Spyware malicieu

Résolu/Fermé
nabos - 21 janv. 2008 à 15:18
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 - 29 janv. 2008 à 20:48
Bonjour,

depuis peu ma page de demarage est devenue http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

des que j ouvre une page je recoit des faux messages d alerte (meme de faux messages windows ) ne correspondant pas a mes antivirus et me redirigeant vers des sites comemrciaux ou de protection antivirus

quasi impossible de surfer et surtout d utilsier la moindre application en ligne (principalement des jeux )
A voir également:

25 réponses

IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 14
21 janv. 2008 à 17:07
Hello,

ben15 a dit : C'est bizarre navilog ne trouve rien

Toutes les popups intempestives ne sont pas liées à une infection Navipromo. Une infection Vundo, Smitfraud, Lop par exemple peuvent générer ce genre de pubs.

Bonne soirée.
1
ben15 Messages postés 464 Date d'inscription vendredi 28 décembre 2007 Statut Membre Dernière intervention 14 mars 2008 13
21 janv. 2008 à 15:28
salut, va a cette adressse et tlécharge ceci :i http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

choisis Enregistrer et enregistre-le sur ton bureau.


(2) Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message " Analyse Termine le ....."

Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie/colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
0
voici le rapport


Search Navipromo version 3.4.2 commencé le 21/01/2008 à 15:56:09,17

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\mira\application data" ***



*** Recherche dossiers dans "C:\Documents and Settings\mira\local settings\application data" ***



*** Recherche dossiers dans "C:\Documents and Settings\mira\MENUDM~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\mira\local settings\application data" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\mira\local settings\application data" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 21/01/2008 à 16:06:13,26 ***
0
ben15 Messages postés 464 Date d'inscription vendredi 28 décembre 2007 Statut Membre Dernière intervention 14 mars 2008 13
21 janv. 2008 à 16:14
telecharge spyware terminator

C'est bizarre navilog ne trouve rien
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
merci , c etais ZLOG , spybot le detectais mais il etait rececif , ce qui n est plus le cas avec le terminator
0
ben15 Messages postés 464 Date d'inscription vendredi 28 décembre 2007 Statut Membre Dernière intervention 14 mars 2008 13
21 janv. 2008 à 16:58
Ok si c'est bon coche résolu en haut
0
arg je n arrive pas a cocher probleme resolu , je n ai pas d identifiant a part un pseudo et mon mail
0
ben15 Messages postés 464 Date d'inscription vendredi 28 décembre 2007 Statut Membre Dernière intervention 14 mars 2008 13
21 janv. 2008 à 19:46
pas grave
0
rien a faire ! il reviens tout les jours a la charge ! un seul element que je ne peut supprimer avec terminator et a chaques nouvelles session c est reparti de plus belle ( deux fois moins d ads tout de meme )
0
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 14
24 janv. 2008 à 09:58
Salut,

Poste les détails de ce qui revient à la charge.
0
rien deetecté par terminator a part un fichier zlob qu il n arrive pas a supprimer , la carrement mon fond d ecran est devenu entierement rouge avec un symbole biohazard dessus et les icones surlignées de bleues

en mode sans echec il m avait trouvé un smitfraud aussi
0
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 14
25 janv. 2008 à 21:43
télécharge l'utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Tu le décompresses complètement sur ton bureau puis tu double cliques sur ce fichier SmitfraudFix.exe et tu choisis l’option 1
Cela va générer un rapport postes le
0
SmitFraudFix v2.274

Rapport fait à 11:41:35,78, 26/01/2008
Executé à partir de C:\Documents and Settings\mira\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\asuskbservice.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\FinePixViewer\QuickDCF2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Xfire\xfire.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.5.0_12\bin\jucheck.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Wizards of the Coast\Magic Online\magic1521.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mira


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mira\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mira\Favoris

C:\DOCUME~1\mira\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\mira\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\mira\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\mira\Bureau\Error Cleaner.url PRESENT !
C:\DOCUME~1\mira\Bureau\Privacy Protector.url PRESENT !
C:\DOCUME~1\mira\Bureau\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:\\WINDOWS\\privacy_danger\\index.htm"
"SubscribedURL"=""
"FriendlyName"="Privacy Protection"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8169/8110 Family Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 14
26 janv. 2008 à 15:39
Re,

Redémarre en mode sans échec. Si tu sais pas comment regardes le lien ci dessous. Privilégies la méthode avec la touche F8:
https://docs.microsoft.com/en-us/?mfr=true

Relance le fichier smitfraudfix.exe et choisis cette fois l’option 2 et réponds oui à tout.
A la fin, sauvegardes le rapport final afin de pouvoir le retrouver.
Redémarres normallement et communiques le nouveau rapport
0
SmitFraudFix v2.274

Rapport fait à 22:00:56,00, 26/01/2008
Executé à partir de C:\Documents and Settings\mira\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\privacy_danger\ supprimé
C:\DOCUME~1\mira\Bureau\Error Cleaner.url supprimé
C:\DOCUME~1\mira\Bureau\Privacy Protector.url supprimé
C:\DOCUME~1\mira\Bureau\Spyware?Malware Protection.url supprimé
C:\DOCUME~1\mira\Favoris\Error Cleaner.url supprimé
C:\DOCUME~1\mira\Favoris\Privacy Protector.url supprimé
C:\DOCUME~1\mira\Favoris\Spyware?Malware Protection.url supprimé
0
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 14
27 janv. 2008 à 12:04
Salut,

Le rapport est incomplet.

As-tu encore ton bureau "piraté" ?
0
apres un "nettoyage" le pc fonctionne correctement , mais des le lendemain ! rebelote

voici le rapport du nettoyage

SmitFraudFix v2.274

Rapport fait à 15:18:07,65, 27/01/2008
Executé à partir de C:\Documents and Settings\mira\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\privacy_danger\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{59B0355F-3409-4E39-9399-28CBEF51A129}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 14
27 janv. 2008 à 20:29
Là maintenant, il va mieux ?
0
c est allé mieux pendant 5 heures , et la c est reparti
0
IL-MAFIOSO Messages postés 435 Date d'inscription mardi 2 octobre 2007 Statut Membre Dernière intervention 20 octobre 2009 14
28 janv. 2008 à 10:59
Salut,

Poste un rapport hijackthis
0