: D:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: lundi 17 décembre 2007 16:22

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'TrustedInstaller.exe' - '0' Module(s) have been scanned
    Scan process 'WmiPrvSE.exe' - '0' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'usnsvc.exe' - '0' Module(s) have been scanned
    Scan process 'HPHC_Service.exe' - '0' Module(s) have been scanned
    Scan process 'KHALMNPR.exe' - '1' Module(s) have been scanned
    Scan process 'soffice.bin' - '1' Module(s) have been scanned
    Scan process 'soffice.exe' - '1' Module(s) have been scanned
    Scan process 'VirtualExpander.exe' - '1' Module(s) have been scanned
    Scan process 'GoogleUpdater.exe' - '1' Module(s) have been scanned
    Scan process 'SetPoint.exe' - '1' Module(s) have been scanned
    Scan process 'SearchFilterHost.exe' - '0' Module(s) have been scanned
    Scan process 'SearchProtocolHost.exe' - '0' Module(s) have been scanned
    Scan process 'unsecapp.exe' - '1' Module(s) have been scanned
    Scan process 'WmiPrvSE.exe' - '0' Module(s) have been scanned
    Scan process 'ehmsas.exe' - '1' Module(s) have been scanned
    Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned
    Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
    Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
    Scan process 'ehtray.exe' - '1' Module(s) have been scanned
    Scan process 'sidebar.exe' - '1' Module(s) have been scanned
    Scan process 'Skype.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'reader_sl.exe' - '1' Module(s) have been scanned
    Scan process 'igfxpers.exe' - '1' Module(s) have been scanned
    Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
    Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
    Scan process 'HPHC_Scheduler.exe' - '1' Module(s) have been scanned
    Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
    Scan process 'QLBCTRL.exe' - '1' Module(s) have been scanned
    Scan process 'QPService.exe' - '1' Module(s) have been scanned
    Scan process 'jusched.exe' - '1' Module(s) have been scanned
    Scan process 'SynTPEnh.exe' - '0' Module(s) have been scanned
    Scan process 'taskeng.exe' - '0' Module(s) have been scanned
    Scan process 'CLSched.exe' - '0' Module(s) have been scanned
    Scan process 'hpqwmiex.exe' - '0' Module(s) have been scanned
    Scan process 'XAudio.exe' - '0' Module(s) have been scanned
    Scan process 'SearchIndexer.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'LSSrvc.exe' - '0' Module(s) have been scanned
    Scan process 'GoogleUpdaterService.exe' - '0' Module(s) have been scanned
    Scan process 'CLCapSvc.exe' - '0' Module(s) have been scanned
    Scan process 'sched.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'avguard.exe' - '0' Module(s) have been scanned
    Scan process 'taskeng.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '0' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'dwm.exe' - '1' Module(s) have been scanned
    Scan process 'aawservice.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'SLsvc.exe' - '0' Module(s) have been scanned
    Scan process 'audiodg.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'svchost.exe' - '0' Module(s) have been scanned
    Scan process 'winlogon.exe' - '0' Module(s) have been scanned
    Scan process 'lsm.exe' - '0' Module(s) have been scanned
    Scan process 'lsass.exe' - '0' Module(s) have been scanned
    Scan process 'services.exe' - '0' Module(s) have been scanned
    Scan process 'csrss.exe' - '0' Module(s) have been scanned
    Scan process 'wininit.exe' - '0' Module(s) have been scanned
    Scan process 'csrss.exe' - '0' Module(s) have been scanned
    Scan process 'smss.exe' - '0' Module(s) have been scanned
    29 processes with 29 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    [WARNING] The boot sector file could not be read!
    [WARNING] Error code: 0x0005
    [NOTE] Please restart the search with Administrator rights
    Boot sector 'D:\'
    [NOTE] No virus was found!
    [WARNING] The boot sector file could not be read!
    [WARNING] Error code: 0x0005
    [NOTE] Please restart the search with Administrator rights

    Starting to scan the registry.
    The registry was scanned ( '28' files ).

    Starting the file scan:

    Begin scan in 'C:\'
    C:\hiberfil.sys
    [WARNING] The file could not be opened!
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\Program Files\Navilog1\Backupnavi\fvnhgogwon.exe
    [DETECTION] Is the Trojan horse TR/Dropper.Gen
    [WARNING] An error has occurred and the file was not deleted. ErrorID: 16003
    [WARNING] The file could not be deleted!
    Begin scan in 'D:\' <HP_RECOVERY>

    End of the scan: lundi 17 décembre 2007 17:01
    Used time: 39:11 min

    The scan has been done completely.

    13170 Scanning directories
    321671 Files were scanned
    1 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    2 Files cannot be scanned
    321670 Files not concerned
    2420 Archives were scanned
    5 Warnings
    12 Notes
    0
  18. Utilisateur anonyme
     
    tu as oublier de mettre des modules d'antivir en marche
    Scan master boot sector..........: off

    Search for rootkits..............: off

    concernant le trojan il faut que tu fasse ceci !!

    Pour supprimer Navilog par la suite

    1/ Désinstalle Navilog1 Via ajout/suppression des programmes --> Navilog1
    Via le fichier uninstall présent dans le dossier %programfiles%\navilog1.1
    Ensuite supprime également ce dossier : C:\Program Files\navilog1

    et tu devrais en etre debarrasse !
    0
    1. ovils
       
      J'avais oublié de te préciser que j'avais le pare feu windows.

      J'ai desinstallé navilog.

      J'ai activé scan master boot sector

      Pour sarch for rootkits la case disque c est cochée pas celle de HP recovery. Mais il semble que lorsque on lance les scan il faut choisir entre disque c ou search for rootkits. Est-ce le cas ?

      De ton point de vue est-ce ce trojan qui était en cause ?

      En tout cas il semble que les pages n'apparraissent plus
      0
  19. Utilisateur anonyme
     
    bonjour a vous deux !je suis du meme avis quejorginho67 , avira a emis une alerte en signalent qu'il n'a pu ouvrire ce dossier pour analyse , ce qui est normal car il se trouve enferme dans navilog c'est pour cela que je t'ai demander de supprimer celui ci !

    par securitée fait se nettoyage

    1) Télécharger et installer CCleaner.
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Décoche pendant l'installation
    --- les deux cases "Ajouter l'option ... "
    --- Contrôler les mises à jour
    --- Ajouter la Barre d'Outils Yahoo! CCleaner sur PC Astuces">CCleaner

    Clique sur Options, Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
    Ne touche pas aux autres réglages.

    (Configuration de CCleaner ici:
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    2) Télécharger et installer AVG Anti-Spyware 7.5

    https://www.avg.com/en-ww/free-antivirus-download

    Lancer AVG Anti-Spyware.
    Cliquer sur le menu Mise à jour.
    Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
    Attendre la fin de cette mise à jour puis fermer le programme.
    Ne pas lancer d'analyse maintenant

    Démarre en mode sans échec maintenant avant de poursuivre

    3) Lance CCleaner

    Puis dans le menu" Nettoyeur"
    Cliquer sur "Analyse" (laisser travailler cela peut durer longtemps la 1ere fois)
    Cliquer sur le bouton "Lancer le nettoyage".
    Fais cela plusieurs fois d affilée puis ferme CCleaner

    N'oublie pas de vider ta corbeille. (En principe, CCleaner le fait).

    4) Lance AVG Anti-Spyware 7.5

    Cliquer sur le menu Analyse (de la barre d'outils).
    Cliquer sur l'onglet Paramètres.
    Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
    Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
    Vérifier que le bouton-radio Générer un rapport après chaque analyse soit aussi coché.
    Dans l'onglet Analyse
    Cliquer sur Analyse complète du système.
    Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
    Tres important : A la fin de l'analyse, cocher tout ce qui a été trouvé puis cliquer sur " Appliquer toutes les actions"
    Ensuite.
    Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
    (C:\Programfiles\Grisoft\AVG Antispyware 7.5\Reports )
    Puis fermer AVG Anti-Spyware

    instal un vrai pare feu
    zone alarm ou kerio
    0
    1. ovils
       
      J'ai passé CCleaner. Il a effacé pas mal de fichiers
      J'ai passé AVG Anti-spyware il n'a rien trouvé

      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 16:18:07 18/12/2007

      + Résultat de l'analyse:



      Rien à signaler.



      Fin du rapport



      Faut-il desinstaller HijackThis et VundoFix. ?

      De tout les spyware ci-dessous le ou lesquelles dois-je garder ?

      Spybot-search et destroy
      Ad-aware
      SpywareBlaster
      AVG Anti-spyware

      Il me reste à installer un des pare feu que tu m'a recommandé.

      Penses-tu que la situation est maintenant OK.
      0
  20. Utilisateur anonyme
     
    jorginho67 a raison fait ceci pour effacer ler dernieres traces

    Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
    Tuto
    http://mickael.barroux.free.fr/securite/clean.php
    Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
    Cela va créer un dossier clean.
    Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    Double-clic sur clean. Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Un rapport Va etre généré, colle le contenu entier ici.

    (- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

    Bon courage

    A++

    SI dans le rapport CleanZip tu trouves ""FOUND"" tu continues en MSE

    Redémarre ton PC en mode sans échec :
    Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
    Double-clic sur clean. Cela va ouvrir une fenêtre noire.
    Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
    Clean va travailler.
    Un rapport Va etre généré, envoie le moi dans ta prochaine réponse !
    0
    1. ovils
       
      Ci-dessous les 2 rapports de clean

      18/12/2007 a 17:32:48,59

      *** Recherche C:

      *** Recherche C:\Windows\

      *** Recherche C:\Windows\system32
      C:\Windows\system32\wininit.exe FOUND
      C:\Windows\system32\wininit.exe FOUND

      *** Recherche C:\Program Files
      *** End of the report !


      Script executed in Safe Mode
      Rapport clean par Malekal_morte - http://www.malekal.com
      Script executed in Safe Mode 18/12/2007 a 17:41:46,82

      Microsoft Windows [version 6.0.6000]

      *** Suppression C:

      *** Suppression C:\Windows\

      *** Suppression C:\Windows\system32
      tentative de suppression de C:\Windows\system32\wininit.exe
      Impossible de supprimer C:\Windows\system32\wininit.exe
      tentative de suppression de C:\Windows\system32\wininit.exe
      Impossible de supprimer C:\Windows\system32\wininit.exe

      *** Suppression C:\Program Files

      *** Deletion of the registry keys successful..
      *** End of the report !
      0
  • 1
  • 2