Infecté par InstantAccess

Résolu
mimi22 -  
 Utilisateur anonyme -
Bonjour,

Depuis quelques temps je suis infesté de popup et d'alertes sécurités. Je suis infectée par un spyware, mon anti virus l'a détecté, il s'agit de InstantAccess. il me dit de les supprimer manuellement... j'ai donc été me balader sur ce forum où je trouve tjr la même réponse, à savoir : Supprimer la clé dans la base des registre HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDHTML_1023.dll,InstantAccess"
ce que j'ai fait. sauf que je n'ai pas ce fichier "rundll32.exe EGDHTML_1023.dll,InstantAccess". à la place j'ai un fichier avec pour nom "(par défaut)", type "REG_SZ", et donnée "valeur non définie". et quand j'essaie de supprimer j'ai un message d'erreur "impossible de supprimer toute les valeur spécifiées"

Je ne comprend pas, quelqu'un pourrait m'aider à supprimer ce spyware SVP ??!!!!
Configuration: Windows 2000
Firefox 2.0.0.14

13 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    Fais un clic droit sur ce lien : (IL-MAFIOSO)
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
    1
    1. mimi22
       
      merci. voici le scan

      Search Navipromo version 3.5.4 commencé le mar. 22/04/2008 à 12:08:10,25

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!
      !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "AEY"

      Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO


      Microsoft Windows 2000 [Version 5.00.2195]

      Executé en mode normal



      *** Recherche dossiers dans "C:\WINNT" ***



      *** Recherche dossiers dans "C:\Program Files" ***

      C:\Program Files\WebMediaPlayer trouvé !


      *** Recherche dossiers dans "D:\DOCUME~1\ALLUSE~1\APPLIC~1" ***




      *** Recherche dossiers dans "D:\Documents and Settings\AEY\applic~1" ***



      *** Recherche dossiers dans "D:\Documents and Settings\AEY\locals~1\applic~1" ***



      *** Recherche dossiers dans "D:\Documents and Settings\AEY\menud+~1\progra~1" ***


      *** Recherche dossiers dans "D:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1" ***

      ...\WebMediaPlayer trouvé !

      *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
      pour + d'infos : http://www.gmer.net

      Aucun Fichier trouvé



      *** Recherche avec GenericNaviSearch ***
      !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
      !!! A vérifier impérativement avant toute suppression manuelle !!!

      * Recherche dans "C:\WINNT\system32" *

      gnc.exe absent, Recherche non effectuee dans "C:\WINNT\system32" !

      * Recherche dans "D:\Documents and Settings\AEY\locals~1\applic~1" *

      gnc.exe absent, Recherche non effectuee dans "D:\Documents and Settings\AEY\locals~1\applic~1" !



      *** Recherche fichiers ***


      D:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé !


      *** Recherche clés spécifiques dans le Registre ***


      *** Module de Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Recherche nouveaux fichiers Instant Access :


      2)Recherche Heuristique :

      * Dans "C:\WINNT\system32" :

      DWRCS.EXE trouvé !
      DWRCST.EXE trouvé !
      ovdmtvv.dat trouvé !
      ovdmtvv_nav.dat trouvé !
      ovdmtvv_navps.dat trouvé !
      ovdmtvv_navup.dat trouvé !

      * Dans "D:\Documents and Settings\AEY\locals~1\applic~1" :

      ocukea.dat trouvé !

      * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


      3)Recherche Certificats :

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltd absent !

      4)Recherche fichiers connus :



      *** Analyse terminée le mar. 22/04/2008 à 12:14:32,27 ***
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    = Lance navilog1
    = Cette fois-ci choisi l'option 2
    = Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
    = Un rapport va être génrer sur ton C:\ qui sera en option 2
    Note: le bureau disparaît

    = colle le contenu du rapport de navilog (qui est en option2)

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.

    _____________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :
    http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    1
    1. mimi2
       
      voici le rapport navilog avec l'option 2

      Clean Navipromo version 3.5.4 commencé le mar. 22/04/2008 à 12:25:40,44

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "AEY"

      Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO


      Microsoft Windows 2000 [Version 5.00.2195]

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS



      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans "C:\WINNT\System32" *


      * Suppression dans "D:\Documents and Settings\AEY\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



      *** Suppression dossiers dans "C:\WINNT" ***


      *** Suppression dossiers dans "C:\Program Files" ***

      C:\Program Files\WebMediaPlayer ...suppression...
      C:\Program Files\WebMediaPlayer supprimé !


      *** Suppression dossiers dans "D:\DOCUME~1\ALLUSE~1\APPLIC~1" ***


      *** Suppression dossiers dans "D:\Documents and Settings\AEY\applic~1" ***


      *** Suppression dossiers dans "D:\Documents and Settings\AEY\locals~1\applic~1" ***


      *** Suppression dossiers dans "D:\Documents and Settings\AEY\menud+~1\progra~1" ***


      *** Suppression dossiers dans "D:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1" ***

      ...\WebMediaPlayer ...suppression...
      ...\WebMediaPlayer supprimé !



      *** Suppression fichiers ***

      D:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !

      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINNT\Temp effectué !
      Nettoyage contenu D:\Documents and Settings\AEY\locals~1\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans "C:\WINNT\system32" *

      ovdmtvv.dat trouvé !
      Copie ovdmtvv.dat réalisée avec succès !
      ovdmtvv.dat supprimé !

      ovdmtvv_nav.dat trouvé !
      Copie ovdmtvv_nav.dat réalisée avec succès !
      ovdmtvv_nav.dat supprimé !

      ovdmtvv_navps.dat trouvé !
      Copie ovdmtvv_navps.dat réalisée avec succès !
      ovdmtvv_navps.dat supprimé !

      ovdmtvv_navup.dat trouvé !
      Copie ovdmtvv_navup.dat réalisée avec succès !
      ovdmtvv_navup.dat supprimé !

      DWRCS.EXE trouvé !
      Copie DWRCS.EXE réalisée avec succès !
      DWRCS.EXE supprimé !

      DWRCST.EXE trouvé !
      Copie DWRCST.EXE réalisée avec succès !
      DWRCST.EXE supprimé !

      ovdmtvv.exe trouvé !
      Copie ovdmtvv.exe réalisée avec succès !
      ovdmtvv.exe supprimé !


      * Dans "D:\Documents and Settings\AEY\locals~1\applic~1" *

      ocukea.dat trouvé !
      Copie ocukea.dat réalisée avec succès !
      ocukea.dat supprimé !

      ocukea_nav.dat trouvé !
      Copie ocukea_nav.dat réalisée avec succès !
      ocukea_nav.dat supprimé !

      ocukea_navps.dat trouvé !
      Copie ocukea_navps.dat réalisée avec succès !
      ocukea_navps.dat supprimé !

      ocukea.exe trouvé !
      Copie ocukea.exe réalisée avec succès !
      ocukea.exe supprimé !


      * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


      *** Sauvegarde du Registre vers dossier Safebackup ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup absent !
      Certificat Electronic-Group absent !
      Certificat OOO-Favorit absent !
      Certificat Sunny-Day-Design-Ltdt absent !

      *** Nettoyage terminé le mar. 22/04/2008 à 12:31:01,54 ***
      0
    2. mimi22
       
      pour hijackthis, tu me dis de décompresser mais c'est un exe, c'est pas un zip.
      j'ai coller le fichier exe dans le dossier hijackthis que j'ai créé sur C: et maintenant je le lance ?
      0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    analyse ce fichier sur virus total et si inféctés tu le rajoute dans la citation otmovit: https://www.virustotal.com/gui/

    C:\Program Files\Intoan\Agent\IntoanAgent.exe

    _______________

    télécharge OTMoveIt
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation : c:\winnt\system32\bpdeavsnq.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ____________________

    Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Intoan] C:\Program Files\Intoan\Agent\IntoanAgent.exe
    O4 - HKLM\..\Run: [bpdeavsnq] c:\winnt\system32\bpdeavsnq.exe bpdeavsnq
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O4 - .DEFAULT User Startup: Stadc sur Derd.bat (User 'Default user')
    O4 - Global Startup: safirh.cmd
    O4 - Global Startup: co.bat
    O16 - DPF: {205E7068-6D03-4566-AD06-A146B592FBA5} (Loader Class v2) - http://mercury:8080/qcbin/Spider80.ocx
    O16 - DPF: {5e2a3510-4371-11d6-b64c-00c04faedb18} (Oracle JInitiator 1.1.8.18) - http://leia:8890/jinit/jinit11819.exe
    O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.100.83/officescan/clientinstall/RemoveCtrl.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/

    ____________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    _______________________
    navigue de preference avec firefox ou opera comme tu ne peux mettre a jour windows

    http://www.mozilla-europe.org/fr/products/firefox/

    _______________________

    si sophos ne contient pas de parefeu mets en un:

    Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

    http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

    https://forum.pcastuces.com/sujet.asp?f=25&s=35606
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm
    ______________________
    recolle hijackhtis et dis tes soucis actuels
    1
    1. mimi22
       
      heureusement que des gens comme toi existent :-)
      merci je vais faire toutes ces manip et je donne le rapport a 14h
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    manuel :
    http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
    0
    1. mimi22
       
      oups désolée ! :-)
      voici le rapport

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:49:44, on 22/04/2008
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      Boot mode: Normal

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
      C:\WINNT\system32\spoolsv.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Symantec\pcAnywhere\awhost32.exe
      c:\Program Files\Citrix\Client ICA\ssonsvr.exe
      C:\WINNT\Explorer.EXE
      C:\WINNT\System32\svchost.exe
      C:\Program Files\InterAct ES\Bin\IAManager.exe
      D:\Etudes\oracle\ora92\bin\omtsreco.exe
      C:\WINNT\system32\regsvc.exe
      C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
      C:\WINNT\system32\MSTask.exe
      C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe
      C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
      C:\Program Files\Sophos\Remote Management System\RouterNT.exe
      C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\Program Files\InterAct ES\Bin\IAProvider.exe
      C:\Program Files\InterAct ES\Bin\IAQos.exe
      C:\WINNT\NOTEPAD.EXE
      C:\WINNT\System32\hkcmd.exe
      C:\Program Files\InterAct ES\Bin\IAUsrSession.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\WINNT\System32\WBEM\unsecapp.exe
      C:\Program Files\Intoan\Agent\IntoanAgent.exe
      C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\Sophos\AutoUpdate\ALMon.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
      C:\WINNT\System32\svchost.exe
      C:\hijackthis\testh.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.apec.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
      O4 - HKLM\..\Run: [IAUsrSession] "C:\Program Files\InterAct ES\Bin\IAUsrSession.exe"
      O4 - HKLM\..\Run: [Symantec NavNT LiveUpdate] C:\Program Files\NavNT\vpdn_lu.exe /s
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Intoan] C:\Program Files\Intoan\Agent\IntoanAgent.exe
      O4 - HKLM\..\Run: [bpdeavsnq] c:\winnt\system32\bpdeavsnq.exe bpdeavsnq
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
      O4 - .DEFAULT User Startup: Stadc sur Derd.bat (User 'Default user')
      O4 - Global Startup: safirh.cmd
      O4 - Global Startup: co.bat
      O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe
      O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
      O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://192.168.100.83/officescan/clientinstall/setupini.cab
      O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.100.83/officescan/clientinstall/setup.cab
      O16 - DPF: {205E7068-6D03-4566-AD06-A146B592FBA5} (Loader Class v2) - http://mercury:8080/qcbin/Spider80.ocx
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {5e2a3510-4371-11d6-b64c-00c04faedb18} (Oracle JInitiator 1.1.8.18) - http://leia:8890/jinit/jinit11819.exe
      O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.100.83/officescan/clientinstall/RemoveCtrl.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
      O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{EB75855F-1D0B-44FB-8A3C-11B7BEF301F2}: Domain = apec.fr
      O17 - HKLM\System\CCS\Services\Tcpip\..\{EB75855F-1D0B-44FB-8A3C-11B7BEF301F2}: NameServer = 192.168.100.70,192.168.100.22,192.168.100.71,192.168.100.72
      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = euclide.apec.fr,apec.fr
      O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = euclide.apec.fr,apec.fr
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = euclide.apec.fr,apec.fr
      O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
      O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
      O23 - Service: InterAct ES Manager (IA Manager) - SERDEN Technologies - C:\Program Files\InterAct ES\Bin\IAManager.exe
      O23 - Service: InterAct ES Provider (IA Provider) - SERDEN technologies - C:\Program Files\InterAct ES\Bin\IAProvider.exe
      O23 - Service: InterAct ES Qos (IA Qos) - SERDEN technologies - C:\Program Files\InterAct ES\Bin\IAQos.exe
      O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\Etudes\oracle\ora92\bin\omtsreco.exe
      O23 - Service: OracleOraClient817ClientCache - Unknown owner - d:\oracle\OraClient817\BIN\ONRSD.EXE
      O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\Etudes\oracle\ora92\BIN\ONRSD.EXE
      O23 - Service: Créateur de rapports d'état Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
      O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
      O23 - Service: Sophos Agent - Sophos Plc - C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe
      O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
      O23 - Service: Sophos Message Router - Sophos Plc - C:\Program Files\Sophos\Remote Management System\RouterNT.exe
      O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok a plus
    0
    1. mimi22
       
      je ne trouve pas de dossier _OTMoveIt dans C:/
      0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    passe la suite
    0
    1. mimi22
       
      ok. j'ai fais ce que tu m'a dis dans hijackthis, et là j'ai lancé l'analyse en ligne sur bitdefender. il reste 42 minutes. pour l'instant il a détecté 2 fichiers. donc j'attends et je te donnerai le scan dès que ça fini
      Merci
      0
    2. mimi22
       
      En attendant,
      j'ai des messages de sophos comme quoi le fichier C:\Program Files\Navilog1\reg.exe est identifié comme fichier suspect de type Sus/Behav 1021.
      Je dois faire quoi ?
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok a plus
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu ignore

    tu pourra ensuite desisntaller navilog de ton ordi via ton panneau de configuration et le virer zensuite de ton bureau
    0
    1. mimi22
       
      voici le rapport fait en ligne sur bitdefender



      BitDefender Online Scanner







      Rapport d'analyse généré à: Tue, Apr 22, 2008 - 15:02:19









      Voie d'analyse: A:\;C:\;D:\;E:\;















      Statistiques

      Temps


      00:31:10

      Fichiers


      42026

      Directoires


      5002

      Secteurs de boot


      3

      Archives


      724

      Paquets programmes


      4269







      Résultats

      Virus identifiés


      2

      Fichiers infectés


      8

      Fichiers suspects


      0

      Avertissements


      0

      Désinfectés


      0

      Fichiers effacés


      8







      Info sur les moteurs

      Définition virus


      1172326

      Version des moteurs


      AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

      Analyse des plugins


      16

      Archive des plugins


      41

      Unpack des plugins


      7

      E-mail plugins


      6

      Système plugins


      5







      Paramètres d'analyse

      Première action


      Désinfecté

      Seconde Action


      Supprimé

      Heuristique


      Oui

      Acceptez les avertissements


      Oui

      Extensions analysées


      exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

      Excludez les extensions




      Analyse d'emails


      Oui

      Analyse des Archives


      Oui

      Analyser paquets programmes


      Oui

      Analyse des fichiers


      Oui

      Analyse de boot


      Oui








      Fichier analysé


      Statut

      C:\intoanworks\docx.exe


      Infecté par: Trojan.Autoit.AO

      C:\intoanworks\docx.exe


      Supprimé

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\PORTUGAL\WIN9X\SETUP\DEVICEOP.EXE


      Détecté avec: Application.Generic.7443

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\PORTUGAL\WIN9X\SETUP\DEVICEOP.EXE


      Echec de la désinfection

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\PORTUGAL\WIN9X\SETUP\DEVICEOP.EXE


      Supprimé

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\NEDERLND\WIN9X\SETUP\DEVICEOP.EXE


      Détecté avec: Application.Generic.7443

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\NEDERLND\WIN9X\SETUP\DEVICEOP.EXE


      Echec de la désinfection

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\NEDERLND\WIN9X\SETUP\DEVICEOP.EXE


      Supprimé

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ITALIANO\WIN9X\SETUP\DEVICEOP.EXE


      Détecté avec: Application.Generic.7443

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ITALIANO\WIN9X\SETUP\DEVICEOP.EXE


      Echec de la désinfection

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ITALIANO\WIN9X\SETUP\DEVICEOP.EXE


      Supprimé

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\FRANCAIS\WIN9X\SETUP\DEVICEOP.EXE


      Détecté avec: Application.Generic.7443

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\FRANCAIS\WIN9X\SETUP\DEVICEOP.EXE


      Echec de la désinfection

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\FRANCAIS\WIN9X\SETUP\DEVICEOP.EXE


      Supprimé

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ESPANOL\WIN9X\SETUP\DEVICEOP.EXE


      Détecté avec: Application.Generic.7443

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ESPANOL\WIN9X\SETUP\DEVICEOP.EXE


      Echec de la désinfection

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ESPANOL\WIN9X\SETUP\DEVICEOP.EXE


      Supprimé

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ENGLISH\WIN9X\SETUP\DEVICEOP.EXE


      Détecté avec: Application.Generic.7443

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ENGLISH\WIN9X\SETUP\DEVICEOP.EXE


      Echec de la désinfection

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ENGLISH\WIN9X\SETUP\DEVICEOP.EXE


      Supprimé

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\DEUTSCH\WIN9X\SETUP\DEVICEOP.EXE


      Détecté avec: Application.Generic.7443

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\DEUTSCH\WIN9X\SETUP\DEVICEOP.EXE


      Echec de la désinfection

      D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\DEUTSCH\WIN9X\SETUP\DEVICEOP.EXE


      Supprimé
      0
  10. mimi22
     
    est ce que tout est ok avec ce rapport ?
    en tout cas je n'ai plus de popup pour le moment ça a l'air de marcher
    Merci beaucoup !
    0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui bitdefender a tout viré

    pour verfifier rescan avec
    0
  12. mimi22
     
    Tout est ok. après une dernière analyse, je n'ai plus rien.
    Merci ! :-)
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu peux virer navilog via ton panneau de configuration et otmovit de ton ordi

    bonne continuation
    0
  14. Utilisateur anonyme
     
    resolu a la demande de mim22
    et remercie bien
    0