Pop-up yes messenger et autre

KorbaK -  
 isa -
Bonjour,

Comme beaucoup j'ai un soucis de pop-up sous IE : Yes messenger, casino, porno...
J'utilise aussi Firefox et là pas de soucis.
Les outils de bases ne fonctionnent pas (ad-aware, spybot...), j'ai donc fait un scan avec navilog et dont le résultat est ci-dessous.

Merci d'avance pour votre aide car ça craint d'avoir des fenêtre porno qui s'affiche au boulot lol!!

Search Navipromo version 3.4.5 commencé le 15/02/2008 à 9:39:42,28

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Poste1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Poste1\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Poste1\MENUDM~1\PROGRA~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\WINDOWS\system32\onmvog.dat
C:\WINDOWS\system32\onmvog.exe
C:\WINDOWS\system32\onmvog_nav.dat
C:\WINDOWS\system32\onmvog_navps.dat

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Poste1\locals~1\applic~1" *

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

onmvog.dat trouvé !

* Dans "C:\Documents and Settings\Poste1\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :

*** Analyse terminée le 15/02/2008 à 9:48:24,29 ***
Configuration: Windows XP
Firefox 2.0.0.12

33 réponses

  • 1
  • 2
Résumé de la discussion

Problème majeur : des pop-ups publicitaires apparaissent sous Internet Explorer (Yes messenger, casino, porno), alors que Firefox reste indemne, et les outils de sécurité habituels ne suffisent pas selon le rapport Navilog. Plusieurs réponses recommandent OTMoveIt pour déplacer et supprimer les fichiers suspects, puis un nouveau scan en ligne (Kaspersky ou BitDefender) et l’utilisation de HijackThis pour identifier les éléments de démarrage et de certificat. Des éléments de réponse évoquent des outils complémentaires comme BTFix et des vérifications de certificats/entrées de Registre, tout en recommandant de relancer l’analyse après suppression et de vérifier que les extensions IE sont propres.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc note va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc note. Ton bureau va réapparaître

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau.
    Démarrer > Panneau de configuration > Options Internet
    Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    > Supprime-les
    poste le rapport obtenu et un rapport hijack this
    0
  2. KorbaK
     
    Merci pour ta réponse rapide et claire!
    J'ai effectivement supprimer dans les certificats "egroup".
    Voici le nouveau log navilog:

    Search Navipromo version 3.4.5 commencé le 15/02/2008 à 11:58:29,93

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\Poste1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Poste1\locals~1\applic~1" ***

    *** Recherche dossiers dans "C:\Documents and Settings\Poste1\MENUDM~1\PROGRA~1" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\Poste1\locals~1\applic~1" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\Poste1\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 15/02/2008 à 12:03:31,98 ***

    ET le log hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:09:55, on 15/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
    C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
    C:\WINDOWS\TEMP\ZX8223.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\ClamWin\bin\ClamTray.exe
    C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\DOCUME~1\Poste1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ibmsrv/traffic/login.cfm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fnhotmail%2fhelp%2f%3f
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
    O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
    O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
    O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
    O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
    O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [download glue] C:\DOCUME~1\Poste1\APPLIC~1\BAITPR~1\16 second.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: msnmsgr.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.21.18/officescan/console/ClientInstall/WinNTChk.cab
    O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setupini.cab
    O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setup.cab
    O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
    O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://192.168.21.18/officescan/console/html/AtxEnc.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/RemoveCtrl.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DC3B1A21-0F7F-40A7-968F-6C7989A2278E}: NameServer = 192.168.21.5,192.168.14.14
    O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
    O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
    O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
    0
  3. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge LopXPMH sur ton Bureau.
    http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

    Dézippe-le et double clique sur le fichier lopxpMH.bat.
    Poste le contenu du rapport qui va s'ouvrir.

    Malwares qui installent lop et cid

    BitDownload
    BitGrabber
    BitRoll
    MessengerPlus! 3
    Messenger Plus! Live
    NetPumper
    TorrentQ
    0
  4. KorbaK
     
    Ok voici :

    Rapport lopxpMH2 version 2.0 fait à 12:30:18,56 le 15/02/2008
    C:\Documents and Settings\Poste1\Bureau\lopxpMH2\lopxpMH2

    ******************************************
    ## Répertoires Application Data

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\All Users\Application Data

    20/01/2004 03:39 <REP> .
    20/01/2004 03:39 <REP> ..
    28/05/2004 12:32 <REP> Adobe
    27/10/2004 17:52 <REP> cashnurbthunkacid
    27/07/2007 14:37 <REP> Google
    20/01/2004 03:39 <REP> Microsoft
    19/04/2004 12:39 <REP> MSN6
    28/04/2004 09:13 <REP> QuickTime
    14/02/2008 12:15 <REP> Spybot - Search & Destroy
    20/01/2004 04:11 <REP> Symantec
    11/07/2006 10:01 <REP> Windows Genuine Advantage
    20/01/2004 03:39 62 desktop.ini
    13/09/2007 15:30 0 LauncherAccess.dt
    2 fichier(s) 62 octets
    11 Rép(s) 30 636 605 440 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\Default User\Application Data

    20/01/2004 03:39 <REP> .
    20/01/2004 03:39 <REP> ..
    20/01/2004 03:39 <REP> Microsoft
    20/01/2004 03:39 62 desktop.ini
    1 fichier(s) 62 octets
    3 Rép(s) 30 636 605 440 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

    20/01/2004 03:39 <REP> .
    20/01/2004 03:39 <REP> ..
    20/01/2004 03:52 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 30 636 605 440 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\LocalService\Application Data

    20/01/2004 03:57 <REP> .
    20/01/2004 03:57 <REP> ..
    20/01/2004 03:57 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 30 636 605 440 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

    20/01/2004 03:57 <REP> .
    20/01/2004 03:57 <REP> ..
    20/01/2004 03:57 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 30 636 605 440 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\NetworkService\Application Data

    20/01/2004 03:57 <REP> .
    20/01/2004 03:57 <REP> ..
    20/01/2004 03:57 <REP> Microsoft
    24/01/2005 09:45 <REP> Symantec
    0 fichier(s) 0 octets
    4 Rép(s) 30 636 605 440 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

    20/01/2004 03:57 <REP> .
    20/01/2004 03:57 <REP> ..
    20/01/2004 03:57 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 30 636 605 440 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\Poste1\Application Data

    20/01/2004 03:58 <REP> .
    20/01/2004 03:58 <REP> ..
    25/06/2007 09:53 <REP> .clamwin
    28/05/2004 12:33 <REP> Adobe
    27/10/2004 17:51 <REP> BAIT PROXY BIRD
    27/07/2007 14:50 <REP> Google
    23/03/2006 10:15 <REP> Gpl Chic
    06/12/2007 11:49 <REP> Help
    20/01/2004 03:58 <REP> Identities
    21/10/2004 10:14 <REP> Lavasoft
    20/01/2004 09:33 <REP> Macromedia
    20/01/2004 03:58 <REP> Microsoft
    23/03/2006 13:03 <REP> Mozilla
    19/04/2004 12:39 <REP> MSN6
    18/10/2007 10:15 <REP> Real
    13/09/2007 15:33 <REP> Samsung
    07/05/2007 10:43 <REP> SecondLife
    10/04/2007 10:01 <REP> Sun
    20/01/2004 04:11 <REP> Symantec
    16/07/2007 12:09 <REP> SystemRequirementsLab
    28/04/2006 17:07 <REP> U3
    18/07/2007 14:15 <REP> vlc
    20/01/2004 03:58 62 desktop.ini
    28/05/2004 12:19 0 dm.ini
    20/01/2004 04:09 0 sversion.ini
    3 fichier(s) 62 octets
    22 Rép(s) 30 636 601 344 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Documents and Settings\Poste1\Local Settings\Application Data

    20/01/2004 03:58 <REP> .
    20/01/2004 03:58 <REP> ..
    28/05/2004 12:33 <REP> Adobe
    27/07/2007 14:50 <REP> Google
    06/12/2007 11:49 <REP> Help
    20/01/2004 12:39 <REP> Identities
    20/01/2004 03:58 <REP> Microsoft
    23/03/2006 13:04 <REP> Mozilla
    04/01/2006 15:25 <REP> Scala
    07/05/2007 12:44 <REP> There
    10/08/2004 11:44 20 992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    21/01/2002 01:32 44 920 GDIPFONTCACHEV1.DAT
    20/01/2004 04:18 6 397 484 IconCache.db
    3 fichier(s) 6 463 396 octets
    10 Rép(s) 30 636 601 344 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

    20/01/2004 03:56 <REP> .
    20/01/2004 03:56 <REP> ..
    20/01/2004 03:56 <REP> Microsoft
    20/01/2004 03:56 62 desktop.ini
    1 fichier(s) 62 octets
    3 Rép(s) 30 636 601 344 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

    20/01/2004 03:56 <REP> .
    20/01/2004 03:56 <REP> ..
    20/01/2004 03:56 <REP> Microsoft
    0 fichier(s) 0 octets
    3 Rép(s) 30 636 601 344 octets libres

    ******************************************
    Recherche des taches planifiées dans C:\WINDOWS\tasks

    ******************************************
    ## Répertoires de C:\Program Files

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est 8019-F82E

    Répertoire de C:\Program Files

    15/02/2008 10:07 <REP> .
    15/02/2008 10:07 <REP> ..
    17/02/2006 16:38 <REP> Adobe
    20/01/2004 04:02 <REP> Ahead
    25/06/2007 09:53 <REP> ClamWin
    15/02/2008 10:07 <REP> CleanUp!
    19/04/2004 11:16 <REP> Common Files
    20/01/2004 03:48 <REP> ComPlus Applications
    04/04/2007 17:33 <REP> Fichiers communs
    10/01/2008 09:00 <REP> Google
    11/07/2006 17:31 <REP> Hewlett-Packard
    11/07/2006 15:15 <REP> IBM
    16/02/2007 17:53 <REP> Internet Explorer
    04/04/2007 17:39 <REP> Java
    08/02/2006 11:04 <REP> Lavasoft
    21/01/2004 06:05 <REP> Lexmark
    20/04/2007 10:45 <REP> Macromedia
    26/12/2005 13:56 <REP> Messenger
    20/01/2004 03:53 <REP> microsoft frontpage
    22/01/2004 11:24 <REP> Microsoft Office
    22/01/2004 11:25 <REP> Microsoft.NET
    07/10/2004 10:41 <REP> Movie Maker
    15/02/2008 11:50 <REP> Mozilla Firefox
    20/01/2004 03:47 <REP> MSN
    20/01/2004 03:47 <REP> MSN Gaming Zone
    08/03/2007 08:56 <REP> MSN Messenger
    20/11/2006 09:16 <REP> MSXML 4.0
    15/02/2008 12:07 <REP> Navilog1
    07/10/2004 10:35 <REP> NetMeeting
    10/01/2006 10:28 <REP> Norton AntiVirus
    13/03/2007 11:33 <REP> OpenOffice.org1.1.0
    18/12/2006 12:09 <REP> Outlook Express
    13/06/2006 11:10 <REP> QuickTime
    28/04/2004 09:12 12 305 576 QuickTimeFullInstaller.exe
    20/01/2004 04:17 <REP> Realtek Sound Manager
    07/05/2007 11:12 <REP> S3Inc
    13/09/2007 14:21 <REP> Samsung
    24/08/2007 16:10 <REP> Screensavers
    20/01/2004 03:50 <REP> Services en ligne
    19/04/2004 12:54 4 959 176 SetupDl.exe
    14/02/2008 15:36 <REP> Spybot - Search & Destroy
    10/01/2006 12:36 <REP> Symantec
    09/05/2007 16:03 <REP> There
    03/12/2007 12:20 <REP> Trend Micro
    01/06/2007 15:04 <REP> VideoLAN
    20/04/2007 10:47 <REP> Winamp
    30/03/2007 14:42 <REP> Windows Media Connect 2
    30/03/2007 14:42 <REP> Windows Media Player
    07/10/2004 10:35 <REP> Windows NT
    20/01/2004 03:53 <REP> xerox
    2 fichier(s) 17 264 752 octets
    48 Rép(s) 30 636 601 344 octets libres

    ******************************************
    ## Popups autorisées

    * Internet Explorer

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    searchweb2.com REG_SZ
    www.searchweb2.com REG_SZ

    * Mozilla Firefox (1 autorisé 2 interdit)

    ---------- C:\DOCUMENTS AND SETTINGS\POSTE1\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\Y3I1V0MT.DEFAULT\HOSTPERM.1
    host popup 1 www.soleilcalin.info
    host popup 1 www.wam-poker.com
    host popup 1 www.adresse-msn.com
    host popup 1 www.lotro-europe.com

    ******************************************
    ## Registre

    * [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
    Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

    * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    download glue REG_SZ C:\DOCUME~1\Poste1\APPLIC~1\BAITPR~1\16 second.exe

    ******************************************
    ## Zones de sécurité

    * HKCU Domains (4)

    * P3P History (5)

    ******************************************
    ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

    *************** Fin du rapport ****************
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
    clic double sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    C:\Documents and Settings\All Users\Application Data\cashnurbthunkacid
    C:\Documents and Settings\Poste1\Application Data\BAIT PROXY BIRD

    et colle-la dans le cadre de gauche de OTMoveIt2 :Paste standard List of Files/Folders to be moved.
    copie la liste qui se trouve en citation ci-dessous,
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "searchweb2.com"=-
    "www.searchweb2.com"=-
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "download glue"=-

    et colle-la dans le cadre de gauche (couleur Bleu) de OTMoveIt2 :
    Past Custom List of Files/Folders to be moved.
    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.

    poste le rapport obtenu et un nouveau rapport lopxpmh2
    0
  7. KorbaK
     
    Juste une précision dans ce que tu me demande :

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "searchweb2.com"=-
    "www.searchweb2.com"=-
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "download glue"=-

    Ces lignes là doivent être collée dans Past Custom List of Files/Folders to be moved (c'est le cadre orange et pas bleu si je ne me trompe pas) ?

    J'ai fait la manip mais il semble que le processus bloque quand il essaie d'enlever searckweb2. En tout cas ca prend un temps fou. je vais retenter en attendant ton avis.

    Merci
    0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    orange oui
    0
  9. KorbaK
     
    ok. Je confirme que OTmovelt bloque sur "moving file searchweb2.com.
    Le programme ne répond pas depuis plus de 10 mn.
    As tu une suggestion à me faire?

    Merci d'avance.
    0
  10. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    stoppe tout
    on va faire autrement
    1/ Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    ("Download Latest Version", sur la droite).
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    2* Crée un nouveau document texte :
    clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
    Ouvre-le et copie-colle dedans ce qui est ci-dessous, (copie tout d'un trait) :
    REGEDIT4
    
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
    "searchweb2.com"=-
    "www.searchweb2.com"=-
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "download glue"=-

    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : reglop.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    *****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)
    Comment aller en Mode sans échec lettre C
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur *****

    / Assure toi d'avoir accès aux dossiers/fichiers cachés :
    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"

    recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves :
    C:\Documents and Settings\All Users\Application Data\cashnurbthunkacid
    C:\Documents and Settings\Poste1\Application Data\BAIT PROXY BIRD

    recache tes dossiers et fichiers en effectuant la manoeuvre inverse

    / double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    / Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    *Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  11. korbaK
     
    Aucun soucis rencontré. Dis moi ca que tu en pense...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:52:04, on 15/02/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
    C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\TEMP\PJF797.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\ClamWin\bin\ClamTray.exe
    C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
    C:\DOCUME~1\Poste1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ibmsrv/traffic/login.cfm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fwww.msn.fr%2fnhotmail%2fhelp%2f%3f
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
    O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
    O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
    O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
    O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
    O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: msnmsgr.exe
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
    O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.21.18/officescan/console/ClientInstall/WinNTChk.cab
    O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setupini.cab
    O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setup.cab
    O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
    O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://192.168.21.18/officescan/console/html/AtxEnc.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/RemoveCtrl.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DC3B1A21-0F7F-40A7-968F-6C7989A2278E}: NameServer = 192.168.21.5,192.168.14.14
    O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
    O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
    O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
    0
  12. korbaK
     
    J'ai surfé un peu sur le net avec IE et je n'ai pas eu un seul pop-up. Il semblerait que cela redevienne viable.
    Un grand merci pour ton aide et ta patience. J'ai rarement l'occasion de passer par ce site mais en tous cas ton intervention a été parfaite!

    Bonne continuation et au plaisir!
    0
  13. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur j’accepte
    La fenêtre change encore, clique sur scanner
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
  14. KorbaK
     
    Ok Merci pour ton aide précieuse.
    Le scan a virer pas mal de conneries encore, mais déjà je vois la différence!!!

    Le problème me semble donc résolue. Merci encore et bonne continuation.

    PS : comment je fais pour cloturer le post?
    0
  15. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
    http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
    Clique sur Recherche et laisse le scan se terminer.
    Clique sur Suppression pour finaliser.
    tu peux, si tu le souhaites, te servir des Options facultatives.
    Clique sur Quitter, pour que le rapport puisse se créer.
    Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
    conserve néanmoins ccleaner ou
    Télécharge : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
    Un tuto
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
    et effectue le nettoyage tous les jours avant de couper le PC

    installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
    AVG Antispyware
    https://www.avg.com/en-ww/free-antivirus-download

    mode d'utilisation :
    Lance AVG Anti-Spyware, mets le à jour,
    Clique sur le bouton « Analyse »
    Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
    Retour à l'onglet Analyse.
    Clique sur Analyse complète du système.
    A la fin du scan, choisis " Appliquer toutes les actions "
    Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    tu peux le coupler avec celui-ci
    spybot search and destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet
    sécuriser son PC version Hot et Light

    désactive ta restauration
    clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
    redémarre ton PC
    clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer

    la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

    et bon surf
    0
  16. KorbaK
     
    -->- Recherche:

    C:\_OtMoveIt: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Lopxpmh2.zip: trouvé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1: trouvé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navilog1.exe: trouvé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navilog1.lnk: trouvé !
    C:\Documents and Settings\Poste1\Local Settings\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe: trouvé !
    C:\Program Files\Navilog1: trouvé !
    C:\Program Files\Navilog1\Navilog1.bat: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Lopxpmh2.zip: supprimé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navilog1.exe: supprimé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navilog1.lnk: supprimé !
    C:\Documents and Settings\Poste1\Local Settings\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe: supprimé !
    C:\Program Files\Navilog1\Navilog1.bat: supprimé !
    C:\_OtMoveIt: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
    C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1: supprimé !
    C:\Program Files\Navilog1: supprimé !

    Voici!
    Encore merci pour tout!!!

    A +++
    0
  17. isa
     
    Bonjour
    N'arrivant pas à me débarasser des fenetres pub de ce spyware, je copie ci mon rapport pour aide de votre part. Merci à vous.

    **************************************************************************************

    Search Navipromo version 2.0.2 commencé le 26/02/2008 à 23:50:04,81

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    InternetGameBox

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    C:\Program Files\InternetGameBox trouvé !

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\isa----nico\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1061.

    [+] Started on 02/26/08 at 23:50:05.
    [-] ERROR: This version of F-Secure BlackLight has expired.
    [+] Exited on 02/26/08 at 23:50:05 (return code = 3).

    *** Recherche fichiers ***

    C:\DOCUME~1\ALLUSE~1\Bureau\InternetGameBox.lnk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !
    HKEY_USERS\S-1-5-21-2710151713-1577214735-1306553958-1005\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\ifzsnolcpr.dat trouvé !
    **
    C:\WINDOWS\system32\ifzsnolcpr.dat trouvé !
    ***
    ****
    C:\WINDOWS\system32\ifzsnolcpr_navps.dat trouvé !
    *****
    C:\WINDOWS\system32\ifzsnolcpr_nav.dat trouvé !
    ******
    *******
    ********

    *** Analyse Terminé le 26/02/2008 à 23:50:49,10 ***
    0
  18. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc note va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc note. Ton bureau va réapparaître

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau.
    Démarrer > Panneau de configuration > Options Internet
    Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    > Supprime-les

    0
  19. isa
     
    Merci pour ta réponse!!
    J'ai supprimer dans les certificats "Electronic-group-...".
    Voici le nouveau log navilog:

    Search Navipromo version 2.0.2 commencé le 27/02/2008 à 11:41:53,98

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\isa----nico\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1061.

    [+] Started on 02/27/08 at 11:41:54.
    [-] ERROR: This version of F-Secure BlackLight has expired.
    [+] Exited on 02/27/08 at 11:41:54 (return code = 3).

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    **
    ***
    ****
    *****
    ******
    *******
    ********

    *** Analyse Terminé le 27/02/2008 à 11:42:27,95 ***
    0
  20. isa
     
    bonsoir,
    juste pour dire que le problème est résolu!!!! plus de fenetre publicitaires à caractères porno etc...encore merci!!
    bonne soirée!
    0
  21. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    fais tout de même un scan en ligne pour vérifier que tout est bien parti
    Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
    http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
    Clique sur Recherche et laisse le scan se terminer.
    Clique sur Suppression pour finaliser.
    tu peux, si tu le souhaites, te servir des Options facultatives.
    Clique sur Quitter, pour que le rapport puisse se créer.
    Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur j’accepte
    La fenêtre change encore, clique sur scanner
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
  • 1
  • 2