Lucky Tender 1.3.0 Logiciel utile ou malware?

SAMANSY Messages postés 1 Statut Membre -  
 SAMANSY -
Bonjour,
Une âme charitable peut-elle éclairer ma lanterne au sujet d'un logiciel (ou spayware?) nommé Lucky Tender 1.3.0 de tail 0.23Mo car je viens de réinstaller XP avec SP2. Le logiciel inconnue pour moi se trouve parmi les logiciels systeme ou installé volontairement parmis ceux affichés dans la fenetre AJOUT et SUPPRESSION de LOGICIELS. Je le soupçonne d'être à l'origine de pop-ups publicitaires ou de logiciels m'avertssant que mon Pc est infecté et m'invitant à le scanner ( ce que je ne fait pas bie entendu. Mon antivirus est Kaspersky Internet Security 7. Je précise que quand j'ai cliqué sur le lien proposé sous le dit logiciel quand on le met en surbrillance dans AJOUT et SUPPRESSION de LOGICIELS. IE7 n'ouvre pas directement le site. L'Alerte sécurité de l'Antivirus me dit que cela modifiera le registre du Navigateur, ce qui j'avais refusé.

Merci pour votre aide.
Configuration: Windows XP
Internet Explorer 7.0

24 réponses

  • 1
  • 2
  1. SAMANSY
     
    Bonsoir RAPHY,
    Ci-joint le resultat de Scan de HIJACKThis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:08:47, on 19/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    H:\WINDOWS\System32\smss.exe
    H:\WINDOWS\system32\winlogon.exe
    H:\WINDOWS\system32\services.exe
    H:\WINDOWS\system32\lsass.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\System32\svchost.exe
    H:\WINDOWS\system32\spoolsv.exe
    H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    H:\WINDOWS\system32\nvsvc32.exe
    H:\WINDOWS\System32\snmp.exe
    H:\WINDOWS\system32\svchost.exe
    H:\WINDOWS\Explorer.EXE
    H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    H:\WINDOWS\system32\RUNDLL32.EXE
    H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    H:\Program Files\Imprimantes\HP Software Update\HPWuSchd2.exe
    H:\WINDOWS\RTHDCPL.EXE
    H:\WINDOWS\system32\ctfmon.exe
    H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    H:\documents and settings\admintrator\local settings\application data\mwoqq.exe
    H:\Program Files\Imprimantes\Digital Imaging\bin\hpqtra08.exe
    H:\Program Files\OpenOffice.org 2.4\program\soffice.exe
    H:\Program Files\Imprimantes\Digital Imaging\bin\hpqimzone.exe
    H:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
    H:\Program Files\Imprimantes\Digital Imaging\bin\hpqSTE08.exe
    H:\Documents and Settings\Admintrator\Bureau\iexplore.exe
    H:\Documents and Settings\Admintrator\Application Data\U3\00001812C770F608\LaunchPad.exe
    O:\Documents\2_@\1_MultiPass\Multipass\Multipass.exe
    H:\Program Files\UTILITAIRES\HiJachThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - H:\Program Files\Freecorder\tbFre1.dll
    O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - H:\Program Files\Freecorder\tbFre1.dll
    O2 - BHO: LuckyTender - {5E2402A0-5F99-4188-B30D-D8743996B340} - H:\Program Files\LuckyTender\1.3.0\LuckyTender.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - H:\Program Files\Freecorder\tbFre1.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVP] "H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
    O4 - HKLM\..\Run: [HP Software Update] H:\Program Files\Imprimantes\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [DriverMagicSchedule] "H:\Program Files\DriverMagic\DriverMagic\dmschedule.exe" /boot
    O4 - HKLM\..\Run: [PinnacleDriverCheck] H:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [mwoqq] "h:\documents and settings\admintrator\local settings\application data\mwoqq.exe" mwoqq
    O4 - HKCU\..\Run: [msnmsgr] "H:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = H:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = H:\Program Files\Imprimantes\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = H:\Program Files\Imprimantes\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
    O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
    O20 - AppInit_DLLs: H:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - H:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\system32\HPZipm12.exe
    1
  2. Utilisateur anonyme
     
    Bonsoir,
    C'est bon...

    Si tu veux reposter un nouveau HiJackT pour vérifier..... sinon bonne route.

    A+
    1
  3. Utilisateur anonyme
     
    Bonsoir,
    Ta version de Windows n'est pas légale....non ?

    ok alors :
    > Lance Hijackthis :
    - Puis sélectionne < Do a system scan only >
    - Coche les cases des lignes suivantes :

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

    O16 - DPF: {EF40C108-5A76-4BAC-9909-50DECCA6E841} (G5EduNet Control) - http://www.generation5.fr/activex/G5EduNet.ocx

    Ensuite,
    - Ferme toutes les autres fenêtres et applications (même internet)
    - Clic sur < fixe checked >

    > Relance ton PC en mode normal puis Hijackthis :
    Puis sélectionne < do a system scan and save a logfile >,

    Et envoie, par collier/coller, ton log Hijackthis,

    Pour finir,
    > Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    N.B. : Le scan ne marche que sous Internet Explorer.
    - Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire.
    - Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
    - On va te demander de télécharger un contrôle active x, accepte .
    - Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
    - Poste le rapport qui sera généré stp. (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
    S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
    Rappel : le scan est à faire sous Internet Explorer
    Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").

    Bon courage,

    A+
    1
  4. raphy00 Messages postés 1112 Statut Membre 9
     
    Salut,

    Saurait tu me dire exactement ou est ce qu'il est repertorié ?

    Comme ca on verra.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. SAMANSY
     
    Salut Raphy00, et Merci pour ta réponse
    Lucky Tender 1.3.0 est affiché parmi d'autres logiciels dans la fenetre qui s'affiche qd on clic sur "AJOUT et SUPPRESSION de LOGICIELS" dans le paneau de configuration.
    0
  7. raphy00 Messages postés 1112 Statut Membre 9
     
    Re,

    Tu n'as pas compris.

    Ou est il ?

    C:/Program files/
    C:/System 32/

    Ou ca ?

    @+
    0
  8. SAMANSY
     
    Slt,
    J'ai fait une recherche sur tout le DD sans résultat. Le seul endroit où je le vois est l'endroit mentionné supra.
    A+
    0
  9. raphy00 Messages postés 1112 Statut Membre 9
     
    Re,

    On essaye ca :

    Clique sur ce lien
    http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
    pour télécharger le fichier d'installation d'HijackThis.

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Par défaut, il s'installera là :
    C:\Program Files\Trend Micro\HijackThis

    Avant toute installation, renommes le en lalala.exe.

    Accepte la license en cliquant sur le bouton "I Accept"

    Ensuite clique sur "do a system scan and save a logfile" et postes le rapport.
    0
  10. raphy00 Messages postés 1112 Statut Membre 9
     
    Re,

    Incroyable.

    Personne ne connait ce truc.

    On essaie ca :

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur Parcourir et cherche ce fichier : H:\Program Files\LuckyTender\1.3.0\LuckyTender.dll

    Clique sur Send File.

    Tu devras surement patienter, il y a toujours une file d'attente.
    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Tu dois voir la mention Finished sur la droite.
    Le rapport doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie/colle le dans ta prochaine réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant.
    =======================================

    Tu peux demander l'analyse de plusieurs fichiers, mais il faut en envoyer un a la fois

    Clique sur Send File.

    Tu devras surement patienter, il y a toujours une file d'attente.
    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Tu dois voir la mention Finished sur la droite.
    Le rapport doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie/colle le dans ta prochaine réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant.
    =======================================

    Tu peux demander l'analyse de plusieurs fichiers, mais il faut en envoyer un a la fois
    0
  11. SAMANSY
     
    Slt RAPHY,
    Ci-joint le scan sur le site que vs m'avez conseillé de la Dll ainsi que celui du deuxième ficher constituant le répertoire de ce mystérieux intrus. Selon ce scan, la Dll n'a pas été diagnostiquée comme suspecte, cependant le fichier UNINST est considéré comme suspect par Panda antivirus.
    Puis-je essayer de désinstaller ce truc puisqu'il y a le fichier qui le permet?

    -----------------------------------------
    RESULTAT DU SCAN:

    I/

    Fichier LuckyTender.dll reçu le 2008.08.19 16:54:40 (CET)
    Situation actuelle: terminé

    Résultat: 0/35 (0.00%)

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.19.0 2008.08.19 -
    AntiVir 7.8.1.23 2008.08.19 -
    Authentium 5.1.0.4 2008.08.19 -
    Avast 4.8.1195.0 2008.08.19 -
    AVG 8.0.0.161 2008.08.19 -
    BitDefender 7.2 2008.08.19 -
    CAT-QuickHeal 9.50 2008.08.18 -
    ClamAV 0.93.1 2008.08.19 -
    DrWeb 4.44.0.09170 2008.08.19 -
    eSafe 7.0.17.0 2008.08.19 -
    eTrust-Vet 31.6.6035 2008.08.15 -
    Ewido 4.0 2008.08.19 -
    F-Prot 4.4.4.56 2008.08.18 -
    Fortinet 3.14.0.0 2008.08.19 -
    GData 2.0.7306.1023 2008.08.19 -
    Ikarus T3.1.1.34.0 2008.08.19 -
    K7AntiVirus 7.10.420 2008.08.18 -
    Kaspersky 7.0.0.125 2008.08.19 -
    McAfee 5363 2008.08.18 -
    Microsoft 1.3807 2008.08.19 -
    NOD32v2 3368 2008.08.19 -
    Norman 5.80.02 2008.08.19 -
    Panda 9.0.0.4 2008.08.19 -
    PCTools 4.4.2.0 2008.08.19 -
    Prevx1 V2 2008.08.19 -
    Rising 20.58.12.00 2008.08.19 -
    Sophos 4.32.0 2008.08.19 -
    Sunbelt 3.1.1546.1 2008.08.15 -
    Symantec 10 2008.08.19 -
    TheHacker 6.3.0.5.054 2008.08.19 -
    TrendMicro 8.700.0.1004 2008.08.19 -
    VBA32 3.12.8.3 2008.08.19 -
    ViRobot 2008.8.19.1341 2008.08.19 -
    VirusBuster 4.5.11.0 2008.08.19 -
    Webwasher-Gateway 6.6.2 2008.08.19 -
    Information additionnelle
    File size: 188416 bytes
    MD5...: fbbd36fc9f5de933753a1b855944e04a
    SHA1..: 6aff38e2228f86233e103da286381da37feff0ce
    SHA256: ff68a2096413a90a3505610353307a88355e1f34d9417acdd4f2d4855db33b62
    SHA512: 7bc90a7084cfeb60d6abe4c4d4ac641c9b65fd477c8d57c5b4fa0d84b9a797b6
    c4b207b5ac9fb503b42b12212dbefc9507eddf73ef984eb2d4a9cf6b064dbace
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x10014e4e
    timedatestamp.....: 0x483f3157 (Thu May 29 22:42:31 2008)
    machinetype.......: 0x14c (I386)

    ( 6 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x1eadf 0x1f000 6.56 18a58a5964b5c4a2a5e0180ed9b821d9
    .orpc 0x20000 0x98 0x1000 0.38 de88e2a9534a45438ef84d879a3fb6c2
    .rdata 0x21000 0x58f7 0x6000 4.61 d604ddae12b261089684049d0eb02161
    .data 0x27000 0x2d9c 0x2000 2.37 c256d30632cbf17773f9174068b64162
    .rsrc 0x2a000 0x1980 0x2000 4.44 683440134b7da1eac728d1d6346f2627
    .reloc 0x2c000 0x2630 0x3000 4.46 214c6ce14d917d2141412941d0bab4e5

    ( 10 imports )
    > iphlpapi.dll: GetAdaptersInfo
    > KERNEL32.dll: InitializeCriticalSection, DeleteCriticalSection, SizeofResource, LockResource, LoadResource, FindResourceW, FindResourceExW, WaitForSingleObject, MultiByteToWideChar, lstrlenA, WideCharToMultiByte, lstrlenW, GetProcessHeap, HeapAlloc, HeapFree, HeapReAlloc, FileTimeToSystemTime, CloseHandle, GetFileTime, CreateFileW, WriteFile, ReleaseMutex, CreateMutexW, GetVolumeInformationW, lstrcpyW, RaiseException, lstrcmpiW, GetModuleFileNameW, lstrcpynW, lstrcatW, InterlockedIncrement, LeaveCriticalSection, FreeLibrary, LoadLibraryExW, GetModuleHandleW, FlushInstructionCache, GetCurrentProcess, GetCurrentThreadId, GetProcAddress, LoadLibraryW, SetFileTime, DeleteFileW, LocalFree, HeapSize, TerminateProcess, GetDateFormatA, GetTimeFormatA, GetSystemInfo, VirtualProtect, VirtualQuery, SetUnhandledExceptionFilter, GetModuleFileNameA, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, TlsGetValue, TlsSetValue, TlsFree, SetLastError, TlsAlloc, EnterCriticalSection, UnhandledExceptionFilter, GetLastError, GetVersionExW, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, SetEnvironmentVariableA, InterlockedDecrement, LCMapStringW, LCMapStringA, IsBadWritePtr, VirtualAlloc, CompareStringW, CompareStringA, FlushFileBuffers, SetStdHandle, GetTimeZoneInformation, SetFilePointer, IsBadCodePtr, GetOEMCP, LoadLibraryA, IsBadReadPtr, GetStringTypeW, GetStringTypeA, GetCPInfo, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, VirtualFree, ExitProcess, RtlUnwind, GetSystemTimeAsFileTime, ExitThread, ResumeThread, HeapCreate, HeapDestroy, GetVersionExA, GetCommandLineA, CreateThread
    > USER32.dll: SystemParametersInfoW, CreateWindowExW, RegisterClassExW, CallWindowProcW, GetWindowLongW, DefWindowProcW, DestroyWindow, AnimateWindow, LoadCursorW, wsprintfW, GetClassInfoExW, ShowWindow, GetClientRect, GetWindowRect, MoveWindow, SetWindowLongW, UnregisterClassW, CharNextW
    > ADVAPI32.dll: RegCreateKeyExW, RegEnumKeyExW, RegQueryInfoKeyW, RegDeleteValueW, RegDeleteKeyW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCloseKey
    > SHELL32.dll: SHGetSpecialFolderPathW, FindExecutableW, SHCreateDirectoryExW
    > ole32.dll: CoTaskMemAlloc, CoCreateGuid, StringFromGUID2, StringFromCLSID, CoTaskMemFree, CoCreateInstance, CoInitialize, CoTaskMemRealloc
    > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
    > RPCRT4.dll: NdrStubCall2, NdrDllUnregisterProxy, NdrDllRegisterProxy, NdrCStdStubBuffer2_Release, NdrCStdStubBuffer_Release, NdrDllCanUnloadNow, NdrDllGetClassObject, NdrOleAllocate, NdrOleFree, IUnknown_QueryInterface_Proxy, IUnknown_AddRef_Proxy, IUnknown_Release_Proxy, CStdStubBuffer_QueryInterface, CStdStubBuffer_AddRef, CStdStubBuffer_Connect, CStdStubBuffer_Disconnect, CStdStubBuffer_Invoke, CStdStubBuffer_IsIIDSupported, CStdStubBuffer_CountRefs, CStdStubBuffer_DebugServerQueryInterface, CStdStubBuffer_DebugServerRelease, NdrStubForwardingFunction
    > SHLWAPI.dll: PathFindExtensionW
    > WS2_32.dll: WSASocketW, -, -, WSACreateEvent, WSASetEvent, WSAEventSelect, WSARecv, WSAResetEvent, WSASend, WSAGetOverlappedResult, WSAConnect, -, WSAEnumNetworkEvents, WSACloseEvent, -, GetAddrInfoW, FreeAddrInfoW

    ( 4 exports )
    DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

    ThreatExpert info: https://www.symantec.com?md5=fbbd36fc9f5de933753a1b855944e04a
    =======================================================================

    II/

    Fichier uninst.exe reçu le 2008.06.09 11:52:19 (CET)
    Situation actuelle: terminé

    Résultat: 1/33 (3.03%)

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 - - -
    AntiVir - - -
    Authentium - - -
    Avast - - -
    AVG - - -
    BitDefender - - -
    CAT-QuickHeal - - -
    ClamAV - - -
    DrWeb - - -
    eSafe - - -
    eTrust-Vet - - -
    Ewido - - -
    F-Prot - - -
    F-Secure - - -
    FileAdvisor - - -
    Fortinet - - -
    GData - - -
    Ikarus - - -
    Kaspersky - - -
    McAfee - - -
    Microsoft - - -
    NOD32v2 - - -
    Norman - - -
    Panda - - Suspicious file
    Prevx1 - - -
    Rising - - -
    Sophos - - -
    Sunbelt - - -
    Symantec - - -
    TheHacker - - -
    VBA32 - - -
    VirusBuster - - -
    Webwasher-Gateway - - -
    Information additionnelle
    MD5: 8a565bebd25c477b103befecedccfc1d
    SHA1: c2dd6902649a16a881037ecf44625d2029d555fe
    SHA256: b91861ecb07294f6201257bb116503bbaa471642c8c0828f032d21f1c7f38f53
    SHA512: e043d7fe1da04971e8eaf2971ffbb01560341a630b501e422a7f22f8b8db5ef97556d8680cd493a7a2476c5d517ca5d36484146d1247da36f97d250d7ef5c1bf

    FIN D SCAN

    A+
    0
  12. raphy00 Messages postés 1112 Statut Membre 9
     
    Salut,

    D'ou as tu sorti uninst.exe ?

    Fais ceci, en tout cas :

    Télécharge OTMoveIt
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    H:\Program Files\LuckyTender\1.3.0\LuckyTender.dll

    Clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.
    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
    0
  13. SAMANSY
     
    Re bonsoir RAPHY,

    UNINST dont il es question se trouve dans le même repertoire que la Dll de LukyTender.
    En tout cas voilà le resulta de OTMoveIt:

    H:\Program Files\LuckyTender\1.3.0\LuckyTender.dll unregistered successfully.
    H:\Program Files\LuckyTender\1.3.0\LuckyTender.dll moved successfully.

    OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08192008_231540

    A+
    0
  14. raphy00 Messages postés 1112 Statut Membre 9
     
    Attends, tu connais ceci ?

    h:\documents and settings\admintrator\local settings\application data\mwoqq.exe" mwoqq

    Ensuite, tu connais les Free Recorder Toolbar ?
    Certaines sont reputees pour avoir un certain malware ou logiciel de tracage.

    Donc veux tu qu'on les enleve ?
    En es tu sur ?

    Bref, fais ceci, car c'est infecté :

    Commence par refaire un scan HJT, coche ces lignes et clique en bas sur Fix Checked :

    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll

    Ensuite tu redemarres en mode sans echec.

    Mode sans Echec:

    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
    Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm

    Une fois en mode sans echec :

    Double-clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    h:\program files\google\googletoolbar1.dll

    Clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaitra dans le cadre "Results".
    Clique sur Exit pour fermer.
    Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

    0
    1. ANSYSAM
       
      Bjr RAPHY,

      J'ai appliqué tes conseils et voilà le résultat de la constatation de suppression de Googletoolbar1.dll
      avec OTMoveIt qui ne semble plus être présente selon le rapport que voici:

      File/Folder h:\program files\google\googletoolbar1.dll not found.
      OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08202008_173538

      Le rapport de HJT a bien réussi à supprimer les deux lignes 02- BHO et 03- Toolbar
      conseillés préalablement

      A+
      0
  15. raphy00 Messages postés 1112 Statut Membre 9
     
    Attends, je me repete.

    Veux tu, oui ou non, garder les free recorder Toolbar ?

    Connais tu ceci ?

    h:\documents and settings\admintrator\local settings\application data\mwoqq.exe" mwoqq

    0
  16. ANSYSAM
     
    Bjr,

    J'ai bien désinstallé hier Free Recorder Toolbar ainsi que la barre de recherche Google qui encombre le Navigateur IE7. Ce dernier continue à m'envoyer des popups. Quand j'utilise Firefoxe, les Popups ne se manifeste pas. Penserez-vous que si je désinstalle IE7 et le réinstalle, cela arretera ces modits popups?
    Par ailleurs, j'ai désinstallé ce mysterieux Luky Tender 1.3.0 puisque son exécutable de désinstallation était fourni avec.

    A+
    0
  17. raphy00 Messages postés 1112 Statut Membre 9
     
    Des pop ups ?

    Et tu ne m'as pas dit ? :(

    Fais ceci stp :

    Télécharge Lop S&D.exe sur ton Bureau.

    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

    * Double-clique dessus pour lancer l'installation.
    * Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau.
    * Séléctionne la langue souhaitée , puis choisis l'option 1 (Recherche)
    * Patiente jusqu'à la fin du scan
    * Poste le rapport généré (C:\lopR.txt)

    (Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide)

    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Salut

      Des pop ups ?

      Et tu ne m'as pas dit ? :(



      Je le soupçonne d'être à l'origine de pop-ups publicitaires ou
      de logiciels m'avertssant que mon Pc est infecté et m'invitant à le scanner



      Suffisait de lire ............................................


      0
  18. raphy00 Messages postés 1112 Statut Membre 9
     
    Ah ! Rectification derniere minute !

    Si t'as deja telechargé Lop, laisse le sur le Bureau, on l'enlevera apres.

    Telecharges ca, plutot :

    ===============NAVILOG====================

    Télécharge ceci http://il.mafioso.pagesperso-orange.fr/Navifix/download.htm

    prend navilog1.exe

    Choisir option 1 uniquement

    Ensuite suit ce tutorial :https://www.commentcamarche.net/list 2490 popups ouverture de fenetres internet publicitaires pop up#premiere methode utiliser navilog d il mafioso sous xp

    Et enfin post le rapport du scan navilog
    0
  19. SAMANSY
     
    Bonjour RAPHy,
    J'ai scané le logiciel Navilog1 après son downld par mon antivirus. Ce dernier me dit avoir détécté des objet dangereux dans ce logiciel (BAD_STATUS(5) Virus Heur. Invader) Crégnant que le remède soit pir que le mal, j'ai finalement opté par telecharger (MalwareBaytes's Antimalware) qu ia localisé dans 6 fichiers et endroit au registre : Adware.Navipromo.H dans local sittings/application data. Voila le résultat du scan qui conclu à l'eradication de ce Malware. En effet je n'ai plus de popups.

    Malwarebytes' Anti-Malware 1.25
    Version de la base de données: 1101
    Windows 5.1.2600 Service Pack 2

    01:18:29 01/09/2008
    mbam-log-09-01-2008 (01-18-29).txt

    Type de recherche: Examen rapide
    Eléments examinés: 64487
    Temps écoulé: 42 minute(s), 16 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mwoqq (Adware.Navipromo.H) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    H:\Documents and Settings\Admintrator\Local Settings\Application Data\mwoqq_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    H:\Documents and Settings\Admintrator\Local Settings\Application Data\mwoqq_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    H:\Documents and Settings\Admintrator\Local Settings\Application Data\mwoqq.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    H:\Documents and Settings\Admintrator\Local Settings\Application Data\mwoqq.exe (Adware.Navipromo.H) -> Delete on reboot.
    H:\Documents and Settings\Admintrator\Local Settings\Application Data\ueociuy_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    H:\Documents and Settings\Admintrator\Local Settings\Application Data\ueociuy_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
    H:\Documents and Settings\Admintrator\Local Settings\Application Data\ueociuy.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

    En tout cas Merci pour votre aide.

    SAMANSY
    0
  20. Utilisateur anonyme
     
    Salut,
    Navilog1 qui supprime l'Adware Navipromo n'est en aucun cas vérolé. C'est un faux positif : http://assiste.com.free.fr/p/abc/a/spywares_faux_positifs.html

    MalwaresByte's n'as pas tout supprimé de Navipromo, notamment les certificats.

    Donc :
    > Télécharge Navilog1 de Il Mafioso : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
    - Enregistre-le sur ton Bureau puis décompresse-le en faisant un clic droit dessus puis « extraire-tout ».
    - Double clique sur Navilog1.exe
    - Choisis pour la langue le français, puis l'option 1 et valide.
    Attention : n’utilise surtout pas les options 2,3 ou 4 maintenant. (tu risquerais d’endommager ton pc)
    - Patiente jusqu'au message : < Analyse Terminée le ..... > Ensuite appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir.
    - Fais un copier coller du rapport généré et poste-le ici.
    NB : Le rapport se trouve aussi à la racine de ton disque : fixnavi.txt

    Tu n'as aucun souci à avoir.
    Tu peux aussi désactiver ton antivirus le temps du scanne.

    A+
    0
  21. SAMANSY
     
    Bonsoir DIID,

    J'ai fait le scan du PC avec NAVILog et voilà le résultat affiché à l'issu de scan:

    Search Navipromo version 3.6.5 commencé le 02/09/2008 à 1:49:41,59

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis H:\Program Files\navilog1
    Session actuelle : "Admintrator"

    Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 7.0.5730.13
    Système de fichiers : NTFS

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "H:\WINDOWS" ***

    *** Recherche dossiers dans "H:\Program Files" ***

    *** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1\progra~1" ***

    *** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1" ***

    *** Recherche dossiers dans "h:\docume~1\alluse~1\applic~1" ***

    *** Recherche dossiers dans "H:\Documents and Settings\Admintrator\applic~1" ***

    *** Recherche dossiers dans "H:\DOCUME~1\Ziad\applic~1" ***

    *** Recherche dossiers dans "H:\Documents and Settings\Admintrator\locals~1\applic~1" ***

    *** Recherche dossiers dans "H:\DOCUME~1\Ziad\locals~1\applic~1" ***

    *** Recherche dossiers dans "H:\Documents and Settings\Admintrator\menudm~1\progra~1" ***

    *** Recherche dossiers dans "H:\DOCUME~1\Ziad\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "H:\WINDOWS\system32" *

    * Recherche dans "H:\Documents and Settings\Admintrator\locals~1\applic~1" *

    * Recherche dans "H:\DOCUME~1\Ziad\locals~1\applic~1" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "H:\WINDOWS\system32" :

    * Dans "H:\Documents and Settings\Admintrator\locals~1\applic~1" :

    mwoqq.dat trouvé !
    mwoqq_navps.dat trouvé !

    * Dans "H:\DOCUME~1\Ziad\locals~1\applic~1" :

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 02/09/2008 à 2:03:13,43 ***

    @+
    0
  • 1
  • 2