Rogue indéracinable avec AVS (adware?)

arioste -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Dédolé de vous déranger tous...suis nouveau ici...Et avec un problème qui se pose à beaucoup d'entre nous.Un affichage à répétition d'ADWARE ou de soft du même type.
Me suis adressé à secuser.com (merci aupassage) qui m'aconsillé ujn certainnombre de manips.
J'ai donc installé AVG AntirootKit et Winpatrol.
Le premier de ces deux soft a décelé quatre dossiers qu'il me propose de retirer :

C:\WINDOWS\system32\qfaxha.exe (Hidden applicaton)
c:\WINDOWS\Prefetch\QFAXHA.EXE-016B6E33.pf (Hidden file)
c:\WINDOWS\system32\qfaxha.dat (Hidden file)
c:\WINDOWS\system32\qfaxha.exe (Hidden file)
c:\WINDOWS\system32\qfaxha_nav.dat (Hidden file)
c:\WINDOWS\system32\qfaxha_navps.dat (Hidden file)

Question : Faut-il VRAIMENT retirer ces dossiers et quelles précautions doit-on prendre ?

Pour la suite, et avant de vous encombrer à nouveau, je crois que mon mode d'emploi est calir... En tout cas...Vais essayer

Merci à tous

JD
Configuration: Windows XP
Firefox 2.0.0.11

4 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,
    Fais un clic droit sur ce lien : (IL-MAFIOSO)
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    0
    1. arioste
       
      Voici le rapport demandé...Désolé si je fais des erreurs de manip...Connais pas encore ce forum
      En tout cas merci merci de me répondre
      0
  2. arioste
     
    Merci....ça roule !!! Ou plutôt ça scane....En tout cas c'est sympa d'avoir répondu...Merci encore
    JD
    0
  3. arioste
     
    Voici le rapport du scan...Votre diagnostic docteur ?
    Search Navipromo version 3.4.2 commencé le 23/01/2008 à 20:51:54,09

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 21.01.2008 à 14h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.11
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    InternetGameBox

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    C:\Program Files\InternetGameBox trouvé !

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\local settings\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\MENUDM~1\PROGRA~1" ***

    ...\InternetGameBox trouvé !

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\WINDOWS\system32\qfaxha.dat
    C:\WINDOWS\system32\qfaxha.exe
    C:\WINDOWS\system32\qfaxha_nav.dat
    C:\WINDOWS\system32\qfaxha_navps.dat

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    Fichiers trouvés :

    qfaxha.exe trouvé !

    * Recherche dans "C:\Documents and Settings\Utilisateur\local settings\application data" *

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    qfaxha.dat trouvé !

    * Dans "C:\Documents and Settings\Utilisateur\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    4)Recherche fichiers connus :

    *** Analyse terminée le 23/01/2008 à 20:54:19,53 ***
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    = Lance navilog1
    = Cette fois-ci choisi l'option 2
    = Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
    = Un rapport va être génrer sur ton C:\ qui sera en option 2
    Note: le bureau disparaît

    = colle le contenu du rapport de navilog (qui est en option2)

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    ____________________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0