zlob trjan

Question

Bonjour,
j ai une fenetre qui apparait quand je navigue sur internet qui me dit your system was infected by zlob trojan it's very dangerous for your system j'ai essaye  panda et spybot rien a faire

ep44 · Answer

Bonjour 

commence sui tu veux bien par hijack 
Télécharge sur le bureau

ftp://ftp.commentcamarche.com/download/HJTInstall.exe

= Double-clic dessus pour l'installer 
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

@+

ep44 · Answer

re

Télécharge BTFix 1.057 (de bibi26)
http://ftpclubic7.clubic.com/...
    * Décompresse l'archive sur ton Bureau
    * Ouvre le dossier BTFix
    * Double clique sur BTFix.exe
    * Clique sur Rechercher
    * Un rapport va apparaître, copie/colle-le dans ta prochaine réponse

ensuite 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec 

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
@+

ep44 · Answer

Bonsoir 

très bien mais il faut aller au bout de ta désinfection et poster les rapports 
@+

ep44 · Answer

si tu as utiliser sdfix 
tu as un rtapport dans C:\sdfix 
@+

phil 76 · Answer

le voiçi j'espere que ça te parle
a+

[b]SDFix: Version 1.171 [/b]
Run by Philippe on 14/04/2008 at 21:33

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\smp.bat  - Deleted
C:\WINDOWS\kiasys.dll  - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 21:41:35
Windows 5.1.2600 Service Pack 1 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat 24 Aug 1996        95,748 ..SH. --- "C:\COMMAND.COM"
Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 23 Jan 2008         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

[b]Finished![/b]

ep44 · Answer

oui parfait 

suppression C:\smp.bat et C:\WINDOWS\kiasys.dll 

refais un hijack stp
@+

phil 76 · Answer

voiçi le rapport hijack

a+
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:05:49, on 15/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program Files\GamesBar\oberontb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program Files\GamesBar\oberontb.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DNSE] "C:\Program Files\Fichiers communs\SystemDoctor\DNSE.exe" -c
O4 - HKLM\..\Run: [DC6V_Check] "C:\Program Files\Fichiers communs\SystemDoctor\usdrdc.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - HKCU\..\Run: [ooqfmoqett] c:\windows\system32\ooqfmoqett.exe ooqfmoqett
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Program Files\GamesBar\oberontb.dll
O9 - Extra 'Tools' menuitem: GamesBar - {1A93C934-025B-4c3a-B38E-9654A7003239} - C:\Program Files\GamesBar\oberontb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

ep44 · Answer

Très infecté encore
on procède par étape 

Télécharge sur le bureau : [url=http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe]navilog.exe[/url]

= installe le
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1 ( = taper 1 )
ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

le rapport se trouve dans c: fixnavi.txt

tu postes ce rapport.

---------------------
Télecharge http://www.malekal.com/download/clean.zip sur le bureau
Dézippe sur le bureau.
= ouvrir le dossier clean
= clique sur le symbole roue dentée avec le nom clean
= choisir l'option 1 et laisser clean travailler jusqu'à l'apparition du texte "appuyer sur une touche pour continuer"
= ensuite colle le rapport que tu trouveras dans C:

@+

phil 76 · Answer

voiçi le rapport
comment faire pour dezippe clean
merçi

Search Navipromo version 3.5.4 commencé le 15/04/2008 à 21:42:56,28

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Philippe" 

Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106 
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans "C:\WINDOWS" ***



*** Recherche dossiers dans "C:\Program Files" ***



*** Recherche dossiers dans "" ***




*** Recherche dossiers dans "C:\Documents and Settings\Philippe\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Philippe\locals~1\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\Philippe\menud+~1\progra~1" *** 


*** Recherche dossiers dans "" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

!! Fichier(s)/processus caché(s) différent(s) !!
!! Résultat Catchme non pris en compte par Navilog1 !!


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

Fichiers trouvés :

awaucznpp.exe trouvé ! 
mouqopd.exe trouvé ! 
qgytgon.exe trouvé ! 
nwcybk.exe trouvé ! 
bomkryi.exe trouvé ! 
pwjylvsn.exe trouvé ! 
vcsptb.exe trouvé ! 
unwregxl.exe trouvé ! 
pplrbxt.exe trouvé ! 
inxgmuopm.exe trouvé ! 
bgjdel.exe trouvé ! 
pgmtku.exe trouvé ! 
hrcpudfbn.exe trouvé ! 
kvdjmwlsd.exe trouvé ! 
loggqudrz.exe trouvé ! 
koemocqsa.exe trouvé ! 
kogmtsozb.exe trouvé ! 
mfmjkb.exe trouvé ! 
cdetgyytt.exe trouvé ! 
jydyiv.exe trouvé ! 
emfmme.exe trouvé ! 
djbbgiya.exe trouvé ! 
addkxpypfv.exe trouvé ! 
hmsioenfyn.exe trouvé ! 
nagxnbt.exe trouvé ! 
defzend.exe trouvé ! 
divhvl.exe trouvé ! 
cpbyaj.exe trouvé ! 
mlrnubdde.exe trouvé ! 
niuybg.exe trouvé ! 
qjdedippz.exe trouvé ! 
aqxtgntsd.exe trouvé ! 
xgatnmvag.exe trouvé ! 
gccjeuia.exe trouvé ! 
tbaupbfjp.exe trouvé ! 
vabmtbe.exe trouvé ! 
efmrzctkd.exe trouvé ! 
xrbygmlf.exe trouvé ! 
rayabctv.exe trouvé ! 
wvkcjdr.exe trouvé ! 
nuwnpxb.exe trouvé ! 
vibpskk.exe trouvé ! 
wvndji.exe trouvé ! 
ubqqdqxhr.exe trouvé ! 
xqnulmomo.exe trouvé ! 
xmxjkq.exe trouvé ! 
hwjwsva.exe trouvé ! 
vluyofunz.exe trouvé ! 
phyxrvzv.exe trouvé ! 
yezakpbxh.exe trouvé ! 
jbwznnp.exe trouvé ! 
pybhcvmxo.exe trouvé ! 
yvewdjp.exe trouvé ! 
xdieweozc.exe trouvé ! 
xdaeunwut.exe trouvé ! 
cjvbyssho.exe trouvé ! 
qiiuxqpm.exe trouvé ! 
wybkdjilns.exe trouvé ! 
yxmpnms.exe trouvé ! 
qkpiqoy.exe trouvé ! 
qgstnk.exe trouvé ! 
otraidhaa.exe trouvé ! 
qxvrtz.exe trouvé ! 
lwuxsbmot.exe trouvé ! 
nkqykkhja.exe trouvé ! 
qmbtqudmvz.exe trouvé ! 
eskvuds.exe trouvé ! 
eiccpazvf.exe trouvé ! 
wtuxgynmn.exe trouvé ! 
ropucs.exe trouvé ! 
sexqngwji.exe trouvé ! 
mkunxjwz.exe trouvé ! 
noapscezyp.exe trouvé ! 
qujejykng.exe trouvé ! 
lckokoa.exe trouvé ! 
rrrfgivnih.exe trouvé ! 
qvbncbozf.exe trouvé ! 
fzmbqik.exe trouvé ! 

Fichiers suspects :

fbzuyjuv.exe trouvé ! 
gvgbuvhzr.exe trouvé ! 
ltsxcwpwk.exe trouvé ! 
cxylscc.exe trouvé ! 
ricizg.exe trouvé ! 
jnmaggn.exe trouvé ! 
wrkdoh.exe trouvé ! 
lxipsk.exe trouvé ! 
ujmzia.exe trouvé ! 
fcxwznx.exe trouvé ! 
xxawgb.exe trouvé ! 
vhgbov.exe trouvé ! 
pgnmjlonc.exe trouvé ! 
eyovstpjye.exe trouvé ! 
mdgolumofr.exe trouvé ! 

* Recherche dans "C:\Documents and Settings\Philippe\locals~1\applic~1" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

tgpicjd.dat trouvé !

* Dans "C:\Documents and Settings\Philippe\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 15/04/2008 à 21:43:47,89 ***

ep44 · Answer

:-)  du monde 

relance Navilog et tu choisis l'option 2.
Poste le nouveau rapport.


lance clean.zip en mode sans echec
pend cette fois-ci l'option 2 et poste le rapport.




= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
@+

phil 76 · Answer

voiçi le 1errapportavec Navilog
Clean Navipromo version 2.0.2 commencé le 16/04/2008 à 17:28:19,59

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Philippe\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Philippe\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
C:\WINDOWS\System32	gpicjd.dat trouvé !
Copie C:\WINDOWS\system32	gpicjd.dat réalise avec succes !
C:\WINDOWS\system32	gpicjd.dat supprimé !

** 
*** 
**** 
C:\WINDOWS\System32	gpicjd_navps.dat trouvé !
Copie C:\WINDOWS\system32	gpicjd_navps.dat réalise avec succes !
C:\WINDOWS\system32	gpicjd_navps.dat supprimé !

***** 
C:\WINDOWS\System32	gpicjd_nav.dat trouvé !
Copie C:\WINDOWS\system32	gpicjd_nav.dat réalise avec succes !
C:\WINDOWS\system32	gpicjd_nav.dat supprimé !

****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 16/04/2008 à 17:31:30,14 ***

je n'ais pas pu lancer clean.zip en mode sans echec impossible de le dezippe comment faire?
a+

ep44 · Answer

Bonsoir 

tu as bien réussit a le lancer pour faire la première analyse ???

relance le en mode normal et choisit l'option 2

ensuite refais navilog option 1 pour vérif stp
@+

phil 76 · Answer

voiçi le rapport clean en mode normalRapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 16/04/2008 a 21:11:08,40 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 
 impossible en mode  sans echec

ep44 · Answer

ok refais navilog option 1 pour vérif stp

phil 76 · Answer

voici le rapport navilog option 1
a+
Search Navipromo version 2.0.2 commencé le 16/04/2008 à 21:42:14,25
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Philippe\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/16/08 at 21:42:14.
[-] ERROR: This version of F-Secure BlackLight has expired.
[+] Exited on 04/16/08 at 21:42:14 (return code = 3).


*** Recherche fichiers *** 


C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32	gpicjd.dat trouvé !
** 
C:\WINDOWS\system32	gpicjd.dat trouvé !
*** 
**** 
C:\WINDOWS\system32	gpicjd_navps.dat trouvé !
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 16/04/2008 à 21:42:21,75 ***

ep44 · Answer

relance Navilog et tu choisis l'option 2.
Poste le nouveau rapport.

phil 76 · Answer

Clean Navipromo version 2.0.2 commencé le 16/04/2008 à 22:02:53,17

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
 

*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Philippe\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Philippe\Local Settings\Temp effectué !

 
*** Sauvegarde du registre vers dossier Backupnavi*** 
 
 
sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
C:\WINDOWS\System32	gpicjd.dat trouvé !
Copie C:\WINDOWS\system32	gpicjd.dat réalise avec succes !
C:\WINDOWS\system32	gpicjd.dat supprimé !

** 
*** 
**** 
C:\WINDOWS\System32	gpicjd_navps.dat trouvé !
Copie C:\WINDOWS\system32	gpicjd_navps.dat réalise avec succes !
C:\WINDOWS\system32	gpicjd_navps.dat supprimé !

***** 
C:\WINDOWS\System32	gpicjd_nav.dat trouvé !
Copie C:\WINDOWS\system32	gpicjd_nav.dat réalise avec succes !
C:\WINDOWS\system32	gpicjd_nav.dat supprimé !

****** 
******* 
******** 

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

*** Nettoyage termine le 16/04/2008 à 22:04:45,15 ***

ep44 · Answer

* Télécharge malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

=> Installe le 
=> Ensuite va en mode sans echec 


   Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
   Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel


=> Lance malwarebytes
=> Coche "Executer un examen complet"
=> Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
=> Clique sur Supprimer la sélection
=> Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
=> Fait copier coller et poste le rapport 

--------------------------

ensuite 

* Télécharge CCleaner 
https://filehippo.com/download_ccleaner/
=> Aide toi de ce tuto pour l'utiliser 
https://www.malekal.com/tutoriel-ccleaner/
@+

ep44 · Answer

Bonsoir 

refais un nouveau hijack stp

@+

ep44 · Answer

Toujours infectés 

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
=> déconnecte toi d'internet et ferme toutes tes applications.
=> désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
=> Double-clic sur combofix,
=> Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
=> Attends que combofix ait terminé, un rapport sera créé. 
=> réactive ton parefeu, ton antivirus, la garde de ton antispyware
=> copie/colle le rapport C:\ComboFix.txt 

@+

ep44 · Answer

Bonsoir 
je ne t'avais pas demander combofix ???
mais bon très bonne chose car il y a du monde 
mais tu peux le refaire et poster le rapport en entier 
car il manque une grande partie 


mais avant fait ceci 

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\mmwxgdr.exe 
C:\WINDOWS\system32mywfspky.exe 
C:\WINDOWS\system32\vhgbov.exe 
C:\WINDOWS\system32\eyovstpjye.exe 
C:\WINDOWS\system32\xxawgb.exe 
C:\WINDOWS\system32\pgnmjlonc.exe
C:\WINDOWS\system32\djbbgiya.exe
C:\WINDOWS\system32\fcxwznx.exe
C:\WINDOWS\system32\ujmzia.exe 
C:\WINDOWS\system32\lxipsk.exe
C:\WINDOWS\system32\emfmme.exe 
C:\WINDOWS\system32\jydyiv.exe 
C:\WINDOWS\system32\wrkdoh.exe
C:\WINDOWS\system32\jnmaggn.exe
C:\WINDOWS\system32icizg.exe 
C:\WINDOWS\system32\mfmjkb.exe
C:\WINDOWS\system32\cxylscc.exe
C:\WINDOWS\system32\ltsxcwpwk.exe 
C:\WINDOWS\system32\kogmtsozb.exe 
C:\WINDOWS\system32\cdetgyytt.exe 
C:\WINDOWS\system32\koemocqsa.exe
C:\WINDOWS\system32\gvgbuvhzr.exe 
C:\WINDOWS\system32\addkxpypfv.exe 
C:\WINDOWS\system32\loggqudrz.exe 
C:\WINDOWS\system32\pgmtku.exe 
C:\WINDOWS\system32\bgjdel.exe
C:\WINDOWS\system32\kvdjmwlsd.exe
C:\WINDOWS\system32\pplrbxt.exe 
C:\WINDOWS\system32\fbzuyjuv.exe 
C:\WINDOWS\system32\vcsptb.exe 
C:\WINDOWS\system32\unwregxl.exe 
EmptyTemp

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.

ep44 · Answer

as tu refais 

si pareil supprimùe manuellement les fichiers indiqués
sauf que tu ne trouveras pas EmptyTemp
c'était pour le nettoyage des fichiers temp

ep44 · Answer

ok


refais un combofix mais poste le rapport en entier 

@+

ep44 · Answer

Salut ce n'est que le début ???

Zlob trjan - Page 2

Discussions similaires

Newsletters