Sujet Précédent Sujet Suivant

Intrusion malveillante

Résolu
umberty64 Messages postés 43 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
je subit l'itrusion malveillante me disant que mon pc a un logiciel espion et on me propose de cliquer pour un scan gratUIT.
J'ai passe dans l'ordre : ad aware, a2free,spybod SD, un scan ligne secuser.com ? SCAN LIGNE F.Secure, CCLEANER et avast

voici rapport HLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:16, on 17/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

41 réponses

Réponse 1 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

ce ne sont pas les malwares les plus visibles qui sont les plus redoutables.

poste len rapports de Navilog et de Hijackthis que l'on voit s'il n'y a rien d'autre.
2
umberty64 Messages postés 43 Statut Membre
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:57, on 21/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\System32\msconfig.exe" /auto
O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RogueMonitor] C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe /monitor
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
0
umberty64 Messages postés 43 Statut Membre
 
et voila navilog pour terminer
Search Navipromo version 3.5.0 commencé le 22/03/2008 à 20:05:40,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans c:\users\acer\appdata\roaming\microsoft\windows\start menu\programs ***


*** Recherche dossiers dans C:\Users\acer\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\acer\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\acer\AppData\Local\Microsoft *

* Recherche dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\acer\AppData\Local *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :


* Dans C:\Users\acer\AppData\Local\Microsoft :


* Dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 :


* Dans C:\Users\acer\AppData\Local :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

4)Recherche fichiers connus :



*** Analyse terminée le 22/03/2008 à 20:12:41,47 ***
0
Réponse 2 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

si je suis pas trop sénile, ça

O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp

ça ressemble à du navipromo.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
2
umberty64 Messages postés 43 Statut Membre
 
merci je vais operer das que le scan en cours sera terminé
0
Utilisateur anonyme
 
A vue de nez tu n'es pas sénile, j'aimerais bien que cette personne résolve son problème... Si c'est du navilog alors oui ça devrait aller avecces conseils, merci du coup de main:)
0
Réponse 3 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

ouf, je suis effectivement pas sénile, il y a bien un navipromo.

on désinfecte.

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaître
Réactive le contrôle des comptes utilisateurs (UAC)

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau

Poste le rapport de navilog avec un nouveau rapport Hijackthis.
2
umberty64 Messages postés 43 Statut Membre
 
ca y est avec navilog ca à super bien nettoyé depuis hier soir plus une interruption par pub ou fichier de sois-disant securité.
J'ai un peu ramé ne connaissant pas le systeme acer, mais nous avons neutralisé l'ennemi et cela grace a vous tous.

Milles merci a vous tous.

joyeuses Paques
0
Réponse 4 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

par "construction", les antivirus sont mal armés contre les rootkits (qui sont conçus pour les déjouer).

Pour navipromo,
l'indication c'est ça (je mets en gras les élémenrs structurels, la triple répétition sur une ligne O4)

O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp

Sinon, des pubs pour des casinos, des pubs porno sont révélatrices.

c'est un adware bien connu des désinfecteurs.
1
Utilisateur anonyme
 
Merci du renseignement je l'aurais loupé de visu à part peut-être un doute sur une clé Run de la BDR + 1 programme justement mentionné nulle part! Au passage i y a quand même unmodule spécifique pour la détection des rootkits aussi bien ds Kaspersky que dans AVG mais j'avoue ne pas avoir envie de vérifier in vivo si ça fonctionnerait dans le cas qui nous a occupé.

- j'avoue que les hijack me g*vent un peu, aussi, mais ça va mieux avec ce petit soft qui facilite la lecture :)

J'apprends tous les jours c'est fantastique!

Bon we à tous et merci Lyonnais92.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 41
Mr.Wall Messages postés 152 Statut Membre 8
 
Salut,

Essaye ce site qui explique tout en detail et télécharge le logiciel :

http://siri.urz.free.fr/Fix/SmitfraudFix.php
0
umberty64 Messages postés 43 Statut Membre
 
Merci j'essaye de suite
0
umberty64 Messages postés 43 Statut Membre
 
j'ai fait l'operation mais le probleme subsiste toujours
le rapport finl de fraudfix est le suivant :

SmitFraudFix v2.305

Scan done at 18:23:37,95, 20/03/2008
Run from C:\Users\acer\Downloads\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process
0
Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
 
te voilà bien avancé. Le rapport ne dit rien, ne "voit" rien.
0
^^Marie^^ Messages postés 126523 Date d'inscription   Statut Membre Dernière intervention   3 279 > Utilisateur anonyme
 
Normal qu'on ne voit rien, le rapport est incomplet.
0
Réponse 6 / 41
Utilisateur anonyme
 
La technique est connue c'est bien sûr une arnaque, on crie au loup et on vous donne l'adresse des pompiers contre argent...

Dans le log hijacktruc cette ligne:

O4 - HKCU\..\Run: [?????????] ??????????????e

Cette ligne est bizarre. Il faudrait aller dans la base de registre sous HKCU\Software\Microsoft\Windows\Current Version\Run et là voir s'il n'y a pas ce ????????????? et ** je pense** je répète ** je pense*** supprimer cette clé
0
umberty64 Messages postés 43 Statut Membre
 
J'ai reussi a degotter la ligne niponne et comme par miracle dans le scan de Browser Hijack Retaliator les deux lignes inconnues et 6 lignes en rouge pont disparues, tout est devenu tres ecolo.
Demain apres quelques heures de fonctionnement je verrai si le probleme a disparu totalement.
je soupconne emule (que j'ai viré) d'en être la cause, car l'appareil est neuf et n'avait fonctionné que quelques heures. Donc j'ai deconseillé aux proprietaires de remettre emule (de la merde) de toute façon)
En attendant felicitations a tous et encore merci, je vous dirais si cela est terminé.
0
Réponse 7 / 41
hey!!
 
Salut donc moi je penses que tu devrais télécharger Browser Hijack Retalior 4.5.

1)Tu l'installes et en le démarrant tu clique sur startup.
2) Tu cliques sur Scan Links.

Si toutes les croix sont vertes c'est que tu n'as pas d'intrusions connecté par internet.
Si tu en as une tu fais un rapport hijackthis et tu recherche l'adresse que ta trouver dans browser hijack.

J'espère que j'ai pu vous éclairé....

++ et bonne continuation
0
Réponse 8 / 41
umberty64 Messages postés 43 Statut Membre
 
non la cle dans la base de registre ne s'y trouve pas

O4 - HKCU\..\Run: [?????????] ??????????????e
0
Utilisateur anonyme
 
as-tu essayé d'analyser ce qu'indique msconfig? En étudiant sous les différents onglets ce qui se lance au démarrage, on devrait pouvoir avancer si la soluce proposée par "hey!!" ne fonctionne pas.

taper "msconfig" dans démarrer\exécuter

Bon je brise là mais j'essaierai de suivre, promis. Bonne chance et même si je n'en ai jamais souffert, une belle saleté que ces bho et consorts
0
umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
 
ca y est je ne trouve qu'une ligne en japonais qui correspond a la ligne pleine de ????????? DU rapport hijackthis
Je l'ai desactivée
0
Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
 
bon a priori ce fichier n'était pas indispensable. Il se peut aussi que ce soit un driver fabriqué là-bas, aucune idée... Mas moi ça m'avait frappé en me farcissant ce rapporyt le reste semblant anodin. As-tu essayé ad-aware en mode sans échec? As-tu essayé la resatrauration en mode sans échec? As-tu scanné avec F-secure en mode sans échec?est-ce que ça va mieux ou pas maintenant? Vraiment je dois y aller, je ne promets rien mais si je peux je reprendrai demain. Je te donne la principale piste. Ce put*in de fichier ou de dll ou de je ne sais quoi est un truc (ou un petit ensemble de trucs) qui se lancent automatiquement au démarrage et peut-être même en mode sans échec apparemment. Ce qui rend l'élimination d'autant plus difficile mais pas impossible, il y a aussi la possibilité d'un démarrage où tu choisis ligne après ligne ce qui se lance ou pas, le toujt étant évidemment de savoir quels sont le sprocessus valides/réglos et les indésirables...
0
umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
 
je fais toujours le nettoyage en mode sans echec, maiis tu viens deme donner certins points oublies, ok merci bonne soiree
0
Réponse 9 / 41
TSniper Messages postés 796 Statut Membre 157
 
Tu peux aussi installer SPywareBlaster qui propose une vaccination du système... Et il est gratuit celui-là !
0
Réponse 10 / 41
TSniper Messages postés 796 Statut Membre 157
 
https://www.brightfort.com/sbdownload_free.html
0
Réponse 11 / 41
umberty64 Messages postés 43 Statut Membre
 
Pour tsniper, je te deconseille d'utiliser spyware blaster voir :

http://assiste.com.free.fr/p/craptheque/craptheque.html
0
Réponse 12 / 41
umberty64 Messages postés 43 Statut Membre
 
bonjou a tous
Le probleme persiste

Le scan de Broser Hijack Retaliator en mode sans échec donne en rouge les lignes suivantes :

* Windows Defender %ProgramFiles%\Windows Defender\MSASCui.exe –hide HKEY_LOCAL_MACHINE\....\ Run

* NvSvc RUNDLL32.EXE C:\Windows\System32\nvsvc.dll,nvsvcStart HKEY_LOCAL_MACHINE\....\ Run

* NvCplDaemon RUNDLL32.EXE C:\Windows\System32\NvCpl.dll,NvStartup HKEY_LOCAL_MACHINE\....\ Run

* NvMediaCenter RUNDLL32.EXE

* C:\Windows\System32\NvMcTray.dll,NvTaskbarInit HKEY_LOCAL_MACHINE\....\ Run
0
Utilisateur anonyme
 
Sous réserve, tous ces process appartiennent à windows, le premier à windows defender, l'autre à Nvidia... Donc je ne vois pas en l'état.
0
umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
 
ok je continue la fouille
0
Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
 
le problème de ces bestioles c'est très souvent le truc suivant. Cétait encore en développement, si j'ose dire, il y a quelques années, ça semble être devenu une règle aujourd'hui. Au lieu d'avoir, ce qui nous faciliterait la tache, d'un côté un processus "net", "réglo" et de l'autre un rogue, un malaware, un méchant, le méchant aujourd'hui S'INJECTE DANS 1 processus tout à fait anodin ou pire indispensable au système. Alors ou bien tu jettes alors comme le dit la pas très élégante expression "le bébé avec l'eau du bain" ou alors tu fonctionnes avec ce processus malveillant injecté dans un processus sain à l'origine. Tu saisis? Mais dans la majorité des cas un très bon antivirus parvient à résoudre le problème, souvent en mode sans échec et au pire les éditeurs sortent un petit programme spécifique comme ils le font lors d'infections à grande échelle.
0
Réponse 13 / 41
umberty64 Messages postés 43 Statut Membre
 
jamais je n'acheterais un ACER quel merdier ou alors j'ai pris de mauvaises habitudes avec le classique...... Je ne savais aps comment me mettre en administrater er la des que j'ai quitté mode sans echec ou j'ai refais tous les contrôles , le scan d epybot s'est déclenché tout seul^. Donc pour le processus de Lyonnais92 je dois encore attendre

En tout cas grâce a vous tous j'ai encore appris de nouvelles choses. Heureusement que sur mes ordi en +10ans je n'ai jamais eu un tel probleme? J'ai toujours acheté le matos en pieces detachées et me suis toujours monté les config a mon gout. Résultat jamais de probleme
0
Utilisateur anonyme
 
heu... j'ai aussi un acer là :)) Et ma foi il se porte bien mais c'est vrai qu'apparemment, je dis apparemment ça dépend des séries. ENfin bref content pour toi que ça s'arrange!
0
umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
 
HEU POUR L'instant j'ai toujours cette intrusion
0
Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
 
on va attendre la soluce de lyonnais92 et puis on verra. Si j'y suis encore, je m'y (re)pencherai.
0
Réponse 14 / 41
umberty64 Messages postés 43 Statut Membre
 
je viens d'installer Navilog et j'ai un ecran nor ms-dos security ALERT wIndows xp qui dit avoir detecté un probleme et analyse l'ordi pour empecher tout dommage

Esce possible ? OU UN LEURRE,
0
Utilisateur anonyme
 
Aucune idée je ne suis infecté qu'une fois tous les 18 mois et encore...

Un peu de lecture (comment se servir de navilog, sa vie, son oeuvre etc.):

http://mickael.barroux.free.fr/securite/navilog.php
0
Réponse 15 / 41
umberty64 Messages postés 43 Statut Membre
 
CA Y EST C4ETAIT UN LEURRE
Voila le rapport navilog

Search Navipromo version 3.5.0 commencé le 21/03/2008 à 18:36:56,11

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\Windows ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\ProgramData ***

*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

...\WebMediaPlayer trouvé !

*** Recherche dossiers dans c:\users\acer\appdata\roaming\microsoft\windows\start menu\programs ***

*** Recherche dossiers dans C:\Users\acer\AppData\Local\virtualstore\Program Files ***

*** Recherche dossiers dans C:\Users\acer\AppData\Roaming ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Users\acer\AppData\Local\edmusblcp.dat
C:\Users\acer\AppData\Local\edmusblcp.exe
C:\Users\acer\AppData\Local\edmusblcp_nav.dat
C:\Users\acer\AppData\Local\edmusblcp_navps.dat

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\acer\AppData\Local\Microsoft *

* Recherche dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\acer\AppData\Local *

Fichiers suspects :

edmusblcp.exe trouvé !

*** Recherche fichiers ***

c:\users\acer\desktop\WebMediaPlayer.lnk trouvé !
C:\Windows\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\Windows\system32 :

* Dans C:\Users\acer\AppData\Local\Microsoft :

* Dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 :

* Dans C:\Users\acer\AppData\Local :

edmusblcp.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !

4)Recherche fichiers connus :

*** Analyse terminée le 21/03/2008 à 18:43:04,88 ***
0
Utilisateur anonyme
 
Alors il semblerait que l'on soit proche de la solution du problème, tant mieux! Mais comme indiqué pas de désinfection sans avoir sauvegardé tous les docs importants etc.
0
umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
 
ok la cela se complique ce n'est pas mon appareil. Il y a des fotos des musiques je pense d'important c'est tout, ils n'ont pas utilisé l'appareil plus d'un mois a ma connaissance
0
Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
 
On touche ici la limite des interventions du genre de celles que l'on peut proposer à distance, sans avoir tous ses outils logiciels et la machine en question sous les yeux.
0
umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
 
que dois je faire apres l'analyse
0
umberty64 Messages postés 43 Statut Membre > umberty64 Messages postés 43 Statut Membre
 
je vais leur sauver les fotos et musiques , j'ai confirmation il n'y a rien d'autr d'important.
yA T4IL UNE PROCEDURE A SUIVRE apres ou sinon on reprend cela un autre jour
0
Réponse 16 / 41
umberty64 Messages postés 43 Statut Membre
 
jE DECROCHE AUSSI
Bonne soiree a tous merci et bon wee kend
0
Réponse 17 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

remets un Hijackthis en mode normal.
0
Utilisateur anonyme
 
to make sort a long story comment se fait-il que kaspersky dûment installé, paramétré etc. ne détecte pas un simple rootkit en mode sans échec? Ou ça n'a pas été fait dans les règles de l'art?

et curiosité comment avez-vs repéré ce navipromo nulle part mentionné sur le net sauf peut-être maintenant que c'est indexé ?
0
umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
 
karpeskiy n'est pas installe , c'est moi qui ai fait ya deux jours un scan en ligne
0
Réponse 18 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

un rapport Hijackthis, effectivement avec les outils dont on dispose, ce n'est pas très lourd. Surtout que, avec de l'expérience, 80% de l'info est "bien connue" (comme saine ou malsaine).

Par contre, quand dans un rapport DSS, tu dois aller vérifier 25 fichiers sur Google pour être totalement sûr que sur les 25 il n'y en a pas un au plus qui soit légitime, ça, je trouve que c'est lourd.
0
umberty64 Messages postés 43 Statut Membre
 
voila le rapport en mode normal

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:57, on 21/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\System32\msconfig.exe" /auto
O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RogueMonitor] C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe /monitor
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
0
Réponse 19 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

Encore là !

On recommence.

Tu supprimes tout ce que tu as installé concernant Navilog.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

0
umberty64
 
vOILA LE SCAN EN ADMINISTRATEUR

Search Navipromo version 3.5.1 commencé le 23/03/2008 à 17:59:53,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 22.03.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans c:\users\acer\appdata\roaming\microsoft\windows\start menu\programs ***


*** Recherche dossiers dans C:\Users\acer\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\acer\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\acer\AppData\Local\Microsoft *

* Recherche dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\acer\AppData\Local *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :


* Dans C:\Users\acer\AppData\Local\Microsoft :


* Dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 :


* Dans C:\Users\acer\AppData\Local :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 23/03/2008 à 18:05:44,03 ***
0
Réponse 20 / 41
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

2 hypothèses : le fichier n'existe plus ou ce n'estp ps du navipromo

On va vérifier

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\users\acer\appdata\local\edmusblcp.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.
0
umberty64 Messages postés 43 Statut Membre
 
bonsoir, j'ai suivi ta procedure mais je ne trouve pas la ligne c:\users\acer\appdata\local\edmusblcp.exe

user apres le c n'y est pas
0
umberty64 Messages postés 43 Statut Membre
 
autrement j'ai acer\appdata\local\ mais pas la fin de la ligne
0

Discussions similaires

détection d'intrusion
ariel755 -
ariel755 -

2 réponses
Intrusions dans le châssis !
lineseth -
lineseth -

17 réponses
Avec Firefox intrusion intempestive d'Avast
matou83 -
matou83 -

3 réponses
Possible intrusion à mon compte Instagram
N92__ -
brucine -

1 réponse
"Tentative d'intrusion"
Utilisateur anonyme -
MPMP10 -

7 réponses