Intrusion malveillante

Résolu
umberty64 Messages postés 43 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
je subit l'itrusion malveillante me disant que mon pc a un logiciel espion et on me propose de cliquer pour un scan gratUIT.
J'ai passe dans l'ordre : ad aware, a2free,spybod SD, un scan ligne secuser.com ? SCAN LIGNE F.Secure, CCLEANER et avast

voici rapport HLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:16, on 17/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.orange.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 7045 bytes
ijackthis

Je vous remercie par avance si vous pouviez m'aider , merci
Configuration: Windows Vista
Internet Explorer 7.0

41 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une intrusion malveillante affiche une alerte de logiciel espion et incite à cliquer pour un scan gratuit, suscitant des tentatives de phishing et des modifications non autorisées sur le navigateur. Des éléments observés dans les rapports pointent vers des redirections et des composants potentiellement indésirables, et des outils comme HijackThis et Navilog1 sont recommandés pour diagnostiquer et nettoyer. En pratique, il est conseillé de désactiver temporairement l'UAC, d'exécuter Navilog1 avec les droits d'administrateur puis de suivre les étapes affichées jusqu'au nettoyage et au redémarrage. Aussi, des précautions supplémentaires incluent la sauvegarde des rapports HijackThis et Navilog1 pour évaluer la persistance des éléments et vérifier que des services ou démarrages ne réintroduisent pas l'infection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    ce ne sont pas les malwares les plus visibles qui sont les plus redoutables.

    poste len rapports de Navilog et de Hijackthis que l'on voit s'il n'y a rien d'autre.
    2
    1. umberty64 Messages postés 43 Statut Membre
       
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:05:57, on 21/03/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16609)
      Boot mode: Safe mode

      Running processes:
      C:\Windows\Explorer.EXE
      C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
      O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
      O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
      O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [MSConfig] "C:\Windows\System32\msconfig.exe" /auto
      O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
      O4 - HKCU\..\Run: [RogueMonitor] C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe /monitor
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Empowering Technology Launcher.lnk = ?
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
      O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
      O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
      O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
      O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
      O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
      O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
      O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
      0
    2. umberty64 Messages postés 43 Statut Membre
       
      et voila navilog pour terminer
      Search Navipromo version 3.5.0 commencé le 22/03/2008 à 20:05:40,49

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

      Microsoft Windows Vista 6.0.6000
      Internet Explorer : 7.0.6000.16609
      Système de fichiers : NTFS

      Executé en mode normal

      *** Recherche Programmes installés ***




      *** Recherche dossiers dans C:\Windows ***



      *** Recherche dossiers dans C:\Program Files ***


      *** Recherche dossiers dans C:\ProgramData ***


      *** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


      *** Recherche dossiers dans c:\users\acer\appdata\roaming\microsoft\windows\start menu\programs ***


      *** Recherche dossiers dans C:\Users\acer\AppData\Local\virtualstore\Program Files ***



      *** Recherche dossiers dans C:\Users\acer\AppData\Roaming ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Aucun Fichier trouvé



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans C:\Windows\system32 *

      * Recherche dans C:\Users\acer\AppData\Local\Microsoft *

      * Recherche dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 *

      * Recherche dans C:\Users\acer\AppData\Local *



      *** Recherche fichiers ***




      *** Recherche clés spécifiques dans le Registre ***


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans C:\Windows\system32 :


      * Dans C:\Users\acer\AppData\Local\Microsoft :


      * Dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 :


      * Dans C:\Users\acer\AppData\Local :


      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le 22/03/2008 à 20:12:41,47 ***
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    si je suis pas trop sénile, ça

    O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp

    ça ressemble à du navipromo.

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    Télécharge maintenant Navilog1 depuis-ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

    en tant qu'administrateur".

    Au menu principal, Fais le choix 1
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche le blocnote va s'ouvrir.
    Copie-colle l'intégralité du rapport dans une réponse.
    Referme le blocnote
    Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.
    2
    1. umberty64 Messages postés 43 Statut Membre
       
      merci je vais operer das que le scan en cours sera terminé
      0
    2. Utilisateur anonyme
       
      A vue de nez tu n'es pas sénile, j'aimerais bien que cette personne résolve son problème... Si c'est du navilog alors oui ça devrait aller avecces conseils, merci du coup de main:)
      0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    ouf, je suis effectivement pas sénile, il y a bien un navipromo.

    on désinfecte.

    Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
    Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

    Au menu principal, Fais le choix 2
    Laisse toi guider et patiente.
    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
    Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaître
    Réactive le contrôle des comptes utilisateurs (UAC)

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau

    Poste le rapport de navilog avec un nouveau rapport Hijackthis.
    2
    1. umberty64 Messages postés 43 Statut Membre
       
      ca y est avec navilog ca à super bien nettoyé depuis hier soir plus une interruption par pub ou fichier de sois-disant securité.
      J'ai un peu ramé ne connaissant pas le systeme acer, mais nous avons neutralisé l'ennemi et cela grace a vous tous.

      Milles merci a vous tous.

      joyeuses Paques
      0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    par "construction", les antivirus sont mal armés contre les rootkits (qui sont conçus pour les déjouer).

    Pour navipromo,
    l'indication c'est ça (je mets en gras les élémenrs structurels, la triple répétition sur une ligne O4)

    O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp

    Sinon, des pubs pour des casinos, des pubs porno sont révélatrices.

    c'est un adware bien connu des désinfecteurs.
    1
    1. Utilisateur anonyme
       
      Merci du renseignement je l'aurais loupé de visu à part peut-être un doute sur une clé Run de la BDR + 1 programme justement mentionné nulle part! Au passage i y a quand même unmodule spécifique pour la détection des rootkits aussi bien ds Kaspersky que dans AVG mais j'avoue ne pas avoir envie de vérifier in vivo si ça fonctionnerait dans le cas qui nous a occupé.

      - j'avoue que les hijack me g*vent un peu, aussi, mais ça va mieux avec ce petit soft qui facilite la lecture :)

      J'apprends tous les jours c'est fantastique!

      Bon we à tous et merci Lyonnais92.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Mr.Wall Messages postés 152 Statut Membre 8
     
    Salut,

    Essaye ce site qui explique tout en detail et télécharge le logiciel :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    0
    1. umberty64 Messages postés 43 Statut Membre
       
      Merci j'essaye de suite
      0
    2. umberty64 Messages postés 43 Statut Membre
       
      j'ai fait l'operation mais le probleme subsiste toujours
      le rapport finl de fraudfix est le suivant :

      SmitFraudFix v2.305

      Scan done at 18:23:37,95, 20/03/2008
      Run from C:\Users\acer\Downloads\SmitfraudFix
      OS: Microsoft Windows [version 6.0.6000] - Windows_NT
      The filesystem type is NTFS
      Fix run in normal mode

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Killing process
      0
      1. Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
         
        te voilà bien avancé. Le rapport ne dit rien, ne "voit" rien.
        0
      2. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280 > Utilisateur anonyme
         
        Normal qu'on ne voit rien, le rapport est incomplet.
        0
  7. Utilisateur anonyme
     
    La technique est connue c'est bien sûr une arnaque, on crie au loup et on vous donne l'adresse des pompiers contre argent...

    Dans le log hijacktruc cette ligne:

    O4 - HKCU\..\Run: [?????????] ??????????????e

    Cette ligne est bizarre. Il faudrait aller dans la base de registre sous HKCU\Software\Microsoft\Windows\Current Version\Run et là voir s'il n'y a pas ce ????????????? et ** je pense** je répète ** je pense*** supprimer cette clé
    0
    1. umberty64 Messages postés 43 Statut Membre
       
      J'ai reussi a degotter la ligne niponne et comme par miracle dans le scan de Browser Hijack Retaliator les deux lignes inconnues et 6 lignes en rouge pont disparues, tout est devenu tres ecolo.
      Demain apres quelques heures de fonctionnement je verrai si le probleme a disparu totalement.
      je soupconne emule (que j'ai viré) d'en être la cause, car l'appareil est neuf et n'avait fonctionné que quelques heures. Donc j'ai deconseillé aux proprietaires de remettre emule (de la merde) de toute façon)
      En attendant felicitations a tous et encore merci, je vous dirais si cela est terminé.
      0
  8. hey!!
     
    Salut donc moi je penses que tu devrais télécharger Browser Hijack Retalior 4.5.

    1)Tu l'installes et en le démarrant tu clique sur startup.
    2) Tu cliques sur Scan Links.

    Si toutes les croix sont vertes c'est que tu n'as pas d'intrusions connecté par internet.
    Si tu en as une tu fais un rapport hijackthis et tu recherche l'adresse que ta trouver dans browser hijack.

    J'espère que j'ai pu vous éclairé....

    ++ et bonne continuation
    0
  9. umberty64 Messages postés 43 Statut Membre
     
    non la cle dans la base de registre ne s'y trouve pas

    O4 - HKCU\..\Run: [?????????] ??????????????e
    0
    1. Utilisateur anonyme
       
      as-tu essayé d'analyser ce qu'indique msconfig? En étudiant sous les différents onglets ce qui se lance au démarrage, on devrait pouvoir avancer si la soluce proposée par "hey!!" ne fonctionne pas.

      taper "msconfig" dans démarrer\exécuter

      Bon je brise là mais j'essaierai de suivre, promis. Bonne chance et même si je n'en ai jamais souffert, une belle saleté que ces bho et consorts
      0
      1. umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
         
        ca y est je ne trouve qu'une ligne en japonais qui correspond a la ligne pleine de ????????? DU rapport hijackthis
        Je l'ai desactivée
        0
      2. Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
         
        bon a priori ce fichier n'était pas indispensable. Il se peut aussi que ce soit un driver fabriqué là-bas, aucune idée... Mas moi ça m'avait frappé en me farcissant ce rapporyt le reste semblant anodin. As-tu essayé ad-aware en mode sans échec? As-tu essayé la resatrauration en mode sans échec? As-tu scanné avec F-secure en mode sans échec?est-ce que ça va mieux ou pas maintenant? Vraiment je dois y aller, je ne promets rien mais si je peux je reprendrai demain. Je te donne la principale piste. Ce put*in de fichier ou de dll ou de je ne sais quoi est un truc (ou un petit ensemble de trucs) qui se lancent automatiquement au démarrage et peut-être même en mode sans échec apparemment. Ce qui rend l'élimination d'autant plus difficile mais pas impossible, il y a aussi la possibilité d'un démarrage où tu choisis ligne après ligne ce qui se lance ou pas, le toujt étant évidemment de savoir quels sont le sprocessus valides/réglos et les indésirables...
        0
      3. umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
         
        je fais toujours le nettoyage en mode sans echec, maiis tu viens deme donner certins points oublies, ok merci bonne soiree
        0
  10. TSniper Messages postés 796 Statut Membre 157
     
    Tu peux aussi installer SPywareBlaster qui propose une vaccination du système... Et il est gratuit celui-là !
    0
  11. umberty64 Messages postés 43 Statut Membre
     
    bonjou a tous
    Le probleme persiste

    Le scan de Broser Hijack Retaliator en mode sans échec donne en rouge les lignes suivantes :

    * Windows Defender %ProgramFiles%\Windows Defender\MSASCui.exe –hide HKEY_LOCAL_MACHINE\....\ Run

    * NvSvc RUNDLL32.EXE C:\Windows\System32\nvsvc.dll,nvsvcStart HKEY_LOCAL_MACHINE\....\ Run

    * NvCplDaemon RUNDLL32.EXE C:\Windows\System32\NvCpl.dll,NvStartup HKEY_LOCAL_MACHINE\....\ Run

    * NvMediaCenter RUNDLL32.EXE

    * C:\Windows\System32\NvMcTray.dll,NvTaskbarInit HKEY_LOCAL_MACHINE\....\ Run
    0
    1. Utilisateur anonyme
       
      Sous réserve, tous ces process appartiennent à windows, le premier à windows defender, l'autre à Nvidia... Donc je ne vois pas en l'état.
      0
      1. umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
         
        ok je continue la fouille
        0
      2. Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
         
        le problème de ces bestioles c'est très souvent le truc suivant. Cétait encore en développement, si j'ose dire, il y a quelques années, ça semble être devenu une règle aujourd'hui. Au lieu d'avoir, ce qui nous faciliterait la tache, d'un côté un processus "net", "réglo" et de l'autre un rogue, un malaware, un méchant, le méchant aujourd'hui S'INJECTE DANS 1 processus tout à fait anodin ou pire indispensable au système. Alors ou bien tu jettes alors comme le dit la pas très élégante expression "le bébé avec l'eau du bain" ou alors tu fonctionnes avec ce processus malveillant injecté dans un processus sain à l'origine. Tu saisis? Mais dans la majorité des cas un très bon antivirus parvient à résoudre le problème, souvent en mode sans échec et au pire les éditeurs sortent un petit programme spécifique comme ils le font lors d'infections à grande échelle.
        0
  12. umberty64 Messages postés 43 Statut Membre
     
    jamais je n'acheterais un ACER quel merdier ou alors j'ai pris de mauvaises habitudes avec le classique...... Je ne savais aps comment me mettre en administrater er la des que j'ai quitté mode sans echec ou j'ai refais tous les contrôles , le scan d epybot s'est déclenché tout seul^. Donc pour le processus de Lyonnais92 je dois encore attendre

    En tout cas grâce a vous tous j'ai encore appris de nouvelles choses. Heureusement que sur mes ordi en +10ans je n'ai jamais eu un tel probleme? J'ai toujours acheté le matos en pieces detachées et me suis toujours monté les config a mon gout. Résultat jamais de probleme
    0
    1. Utilisateur anonyme
       
      heu... j'ai aussi un acer là :)) Et ma foi il se porte bien mais c'est vrai qu'apparemment, je dis apparemment ça dépend des séries. ENfin bref content pour toi que ça s'arrange!
      0
      1. umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
         
        HEU POUR L'instant j'ai toujours cette intrusion
        0
      2. Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
         
        on va attendre la soluce de lyonnais92 et puis on verra. Si j'y suis encore, je m'y (re)pencherai.
        0
  13. umberty64 Messages postés 43 Statut Membre
     
    je viens d'installer Navilog et j'ai un ecran nor ms-dos security ALERT wIndows xp qui dit avoir detecté un probleme et analyse l'ordi pour empecher tout dommage

    Esce possible ? OU UN LEURRE,
    0
  14. umberty64 Messages postés 43 Statut Membre
     
    CA Y EST C4ETAIT UN LEURRE
    Voila le rapport navilog

    Search Navipromo version 3.5.0 commencé le 21/03/2008 à 18:36:56,11

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO

    Microsoft Windows Vista 6.0.6000
    Internet Explorer : 7.0.6000.16609
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\Windows ***

    *** Recherche dossiers dans C:\Program Files ***

    C:\Program Files\WebMediaPlayer trouvé !

    *** Recherche dossiers dans C:\ProgramData ***

    *** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***

    ...\WebMediaPlayer trouvé !

    *** Recherche dossiers dans c:\users\acer\appdata\roaming\microsoft\windows\start menu\programs ***

    *** Recherche dossiers dans C:\Users\acer\AppData\Local\virtualstore\Program Files ***

    *** Recherche dossiers dans C:\Users\acer\AppData\Roaming ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Fichier(s) caché(s) :

    C:\Users\acer\AppData\Local\edmusblcp.dat
    C:\Users\acer\AppData\Local\edmusblcp.exe
    C:\Users\acer\AppData\Local\edmusblcp_nav.dat
    C:\Users\acer\AppData\Local\edmusblcp_navps.dat

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\Windows\system32 *

    * Recherche dans C:\Users\acer\AppData\Local\Microsoft *

    * Recherche dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 *

    * Recherche dans C:\Users\acer\AppData\Local *

    Fichiers suspects :

    edmusblcp.exe trouvé !

    *** Recherche fichiers ***

    c:\users\acer\desktop\WebMediaPlayer.lnk trouvé !
    C:\Windows\system32\nvs2.inf trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\Windows\system32 :

    * Dans C:\Users\acer\AppData\Local\Microsoft :

    * Dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 :

    * Dans C:\Users\acer\AppData\Local :

    edmusblcp.dat trouvé !

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !

    4)Recherche fichiers connus :

    *** Analyse terminée le 21/03/2008 à 18:43:04,88 ***
    0
    1. Utilisateur anonyme
       
      Alors il semblerait que l'on soit proche de la solution du problème, tant mieux! Mais comme indiqué pas de désinfection sans avoir sauvegardé tous les docs importants etc.
      0
    2. umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
       
      ok la cela se complique ce n'est pas mon appareil. Il y a des fotos des musiques je pense d'important c'est tout, ils n'ont pas utilisé l'appareil plus d'un mois a ma connaissance
      0
    3. Utilisateur anonyme > umberty64 Messages postés 43 Statut Membre
       
      On touche ici la limite des interventions du genre de celles que l'on peut proposer à distance, sans avoir tous ses outils logiciels et la machine en question sous les yeux.
      0
    4. umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
       
      que dois je faire apres l'analyse
      0
    5. umberty64 Messages postés 43 Statut Membre > umberty64 Messages postés 43 Statut Membre
       
      je vais leur sauver les fotos et musiques , j'ai confirmation il n'y a rien d'autr d'important.
      yA T4IL UNE PROCEDURE A SUIVRE apres ou sinon on reprend cela un autre jour
      0
  15. umberty64 Messages postés 43 Statut Membre
     
    jE DECROCHE AUSSI
    Bonne soiree a tous merci et bon wee kend
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    remets un Hijackthis en mode normal.
    0
    1. Utilisateur anonyme
       
      to make sort a long story comment se fait-il que kaspersky dûment installé, paramétré etc. ne détecte pas un simple rootkit en mode sans échec? Ou ça n'a pas été fait dans les règles de l'art?

      et curiosité comment avez-vs repéré ce navipromo nulle part mentionné sur le net sauf peut-être maintenant que c'est indexé ?
      0
      1. umberty64 Messages postés 43 Statut Membre > Utilisateur anonyme
         
        karpeskiy n'est pas installe , c'est moi qui ai fait ya deux jours un scan en ligne
        0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    un rapport Hijackthis, effectivement avec les outils dont on dispose, ce n'est pas très lourd. Surtout que, avec de l'expérience, 80% de l'info est "bien connue" (comme saine ou malsaine).

    Par contre, quand dans un rapport DSS, tu dois aller vérifier 25 fichiers sur Google pour être totalement sûr que sur les 25 il n'y en a pas un au plus qui soit légitime, ça, je trouve que c'est lourd.
    0
    1. umberty64 Messages postés 43 Statut Membre
       
      voila le rapport en mode normal

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:05:57, on 21/03/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16609)
      Boot mode: Safe mode

      Running processes:
      C:\Windows\Explorer.EXE
      C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
      O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
      O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
      O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [MSConfig] "C:\Windows\System32\msconfig.exe" /auto
      O4 - HKCU\..\Run: [edmusblcp] c:\users\acer\appdata\local\edmusblcp.exe edmusblcp
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
      O4 - HKCU\..\Run: [RogueMonitor] C:\Program Files\RogueRemover PRO\RogueRemoverPRO.exe /monitor
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Empowering Technology Launcher.lnk = ?
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
      O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
      O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
      O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
      O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
      O23 - Service: Control Parental (OPTENET_FILTER) - Contrôle Parental - C:\Program Files\Controle Parental\bin\optproxy.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
      O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
      O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
      0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Encore là !

    On recommence.

    Tu supprimes tout ce que tu as installé concernant Navilog.

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Va dans démarrer puis panneau de configuration
    - Double Clique sur l'icône "Comptes d'utilisateurs"
    - Clique ensuite sur désactiver et valide.

    Télécharge maintenant Navilog1 depuis-ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

    en tant qu'administrateur".

    Au menu principal, Fais le choix 1
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche le blocnote va s'ouvrir.
    Copie-colle l'intégralité du rapport dans une réponse.
    Referme le blocnote
    Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

    0
    1. umberty64
       
      vOILA LE SCAN EN ADMINISTRATEUR

      Search Navipromo version 3.5.1 commencé le 23/03/2008 à 17:59:53,60

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Mise à jour le 22.03.2008 à 20h00 par IL-MAFIOSO

      Microsoft Windows Vista 6.0.6000
      Internet Explorer : 7.0.6000.16609
      Système de fichiers : NTFS

      Executé en mode normal

      *** Recherche Programmes installés ***




      *** Recherche dossiers dans C:\Windows ***



      *** Recherche dossiers dans C:\Program Files ***


      *** Recherche dossiers dans C:\ProgramData ***


      *** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


      *** Recherche dossiers dans c:\users\acer\appdata\roaming\microsoft\windows\start menu\programs ***


      *** Recherche dossiers dans C:\Users\acer\AppData\Local\virtualstore\Program Files ***



      *** Recherche dossiers dans C:\Users\acer\AppData\Roaming ***


      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Aucun Fichier trouvé



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans C:\Windows\system32 *

      * Recherche dans C:\Users\acer\AppData\Local\Microsoft *

      * Recherche dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 *

      * Recherche dans C:\Users\acer\AppData\Local *



      *** Recherche fichiers ***




      *** Recherche clés spécifiques dans le Registre ***


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans C:\Windows\system32 :


      * Dans C:\Users\acer\AppData\Local\Microsoft :


      * Dans C:\Users\acer\AppData\Local\virtualstore\windows\system32 :


      * Dans C:\Users\acer\AppData\Local :


      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le 23/03/2008 à 18:05:44,03 ***
      0
  19. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    2 hypothèses : le fichier n'existe plus ou ce n'estp ps du navipromo

    On va vérifier

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : c:\users\acer\appdata\local\edmusblcp.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.
    0
    1. umberty64 Messages postés 43 Statut Membre
       
      bonsoir, j'ai suivi ta procedure mais je ne trouve pas la ligne c:\users\acer\appdata\local\edmusblcp.exe

      user apres le c n'y est pas
      0
    2. umberty64 Messages postés 43 Statut Membre
       
      autrement j'ai acer\appdata\local\ mais pas la fin de la ligne
      0
  • 1
  • 2
  • 3