Virus

Résolu
bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention   -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Avast vient de détecter le virus "Win32:SkiMorph" sur mon PC avec VISTA SP1.
Est ce que je dois appliquer les même remèdes que j'ai vus sur d'autres posts.
Merci.
Configuration: Windows Vista
Internet Explorer 7.0

16 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."

    ___________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    -1
  2. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Je précise que j'ai mis en quarantaine ce virus.
    Faut-il que je le restaure à son emplacement d'origine avant de faire ces rapports?
    -1
  3. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Donc je l'ai restauré.

    Search Navipromo version 3.6.5 commencé le 14/09/2008 à 12:48:46,90

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "E.G.G"

    Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

    Microsoft Windows Vista 6.0.6001
    Internet Explorer : 7.0.6001.18000
    Système de fichiers : NTFS

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "c:\users\eg2ebf~1.g\appdata\roaming\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "C:\Users\E.G.G\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\E.G.G\AppData\Roaming" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\E.G.G\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\E.G.G\AppData\Local\virtualstore\windows\system32" *

    * Recherche dans "C:\Users\E.G.G\AppData\Local" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\E.G.G\AppData\Local\Microsoft" :

    * Dans "C:\Users\E.G.G\AppData\Local\virtualstore\windows\system32" :

    * Dans "C:\Users\E.G.G\AppData\Local" :

    cpesfu.dat trouvé !
    cpesfu.exe trouvé !
    cpesfu.bat trouvé !
    cpesfu_nav.dat trouvé !
    cpesfu_navps.dat trouvé !

    3)Recherche Certificats :

    Certificat Egroup trouvé !
    Certificat Electronic-Group trouvé !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 14/09/2008 à 12:59:03,76 ***

    BitDefender Online Scanner - Rapport virus en temps réel

    Généré à: Sun, Sep 14, 2008 - 15:00:52
    --------------------------------------------------------------------------------

    Info d'analyse

    Fichiers scannés
    131530

    Infectés Fichiers
    0

    Virus Détectés

    Aucun virus trouvé.
    -1
  4. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Voilà, c'est mieux!

    Win32:SkiMorph [Cryp]Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:01:19, on 14/09/2008
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18000)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    C:\Program Files\TomTom HOME 2\HOMERunner.exe
    C:\Windows\ehome\ehtray.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\notepad.exe
    C:\Program Files\Windows Mail\WinMail.exe
    C:\Windows\system32\DllHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.deezer.com/fr/#music/smartradio
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    O4 - HKCU\..\Run: [cpesfu] "c:\users\e.g.g\appdata\local\cpesfu.exe" cpesfu
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
    O13 - Gopher Prefix:
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    -1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Je viens juste voir si sa avance ?
    -1
  7. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Ben non!
    -1
  8. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Excuse moi, mais ça prends du temps ce scan.
    -1
  9. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Malwarebytes' Anti-Malware 1.28
    Version de la base de données: 1149
    Windows 6.0.6001 Service Pack 1

    14/09/2008 18:16:21
    mbam-log-2008-09-14 (18-16-11).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 95083
    Temps écoulé: 32 minute(s), 7 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\E.G.G\Local Settings\Application Data\cpesfu_navps.dat (Adware.Navipromo.H) -> No action taken.
    C:\Users\E.G.G\Local Settings\Application Data\cpesfu_nav.dat (Adware.Navipromo.H) -> No action taken.
    C:\Users\E.G.G\Local Settings\Application Data\cpesfu.dat (Adware.Navipromo.H) -> No action taken.
    C:\Users\E.G.G\Local Settings\Application Data\cpesfu.exe (Adware.Navipromo.H) -> No action taken.
    -1
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
    Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

    Au menu principal, Fais le choix 2
    Laisse toi guider et patiente.
    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
    Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le blocnote va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le blocnote. Ton bureau va réapparaître
    Réactive le contrôle des comptes utilisateurs (UAC)

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau
    -1
  11. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Clean Navipromo version 3.6.5 commencé le 14/09/2008 à 21:02:21,17

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "E.G.G"

    Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

    Microsoft Windows Vista 6.0.6001
    Internet Explorer : 7.0.6001.18000
    Système de fichiers : NTFS

    Mode suppression automatique
    avec prise en charge résultats Catchme et GNS

    Nettoyage exécuté au redémarrage de l'ordinateur

    *** fsbl1.txt non trouvé ***
    (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

    *** Suppression avec sauvegardes résultats GenericNaviSearch ***

    * Suppression dans "C:\Windows\System32" *

    * Suppression dans "C:\Users\E.G.G\AppData\Local\Microsoft" *

    * Suppression dans "C:\Users\E.G.G\AppData\Local\virtualstore\windows\system32" *

    * Suppression dans "C:\Users\E.G.G\AppData\Local" *

    *** Suppression dossiers dans "C:\Windows" ***

    *** Suppression dossiers dans "C:\Program Files" ***

    *** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

    *** Suppression dossiers dans "C:\ProgramData" ***

    *** Suppression dossiers dans c:\users\eg2ebf~1.g\appdata\roaming\micros~1\windows\startm~1\programs ***

    *** Suppression dossiers dans "C:\Users\E.G.G\AppData\Local\virtualstore\Program Files" ***

    *** Suppression dossiers dans "C:\Users\E.G.G\AppData\Roaming" ***

    *** Suppression fichiers ***

    *** Suppression fichiers temporaires ***

    Nettoyage contenu C:\Windows\Temp effectué !
    Nettoyage contenu C:\Users\EG2EBF~1.G\AppData\Local\Temp effectué !

    *** Traitement Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

    2)Recherche, création sauvegardes et suppression Heuristique :

    * Dans "C:\Windows\system32" *

    * Dans "C:\Users\E.G.G\AppData\Local\Microsoft" *

    * Dans "C:\Users\E.G.G\AppData\Local\virtualstore\windows\system32" *

    * Dans "C:\Users\E.G.G\AppData\Local" *

    cpesfu.exe trouvé !
    Copie cpesfu.exe réalisée avec succès !
    cpesfu.exe supprimé !

    cpesfu.dat trouvé !
    Copie cpesfu.dat réalisée avec succès !
    cpesfu.dat supprimé !

    cpesfu.bat trouvé !
    Copie cpesfu.bat réalisée avec succès !
    cpesfu.bat supprimé !

    cpesfu_nav.dat trouvé !
    Copie cpesfu_nav.dat réalisée avec succès !
    cpesfu_nav.dat supprimé !

    cpesfu_navps.dat trouvé !
    Copie cpesfu_navps.dat réalisée avec succès !
    cpesfu_navps.dat supprimé !

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***

    Nettoyage Registre Ok

    *** Certificats ***

    Certificat Egroup supprimé !
    Certificat Electronic-Group supprimé !
    Certificat Montorgueil absent !
    Certificat OOO-Favorit supprimé !
    Certificat Sunny-Day-Design-Ltdt absent !

    *** Nettoyage terminé le 14/09/2008 à 21:16:17,00 ***
    -1
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    encore des soucis?

    avast trouve encore des infections?
    -1
  13. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Oui, dans C:\Program Files\Navilog1\Backupnavi\cpesfu.exe

    Faut-il que je supprime "navilog"?
    -1
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    vire ce qui est dans le dossier backupnavi

    C:\Program Files\Navilog1\Backupnavi

    puis desinstalle navilog via ton panneau de configuration

    encore des soucis??
    -1
  15. bandit 12 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    C'est bon!
    Merci beaucoup.
    -1
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait. Vire hijackthis aussi . Bonne suite
    -1