NAVILOG1 specialiste ?

clochette -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,

Voila j'ai tous les simptomes pour vouloir utiliser Navilog1, mais je n'ai pas envie de tout perdre, donc je recherche un gentil specialiste pour aider une pauvre femme a se sortir de ce mauvais pas.

Le rapport recupere de Navilog est le suivant, merci pour votre aide pour pouvoir passer a l'etape 2 en toute securite:

Search Navipromo version 3.6.9 commencé le 20/11/2008 à 20:12:21,32

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "patrick"

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\patrick\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\cesame\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\patrick\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\cesame\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\patrick\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\DOCUME~1\cesame\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\patrick\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\cesame\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\patrick\locals~1\applic~1" :

yqwkq.exe trouvé !
yqwkq.dat trouvé !
yqwkq_nav.dat trouvé !
yqwkq_navps.dat trouvé !

* Dans "C:\DOCUME~1\cesame\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 20/11/2008 à 20:17:21,03 ***

Voila merci encore
Configuration: Windows XP
Internet Explorer 6.0

9 réponses

  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour, clochette

    Tu peux relancer navilog pour nettoyer le PC.

    Tu relances Navilog et tu choisis l'option 2.
    Ton PC va redémarrer. C'est normal. Pour cela, tu fermes toutes les fenêtres ouvertes.
    Après redémarrage, choisis ton compte.

    Un rapport va s'afficher.
    Tu copies/ colles ce rapport dans ton prochain message.

    Désinstalle Navilog : panneau de configuration --> Ajout/Suppression de programmes

    A+
    0
    1. clochette
       
      bonsoir et merci verni,
      voila le rapport suivant:

      Clean Navipromo version 3.6.9 commencé le 20/11/2008 à 23:41:00,56

      Outil exécuté depuis C:\Program Files\navilog1
      Session actuelle : "patrick"

      Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


      Microsoft Windows XP [version 5.1.2600]
      Internet Explorer : 6.0.2800.1106
      Système de fichiers : NTFS

      Mode suppression automatique
      avec prise en charge résultats Catchme et GNS


      Nettoyage exécuté au redémarrage de l'ordinateur


      *** fsbl1.txt non trouvé ***
      (Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


      *** Suppression avec sauvegardes résultats GenericNaviSearch ***

      * Suppression dans "C:\WINDOWS\System32" *


      * Suppression dans "C:\Documents and Settings\patrick\locals~1\applic~1" *


      * Suppression dans "C:\DOCUME~1\cesame\locals~1\applic~1" *


      *** Suppression dossiers dans "C:\WINDOWS" ***


      *** Suppression dossiers dans "C:\Program Files" ***


      *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


      *** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\patrick\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\cesame\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\patrick\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\cesame\locals~1\applic~1" ***


      *** Suppression dossiers dans "C:\Documents and Settings\patrick\menudm~1\progra~1" ***


      *** Suppression dossiers dans "C:\DOCUME~1\cesame\menudm~1\progra~1" ***



      *** Suppression fichiers ***


      *** Suppression fichiers temporaires ***

      Nettoyage contenu C:\WINDOWS\Temp effectué !
      Nettoyage contenu C:\Documents and Settings\patrick\locals~1\Temp effectué !

      *** Traitement Recherche complémentaire ***
      (Recherche fichiers spécifiques)

      1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

      2)Recherche, création sauvegardes et suppression Heuristique :


      * Dans "C:\WINDOWS\system32" *


      * Dans "C:\Documents and Settings\patrick\locals~1\applic~1" *


      yqwkq.exe trouvé !
      Copie yqwkq.exe réalisée avec succès !
      yqwkq.exe supprimé !

      yqwkq.dat trouvé !
      Copie yqwkq.dat réalisée avec succès !
      yqwkq.dat supprimé !

      yqwkq_nav.dat trouvé !
      Copie yqwkq_nav.dat réalisée avec succès !
      yqwkq_nav.dat supprimé !

      yqwkq_navps.dat trouvé !
      Copie yqwkq_navps.dat réalisée avec succès !
      yqwkq_navps.dat supprimé !

      C:\WINDOWS\prefetch\yqwkq*.pf trouvé !
      Copie C:\WINDOWS\prefetch\yqwkq*.pf réalisée avec succès !
      C:\WINDOWS\prefetch\yqwkq*.pf supprimé !


      * Dans "C:\DOCUME~1\cesame\locals~1\applic~1" *


      *** Sauvegarde du Registre vers dossier Safebackup ***

      sauvegarde du Registre réalisée avec succès !

      *** Nettoyage Registre ***

      Nettoyage Registre Ok


      *** Certificats ***

      Certificat Egroup supprimé !
      Certificat Electronic-Group supprimé !
      Certificat Montorgueil absent !
      Certificat OOO-Favorit supprimé !
      Certificat Sunny-Day-Design-Ltdt absent !

      *** Nettoyage terminé le 20/11/2008 à 23:45:19,43 ***

      j'espere que tout s'est bien passé?

      merci encore
      0
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    L'infection navipromo a été traitée.

    Télécharge et installe HijackThis .
    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    Choisir « Download Hijackthis Installer »
    Après l'installation, un raccourci sera crée sur le bureau. Double-clique dessus pour le lancer;

    Choisir l'option Do a system scan and save a logfile.
    Le rapport va s'ouvrir. Tu copies/colles le contenu de ce rapport dans ton prochain message

    A+
    0
    1. clochette
       
      Merci pour tout, quelle rapidité!
      0
    2. clochette
       
      Je n'avais pas vu qu'il y avait une suite ....
      Et bien la voila:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 00:17:24, on 21/11/2008
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      C:\WINDOWS\System32\CTsvcCDA.EXE
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Spyware Terminator\sp_rsser.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Apoint2K\Apoint.exe
      C:\Program Files\EzButton\CplBTQ00.EXE
      C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      C:\WINDOWS\System32\ezSP_Px.exe
      C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
      C:\Program Files\Orange\Systray\SystrayApp.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
      C:\Program Files\Apoint2K\Apntex.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Orange\Launcher\Launcher.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
      C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
      C:\Program Files\IncrediMail\bin\IMApp.exe
      C:\Program Files\Orange\Deskboard\deskboard.exe
      C:\Program Files\Orange\connectivity\connectivitymanager.exe
      C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
      C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
      C:\Program Files\eMule\emule.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
      O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
      O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
      O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
      O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
      O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
      O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
      O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
      O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
      O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O15 - Trusted Zone: https://www.orange.fr/portail
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2E35EF-7440-4E15-8BD1-2C63A69B8871}: NameServer = 192.168.1.1
      O17 - HKLM\System\CCS\Services\Tcpip\..\{92A8586E-FD52-4A40-AFE2-84ABE848F484}: NameServer = 192.68.1.1,0.0.0.0
      O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
      0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Il y a une barre infectieuse à enlever et des vérifications à faire.

    Télécharge Toolbar-S&D sur ton Bureau :
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

    * Lance l'installation du programme en exécutant le fichier téléchargé.
    * Double-clique sur le raccourci de Toolbar-S&D.
    * Sélectionne la langue puis valide.
    * Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
    * Copie/colle le contenu du rapport qui va s’afficher.
    Si tu ne le trouves pas, il est situé à C:\TB.txt .

    A+
    0
    1. clochette
       
      suite ....

      -----------\\ ToolBar S&D 1.2.5 XP/Vista

      Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 1
      X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.60GHz )
      BIOS : PhoenixBIOS 4.0 Release 6.0
      USER : patrick ( Administrator )
      BOOT : Normal boot
      C:\ (Local Disk) - NTFS - Total:37 Go (Free:20 Go)
      D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

      "C:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
      Option : [1] ( 21/11/2008| 0:23 )

      -----------\\ Recherche de Fichiers / Dossiers ...

      C:\DOCUME~1\patrick\Cookies\patrick@crawler[2].txt
      C:\DOCUME~1\patrick\Cookies\patrick@dnl.crawler[2].txt
      C:\DOCUME~1\patrick\APPLIC~1\Seekmo
      0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Le rapport n'est pas complet.

    Ouvre le poste de travail --> Tu trouveras le rapport en C;\TB.txt.
    Menu edition --> Sélectionner tout --> Copier

    Puis colle le contenu dans ton prochain message.

    A+
    0
    1. clochette
       
      suite ... ...


      -----------\\ ToolBar S&D 1.2.5 XP/Vista

      Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 1
      X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.60GHz )
      BIOS : PhoenixBIOS 4.0 Release 6.0
      USER : patrick ( Administrator )
      BOOT : Normal boot
      C:\ (Local Disk) - NTFS - Total:37 Go (Free:20 Go)
      D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

      "C:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
      Option : [1] ( 21/11/2008| 0:23 )

      -----------\\ Recherche de Fichiers / Dossiers ...

      C:\DOCUME~1\patrick\Cookies\patrick@crawler[2].txt
      C:\DOCUME~1\patrick\Cookies\patrick@dnl.crawler[2].txt
      C:\DOCUME~1\patrick\APPLIC~1\Seekmo

      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Local Page"="C:\\WINDOWS\\System32\\blank.htm"
      "Start Page"="https://www.google.fr/?gws_rd=ssl"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
      "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
      "SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=60327"
      "CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327"


      --------------------\\ Recherche d'autres infections


      Aucune autre infection trouvée !


      1 - "C:\ToolBar SD\TB_1.txt" - 21/11/2008| 0:24 - Option : [1]

      -----------\\ Fin du rapport a 0:24:33,65
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    1) Relance Toolbar-S&D en double-cliquant sur le raccourci.
    Tape sur "2" puis valide en appuyant sur "Entrée".
    Ne ferme pas la fenêtre lors de la suppression.
    Un nouveau rapport sera généré, poste son contenu ici.

    2) Tu télécharges MalwareBytes.
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    Tu l'installes. Choisis les options par défaut.
    A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
    Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

    Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    Clique sur lancer l’examen.

    A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    Le scan dure environ 50 mn.

    je regarderais cela demain.

    A+
    0
    1. clochette
       
      voila la suite pour demain ....


      -----------\\ ToolBar S&D 1.2.5 XP/Vista

      Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 1
      X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.60GHz )
      BIOS : PhoenixBIOS 4.0 Release 6.0
      USER : patrick ( Administrator )
      BOOT : Normal boot
      C:\ (Local Disk) - NTFS - Total:37 Go (Free:20 Go)
      D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

      "C:\ToolBar SD" ( MAJ : 20-11-2008|20:25 )
      Option : [2] ( 21/11/2008| 0:41 )

      -----------\\ SUPPRESSION

      Supprime! - C:\DOCUME~1\patrick\Cookies\patrick@crawler[2].txt
      Supprime! - C:\DOCUME~1\patrick\Cookies\patrick@dnl.crawler[2].txt
      Supprime! - C:\DOCUME~1\patrick\APPLIC~1\Seekmo

      -----------\\ Recherche de Fichiers / Dossiers ...


      -----------\\ [..\Internet Explorer\Main]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      "Local Page"="C:\\WINDOWS\\System32\\blank.htm"
      "Start Page"="https://www.google.fr/?gws_rd=ssl"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
      "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      "Start Page"="https://www.msn.com/fr-fr/"
      "SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=60327"
      "CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327"


      --------------------\\ Recherche d'autres infections


      Aucune autre infection trouvée !


      1 - "C:\ToolBar SD\TB_1.txt" - 21/11/2008| 0:24 - Option : [1]
      2 - "C:\ToolBar SD\TB_2.txt" - 21/11/2008| 0:41 - Option : [2]

      -----------\\ Fin du rapport a 0:41:38,18
      0
    2. clochette
       
      ... et le resultat de Malwarebytes :

      Malwarebytes' Anti-Malware 1.30
      Version de la base de données: 1414
      Windows 5.1.2600 Service Pack 1

      21/11/2008 07:35:05
      mbam-log-2008-11-21 (07-34-52).txt

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 108838
      Temps écoulé: 32 minute(s), 48 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\RECYCLER\S-1-5-21-603506700-4264343309-4075798010-1006\Dc5.exe (Backdoor.Small) -> No action taken.
      0
  7. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Fichier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-603506700-4264343309-4075798010-1006\Dc­5.exe (Backdoor.Small) -> No action taken.

    Tu as bien supprimé la sélection comme demandé.
    Vide la corbeille.
    Vide la quarantaine de MalwareBytes : ouvre malwarebytes --> onglet quaranatine --> supprimer tout

    1) Tu me postes un dernier rapport Hijackthis.

    2) Tu vas sur le site de Kaspersky:
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
    Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

    A la fin de cette analyse, clique sur enregistrer le rapport.
    Poste le contenu de ce rapport dans ton prochain message.

    A+
    0
  8. clochette
     
    Bonjour verni,
    J' ai encore des pop-ups intempestifs.... coriace le coco!

    OK pour malware - suppression effectuée.

    rapport Hijackthis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:52:14, on 21/11/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\EzButton\CplBTQ00.EXE
    C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
    C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
    C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Orange\Systray\SystrayApp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
    C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Orange\Launcher\Launcher.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
    C:\Program Files\IncrediMail\bin\IMApp.exe
    C:\Program Files\Orange\Deskboard\deskboard.exe
    C:\Program Files\Orange\connectivity\connectivitymanager.exe
    C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
    C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [CplBTQ00] C:\Program Files\EzButton\CplBTQ00.EXE
    O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
    O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
    O4 - HKLM\..\Run: [CeEPOWER] C:\Program Files\TOSHIBA\Power Management\CePMTray.exe
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
    O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
    O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: https://www.orange.fr/portail
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4F2E35EF-7440-4E15-8BD1-2C63A69B8871}: NameServer = 192.168.1.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{92A8586E-FD52-4A40-AFE2-84ABE848F484}: NameServer = 192.68.1.1,0.0.0.0
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Program Files\TOSHIBA\Power Management\CeEPwrSvc.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  9. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    C'est quel genre de pop-ups : casino, faux antivirus, ...

    cela m'étonne.

    A+
    0
    1. clochette
       
      Et bien, je ne suis plus trop sûre de moi, depuis que j'ai passé MAlware il semble que plus rien n'arrive, je vais surfer un peu ...

      Bref si tu penses que c'est OK pour moi, je te remercie et je vais surveiller. Vraiment extraordinaire ton aide car sinon j'en été encore a ré-installer le système. Mais d'ai l'impression que l'installation de spyware terminator y est pour qqchose. ...?
      Pour finir, peux tu m'indiquer ce que je dois installer pour être "tranquille", sachant que je surfe et que j'utilise emule pour qqes telechargements? surtout des freeware stp....
      0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Ton PC doit être propre ( Kaspersky n'a rien trouvé ).

    fais ceci pour terminer.

    1) Tu vas vérifier pour ta version de Java.
    Pour cela, tu vas installer JavaRa qui tu pourras garder ou désinstaller après.
    Ce logiciel va aussi nettoyer et enlever toutes les anciennes versions présentes.

    Télécharge JavaRa de PaulMcLain et Fred De Vries.
    http://raproducts.org/click/click.php?id=1

    Click droit sur l’archive JavaRa.zip et extraire sur le bureau.
    Un dossier sera crée. L’ouvrir et double-cliquer sur JavaRa.exe pour le lancer

    Choisis la langue ( anglais )
    Une fenêtre va s’ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

    - Mise à jour :
    clique sur Search for Updates et choisis l’option Update Using jucheck.exe. Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    Si oui, clique sur Installer puis suis les invites.

    - Suppression des anciennes versions :
    Relance JavaRa.exe s’il le faut et choisis Remove Older Versions.
    Suis les invites.
    Il te sera précisé de la suppression les versions trouvées et supprimées.

    2) On va enlever les logiciels qui ont été utilisés..
    Télécharge ToolsCleaner .sur le bureau
    http://pc-system.fr/

    Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
    Il est possible que ton bureau disparaisse.

    Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt

    3) Tu vas utiliser CCleaner.
    http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

    utilise les fonctions nettoyeur et registre.

    4) Les points de restauration :
    - Panneau de configuation --> Système --> Restauration du sytème
    cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
    Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
    Accepte.
    Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
    - Tu vas recréer un point de restauration propre.
    Pour recréer un point de restauration :
    Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
    Choisis "Créer un point de restauration". Suis les invites.

    Si tu as des questions durant ces manips.

    A+
    0