Infecté par InstantAccess

Résolu/Fermé
mimi22 - 22 avril 2008 à 10:48
 Utilisateur anonyme - 22 avril 2008 à 18:56
Bonjour,

Depuis quelques temps je suis infesté de popup et d'alertes sécurités. Je suis infectée par un spyware, mon anti virus l'a détecté, il s'agit de InstantAccess. il me dit de les supprimer manuellement... j'ai donc été me balader sur ce forum où je trouve tjr la même réponse, à savoir : Supprimer la clé dans la base des registre HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe EGDHTML_1023.dll,InstantAccess"
ce que j'ai fait. sauf que je n'ai pas ce fichier "rundll32.exe EGDHTML_1023.dll,InstantAccess". à la place j'ai un fichier avec pour nom "(par défaut)", type "REG_SZ", et donnée "valeur non définie". et quand j'essaie de supprimer j'ai un message d'erreur "impossible de supprimer toute les valeur spécifiées"

Je ne comprend pas, quelqu'un pourrait m'aider à supprimer ce spyware SVP ??!!!!

13 réponses

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 11:04
slt,


Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
1
merci. voici le scan

Search Navipromo version 3.5.4 commencé le mar. 22/04/2008 à 12:08:10,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "AEY"

Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows 2000 [Version 5.00.2195]

Executé en mode normal



*** Recherche dossiers dans "C:\WINNT" ***



*** Recherche dossiers dans "C:\Program Files" ***

C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans "D:\DOCUME~1\ALLUSE~1\APPLIC~1" ***




*** Recherche dossiers dans "D:\Documents and Settings\AEY\applic~1" ***



*** Recherche dossiers dans "D:\Documents and Settings\AEY\locals~1\applic~1" ***



*** Recherche dossiers dans "D:\Documents and Settings\AEY\menud+~1\progra~1" ***


*** Recherche dossiers dans "D:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1" ***

...\WebMediaPlayer trouvé !

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINNT\system32" *

gnc.exe absent, Recherche non effectuee dans "C:\WINNT\system32" !

* Recherche dans "D:\Documents and Settings\AEY\locals~1\applic~1" *

gnc.exe absent, Recherche non effectuee dans "D:\Documents and Settings\AEY\locals~1\applic~1" !



*** Recherche fichiers ***


D:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk trouvé !


*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINNT\system32" :

DWRCS.EXE trouvé !
DWRCST.EXE trouvé !
ovdmtvv.dat trouvé !
ovdmtvv_nav.dat trouvé !
ovdmtvv_navps.dat trouvé !
ovdmtvv_navup.dat trouvé !

* Dans "D:\Documents and Settings\AEY\locals~1\applic~1" :

ocukea.dat trouvé !

* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le mar. 22/04/2008 à 12:14:32,27 ***
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 12:23
= Lance navilog1
= Cette fois-ci choisi l'option 2
= Navilog va faire le nettoyage.. patient jusqu'à ce qui soit marqué *** Nettoyage Termine le ..... ***
= Un rapport va être génrer sur ton C:\ qui sera en option 2
Note: le bureau disparaît

= colle le contenu du rapport de navilog (qui est en option2)


PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.


_____________

colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
1
voici le rapport navilog avec l'option 2

Clean Navipromo version 3.5.4 commencé le mar. 22/04/2008 à 12:25:40,44

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "AEY"

Mise à jour le 15.04.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows 2000 [Version 5.00.2195]

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINNT\System32" *


* Suppression dans "D:\Documents and Settings\AEY\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINNT" ***


*** Suppression dossiers dans "C:\Program Files" ***

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !


*** Suppression dossiers dans "D:\DOCUME~1\ALLUSE~1\APPLIC~1" ***


*** Suppression dossiers dans "D:\Documents and Settings\AEY\applic~1" ***


*** Suppression dossiers dans "D:\Documents and Settings\AEY\locals~1\applic~1" ***


*** Suppression dossiers dans "D:\Documents and Settings\AEY\menud+~1\progra~1" ***


*** Suppression dossiers dans "D:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1" ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !



*** Suppression fichiers ***

D:\DOCUME~1\ALLUSE~1\BUREAU\WebMediaPlayer.lnk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINNT\Temp effectué !
Nettoyage contenu D:\Documents and Settings\AEY\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINNT\system32" *

ovdmtvv.dat trouvé !
Copie ovdmtvv.dat réalisée avec succès !
ovdmtvv.dat supprimé !

ovdmtvv_nav.dat trouvé !
Copie ovdmtvv_nav.dat réalisée avec succès !
ovdmtvv_nav.dat supprimé !

ovdmtvv_navps.dat trouvé !
Copie ovdmtvv_navps.dat réalisée avec succès !
ovdmtvv_navps.dat supprimé !

ovdmtvv_navup.dat trouvé !
Copie ovdmtvv_navup.dat réalisée avec succès !
ovdmtvv_navup.dat supprimé !

DWRCS.EXE trouvé !
Copie DWRCS.EXE réalisée avec succès !
DWRCS.EXE supprimé !

DWRCST.EXE trouvé !
Copie DWRCST.EXE réalisée avec succès !
DWRCST.EXE supprimé !

ovdmtvv.exe trouvé !
Copie ovdmtvv.exe réalisée avec succès !
ovdmtvv.exe supprimé !


* Dans "D:\Documents and Settings\AEY\locals~1\applic~1" *

ocukea.dat trouvé !
Copie ocukea.dat réalisée avec succès !
ocukea.dat supprimé !

ocukea_nav.dat trouvé !
Copie ocukea_nav.dat réalisée avec succès !
ocukea_nav.dat supprimé !

ocukea_navps.dat trouvé !
Copie ocukea_navps.dat réalisée avec succès !
ocukea_navps.dat supprimé !

ocukea.exe trouvé !
Copie ocukea.exe réalisée avec succès !
ocukea.exe supprimé !


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le mar. 22/04/2008 à 12:31:01,54 ***
0
pour hijackthis, tu me dis de décompresser mais c'est un exe, c'est pas un zip.
j'ai coller le fichier exe dans le dossier hijackthis que j'ai créé sur C: et maintenant je le lance ?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 12:58
analyse ce fichier sur virus total et si inféctés tu le rajoute dans la citation otmovit: https://www.virustotal.com/gui/

C:\Program Files\Intoan\Agent\IntoanAgent.exe


_______________

télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation : c:\winnt\system32\bpdeavsnq.exe



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.


____________________


Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Intoan] C:\Program Files\Intoan\Agent\IntoanAgent.exe
O4 - HKLM\..\Run: [bpdeavsnq] c:\winnt\system32\bpdeavsnq.exe bpdeavsnq
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - .DEFAULT User Startup: Stadc sur Derd.bat (User 'Default user')
O4 - Global Startup: safirh.cmd
O4 - Global Startup: co.bat
O16 - DPF: {205E7068-6D03-4566-AD06-A146B592FBA5} (Loader Class v2) - http://mercury:8080/qcbin/Spider80.ocx
O16 - DPF: {5e2a3510-4371-11d6-b64c-00c04faedb18} (Oracle JInitiator 1.1.8.18) - http://leia:8890/jinit/jinit11819.exe
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.100.83/officescan/clientinstall/RemoveCtrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/

____________________



colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr


_______________________
navigue de preference avec firefox ou opera comme tu ne peux mettre a jour windows

http://www.mozilla-europe.org/fr/products/firefox/

_______________________

si sophos ne contient pas de parefeu mets en un:

Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm
______________________
recolle hijackhtis et dis tes soucis actuels
1
heureusement que des gens comme toi existent :-)
merci je vais faire toutes ces manip et je donne le rapport a 14h
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 12:47
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
0
oups désolée ! :-)
voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:44, on 22/04/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
c:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\Program Files\InterAct ES\Bin\IAManager.exe
D:\Etudes\oracle\ora92\bin\omtsreco.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Sophos\Remote Management System\RouterNT.exe
C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\InterAct ES\Bin\IAProvider.exe
C:\Program Files\InterAct ES\Bin\IAQos.exe
C:\WINNT\NOTEPAD.EXE
C:\WINNT\System32\hkcmd.exe
C:\Program Files\InterAct ES\Bin\IAUsrSession.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINNT\System32\WBEM\unsecapp.exe
C:\Program Files\Intoan\Agent\IntoanAgent.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINNT\System32\svchost.exe
C:\hijackthis\testh.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.apec.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [IAUsrSession] "C:\Program Files\InterAct ES\Bin\IAUsrSession.exe"
O4 - HKLM\..\Run: [Symantec NavNT LiveUpdate] C:\Program Files\NavNT\vpdn_lu.exe /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Intoan] C:\Program Files\Intoan\Agent\IntoanAgent.exe
O4 - HKLM\..\Run: [bpdeavsnq] c:\winnt\system32\bpdeavsnq.exe bpdeavsnq
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - .DEFAULT User Startup: Stadc sur Derd.bat (User 'Default user')
O4 - Global Startup: safirh.cmd
O4 - Global Startup: co.bat
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\e_srcv03.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://192.168.100.83/officescan/clientinstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.100.83/officescan/clientinstall/setup.cab
O16 - DPF: {205E7068-6D03-4566-AD06-A146B592FBA5} (Loader Class v2) - http://mercury:8080/qcbin/Spider80.ocx
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5e2a3510-4371-11d6-b64c-00c04faedb18} (Oracle JInitiator 1.1.8.18) - http://leia:8890/jinit/jinit11819.exe
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.100.83/officescan/clientinstall/RemoveCtrl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB75855F-1D0B-44FB-8A3C-11B7BEF301F2}: Domain = apec.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB75855F-1D0B-44FB-8A3C-11B7BEF301F2}: NameServer = 192.168.100.70,192.168.100.22,192.168.100.71,192.168.100.72
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = euclide.apec.fr,apec.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = euclide.apec.fr,apec.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = euclide.apec.fr,apec.fr
O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InterAct ES Manager (IA Manager) - SERDEN Technologies - C:\Program Files\InterAct ES\Bin\IAManager.exe
O23 - Service: InterAct ES Provider (IA Provider) - SERDEN technologies - C:\Program Files\InterAct ES\Bin\IAProvider.exe
O23 - Service: InterAct ES Qos (IA Qos) - SERDEN technologies - C:\Program Files\InterAct ES\Bin\IAQos.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - D:\Etudes\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraClient817ClientCache - Unknown owner - d:\oracle\OraClient817\BIN\ONRSD.EXE
O23 - Service: OracleOraHome92ClientCache - Unknown owner - D:\Etudes\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: Créateur de rapports d'état Sophos Anti-Virus (SAVAdminService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos Agent - Sophos Plc - C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sophos Message Router - Sophos Plc - C:\Program Files\Sophos\Remote Management System\RouterNT.exe
O23 - Service: spkrmon - Unknown owner - C:\Program Files\Analog Devices\SoundMAX\spkrmon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 13:10
ok a plus
0
je ne trouve pas de dossier _OTMoveIt dans C:/
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 14:29
passe la suite
0
ok. j'ai fais ce que tu m'a dis dans hijackthis, et là j'ai lancé l'analyse en ligne sur bitdefender. il reste 42 minutes. pour l'instant il a détecté 2 fichiers. donc j'attends et je te donnerai le scan dès que ça fini
Merci
0
En attendant,
j'ai des messages de sophos comme quoi le fichier C:\Program Files\Navilog1\reg.exe est identifié comme fichier suspect de type Sus/Behav 1021.
Je dois faire quoi ?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 14:44
ok a plus
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 14:46
tu ignore

tu pourra ensuite desisntaller navilog de ton ordi via ton panneau de configuration et le virer zensuite de ton bureau
0
voici le rapport fait en ligne sur bitdefender



BitDefender Online Scanner







Rapport d'analyse généré à: Tue, Apr 22, 2008 - 15:02:19









Voie d'analyse: A:\;C:\;D:\;E:\;















Statistiques

Temps


00:31:10

Fichiers


42026

Directoires


5002

Secteurs de boot


3

Archives


724

Paquets programmes


4269







Résultats

Virus identifiés


2

Fichiers infectés


8

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


8







Info sur les moteurs

Définition virus


1172326

Version des moteurs


AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins


16

Archive des plugins


41

Unpack des plugins


7

E-mail plugins


6

Système plugins


5







Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\intoanworks\docx.exe


Infecté par: Trojan.Autoit.AO

C:\intoanworks\docx.exe


Supprimé

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\PORTUGAL\WIN9X\SETUP\DEVICEOP.EXE


Détecté avec: Application.Generic.7443

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\PORTUGAL\WIN9X\SETUP\DEVICEOP.EXE


Echec de la désinfection

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\PORTUGAL\WIN9X\SETUP\DEVICEOP.EXE


Supprimé

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\NEDERLND\WIN9X\SETUP\DEVICEOP.EXE


Détecté avec: Application.Generic.7443

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\NEDERLND\WIN9X\SETUP\DEVICEOP.EXE


Echec de la désinfection

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\NEDERLND\WIN9X\SETUP\DEVICEOP.EXE


Supprimé

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ITALIANO\WIN9X\SETUP\DEVICEOP.EXE


Détecté avec: Application.Generic.7443

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ITALIANO\WIN9X\SETUP\DEVICEOP.EXE


Echec de la désinfection

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ITALIANO\WIN9X\SETUP\DEVICEOP.EXE


Supprimé

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\FRANCAIS\WIN9X\SETUP\DEVICEOP.EXE


Détecté avec: Application.Generic.7443

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\FRANCAIS\WIN9X\SETUP\DEVICEOP.EXE


Echec de la désinfection

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\FRANCAIS\WIN9X\SETUP\DEVICEOP.EXE


Supprimé

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ESPANOL\WIN9X\SETUP\DEVICEOP.EXE


Détecté avec: Application.Generic.7443

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ESPANOL\WIN9X\SETUP\DEVICEOP.EXE


Echec de la désinfection

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ESPANOL\WIN9X\SETUP\DEVICEOP.EXE


Supprimé

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ENGLISH\WIN9X\SETUP\DEVICEOP.EXE


Détecté avec: Application.Generic.7443

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ENGLISH\WIN9X\SETUP\DEVICEOP.EXE


Echec de la désinfection

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\ENGLISH\WIN9X\SETUP\DEVICEOP.EXE


Supprimé

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\DEUTSCH\WIN9X\SETUP\DEVICEOP.EXE


Détecté avec: Application.Generic.7443

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\DEUTSCH\WIN9X\SETUP\DEVICEOP.EXE


Echec de la désinfection

D:\drivers\imprimantes\Pilotes epson\epson C80\STYLUSC80_V2_0 (G)\DEUTSCH\WIN9X\SETUP\DEVICEOP.EXE


Supprimé
0
est ce que tout est ok avec ce rapport ?
en tout cas je n'ai plus de popup pour le moment ça a l'air de marcher
Merci beaucoup !
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 16:13
oui bitdefender a tout viré

pour verfifier rescan avec
0
Tout est ok. après une dernière analyse, je n'ai plus rien.
Merci ! :-)
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
22 avril 2008 à 18:01
tu peux virer navilog via ton panneau de configuration et otmovit de ton ordi

bonne continuation
0
Utilisateur anonyme
22 avril 2008 à 18:56
resolu a la demande de mim22
et remercie bien
0