Adware.Agent.BN Résolu/Fermé

Question

Bonjour,

Depuis 3 jours je me débat avec des virus sur mon pc
Je suis équipée en windows XP

Il y a 4 session sur mon pc avec des fonds d'écran
2 sessions paraissent infectées, les fonds d'écran ont été remplacé par un signe rouge où s'inscrit en dessous
"your privacy is in danger" puis "download privacy protection software now"
Par moment, des cafards envahissaient l'écran

Je suis protègée par Kaspersky mais je ne comprend pas pourquoi j'ai de tel virus

Dois-je faire des analyses sur chaque session?
Est-ce qu'une session peut-être infectée et pas une autre?
Lorsque je suis sur internet, les pubs intempestives peuvent m'apporter des virus? 
Si oui comment m'en mettre à l'abri ?
Se pourrait-il que Yahoo m'amène ce genre de virus?

Hier soir j'ai lancé une analyse par Kaspersky et il ramait comme un malade, il s'est arrêté à 5%
il a mis un temps fou pour arriver a 5% alors que d'habitude je vois défiler le pourcentage d'analyse

Il y a plein de fenêtre qui s'ouvraient intempestivement
dont une qui me disait que j'étais infecté par worm win32 netbooster
donc je suis allée sur google et j'ai tapé ça
j'ai pu rejoindre ce forum où j'ai trouvé quelqu'un qui avait le même cas

On lui a conseillé de télécharger Smitfraudfix et de faire un nettoyage, ce que j'ai fait

mais rien ne change, j'ai toujours ce fond d'écran rouge qui me dit que je suis en danger
et quand je rentre sur une session une petite fenêtre s'ouvre et me dit

LOAD ZIP ERROR
"no such file or firectory"

puis une autre
WINLFIXER
"an error occured while loading database
probably your database file outdated or have an invalid format"

Ajourd'hui j'ai téléchargé Spyware doctor, après analyse il me dit que j'ai :
- 4 menaces et 24 infections :

Adware.Agent.BN (16 infections) : haut risque
Trojan.Pandex (1 infection) risque moyen également appelé 
Trojan-downloader.win32.mutant.ob
(Kaspersky) Trojan.win32.agent.ady
(Kaspersky) Email-worm.win32.agent.I
(Kaspersky) W32/Sdbot.KBB.worm
(Panda)Trojan.srizbi
Trojan mailskinner (4 infections) risque moyen
Dialer.Instant_Access (3 infections) risque moyen

A propos de Adware Agent BN
sur ce forum on a dit a quelqu'un de télécharger Hijackthis, ce que j'ai fait

est-ce que quelqu'un peut m'aider
Je suis novice, je n'ai pas du tout l'ésprit informatique 
et j'ai un mal fou à comprendre ce qu'il faut faire

Voici le rapport de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:57, on 17/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\stsystra.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\documents and settings\alain\local settings\application data\jqvutuv.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Spyware Doctor\pctsGui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\Alain\LOCALS~1\Temp\stdcons.exe/r
O4 - HKLM\..\Run: [WinIFixer] C:\Program Files\WinIFixer\WinIFixer.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Spyware-Secure] C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [jqvutuv] c:\documents and settings\alain\local settings\application data\jqvutuv.exe jqvutuv
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-57989841-602609370-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Laurence')
O4 - HKUS\S-1-5-21-57989841-602609370-839522115-1004\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background (User 'Laurence')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O21 - SSODL: mpfanvqg - {82D64C2C-DFEE-4303-8EB4-5A5B0A49E66C} - C:\WINDOWS\mpfanvqg.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

Le sioux · Accepted Answer

Bonjour tout le monde

Deux rogues, l'adware Magic control et j'en passe ...

Je pense qu'il faudrait commencer par des outils spécifiques plutôt qu'un scan par des outils "généralistes" ou qu'un scan en ligne a réserver pour la fin ...

En 1ere intention 

Télécharge Navilog1 d'El Mafioso 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton Bureau.

Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, fais un Clic-droit sur le raccourci Navilog1 présent sur ton Bureau .

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche le bloc note va s'ouvrir.

--> Copie-colle l'intégralité du rapport dans une réponse.

Referme le bloc note.

Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

@ suivre

Utilisateur anonyme · Answer

Salut fais un scan en ligne avec Internet Explorer stp:

BitDefender en ligne: http://www.bitdefender.fr/scan_fr/scan8/ie.html
Tutoriel BitDefender en ligne: http://cybersecurite.xooit.com/t201-Scan-en-ligne-BitDefender.htm

Ps: N'oublies pas de me poster le rapport. Si tu as besoin d'aide aide toi tu tutoriel.

geogeo · Answer

bonjour laurence je vois pas comment vous avez fait pour vous prendre tant de virus avec kaspersky
quel est la version de kaspersky telecharger spybot sur 01 et faite verifier tout
regarder ce qu il marque et essayer de les supprimer

Harzo · Answer

Bonjour,
1. Non tu n'es pas obligé de faire l'analyse sur chaque session
2. Logiquement non mais après ça dépend dans quoi ton virus est : s'il est dans "mes documents" de la session 1 il ne sera pas dans la session 2 ^^ a par si tu as un "mes documents" commun enfin voila j'vais pas t'embrouiller avec ça
3. Oui cela s'appelle des spywares tu peux en avoir via des spams ou alors via des sites pas très sécurisé genre les sites de torrent ou les sites de crack ou encore les sites pornos
4. Il te faut un pare-feu, un anti-spyware (comme spybot), Mozilla Firefox et puis un Anti-virus bon avec Kaspersky je sais pas comment t'as fais pour te choper ça ^^'
5. Euh ça je sais pas mais a mon avis non car Yahoo c'est quand même sécurisé !

Après pour enlever ton spywares (enfin j'pense c'est ça ^^'), tu démarres en mode sans échec : tu tapotes F8 au démarrage de ton pc et tu choissi mode sans échec (c'est noramal si ça mets longtemps a démarrer) ensuite tu effectus une analyse complète avec Kaspersky et Spybot et tu supprime tout ce que tu trouves !

Ensuite tu reviens posté ici voir ce que ça te donne et voir si ton probleme est résolu ^^

Bonne chance, Harzo

Le sioux · Answer

Re

On devrait laisser tomber le scan Kasper et cie pour le moment et faire ceci : 

http://www.commentcamarche.net/forum/affich 6449731 adware agent bn#4

Bien plus court et dans un second passage on fera plus de nettoyage que Kasper ne sera capable de faire ...

@ bon entendeur , salut ...

geogeo · Answer

kaspersky 7 a un controle des port mais ne fait pas anty spyware seulement kaspersky internet security mais malheuresement l anty spyware n est pas aussi bon que l anty virus
mais essayez de le tuer avec spybot il est le meilleur pour les spyware ou logiciel espion

Le sioux · Answer

Rebonsoir Laurence

Quand tu veux, on passe aux choses serieuses  

http://www.commentcamarche.net/forum/affich 6449731 adware agent bn#4 

...

devilmc3 · Answer

bonjour je suis embeter avec un adware (plus precisement ADWARE.AGENT.NBY)
j'ais fait un scan avec navilog1 voici le rapport.quelqu'un peut il me dire ce que ca veut dire et quoi faire.

Search Navipromo version 3.5.9 commencé le 25/06/2008 à  8:59:42,54

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "steph sand et lolo" 

Mise à jour le 24.06.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\steph sand et lolo\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\steph sand et lolo\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\steph sand et lolo\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\steph sand et lolo\locals~1\applic~1" * 

Fichiers trouvés :

qmqamee.exe trouvé ! 
qmqamee.dat trouvé ! 
qmqamee_nav.dat trouvé ! 
qmqamee_navps.dat trouvé ! 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\steph sand et lolo\locals~1\applic~1" : 

qmqamee.dat trouvé !
qmqamee_nav.dat trouvé !
qmqamee_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 25/06/2008 à  9:03:56,98 ***

Le sioux · Answer

Bonjour tout le monde

* Ce post a été ouvert par Laurence dont j'attends des nouvelles ...

* Delvimc3, tu es infecté par l'adware Navipromo, tu peux en effet passé l'option 2 de Navilog1 :

1) Navilog1 option2

Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement

Double-clique sur le raccourci Navilog1 présent sur ton Bureau.

Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton PC ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le Bloc-notes va s'ouvrir.
Sauvegarde le rapport sur ton Bureau  de manière à le retrouver. 
Referme le Bloc-notes. Ton Bureau va réapparaître

PS : Si ton Bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaître ton Bureau.

2) Crée ton propre sujet :

Il serait plus que préférable que tu crées ton propre sujet.
Cela rendra le poste (ici) plus compréhensible, et nous pourrons traiter ton soucis avec plus d’efficacité.
Pour t'y aider, regarde ici :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm 
http://pagesperso-orange.fr/rginformatique/section%20virus/demofairesontmessage.htm

--> Poste y le rapport de Navilog1 (contenu du fichier navi2.txt) 

@ +

Le sioux · Answer

Bonjour Laurence

Merci pour ta réponse. Dommage que cela t'es fait dépenser, mais si ton soucis est réglé, tant mieux.

Je mets le poste en résolu.

Salut.