Votre question

pop up spywere secure et autres...

Tags :
  • Internet explorer 7
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Septembre 2007 09:49:28

Salut a tous,

voila comme beaucoup de personne, j'ai des fenetres qui s'ouvrent régulièrement avec spywere secure ou bien qui disent que je suis infecté etc...

J'ai parcouru le net et j'ai lu qu'il fallait telecharger navilog pour faire une recherche dabord. puis un nettoyage aprés avis d'une personne compétente

Voici le resultat d'une première analyse (j'ai tapé 1) :

Search Navipromo version 3.0.3 commencé le 14/09/2007 à 22:39:58,98

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 14.09.2007 a 13h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16512


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans C:\Users\Sabrina\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs ***


*** Recherche dossiers dans C:\Users\Sabrina\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\Sabrina\AppData\Roaming ***



*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\Windows\system32 *

Fichiers trouvés :

megury.exe trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

* Scan C:\Users\Sabrina\AppData\Local\Microsoft *

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

* Scan C:\Users\Sabrina\AppData\Local\virtualstore\windows\system32 *

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !

* Scan C:\Users\Sabrina\AppData\Local *

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers ***


C:\Windows\pack.epk trouvé !
C:\Windows\system32\nvs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :


C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa.dat trouvé !
C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs.dat trouvé !
C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_navps.dat trouvé !
C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_navps.dat trouvé !
C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_nav.dat trouvé !
C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_nav.dat trouvé !




3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 14/09/2007 à 22:40:46,76 ***


que dois je faire maintenant ? Dois refaire navilog en tapant 2 cette fois ?

Merci d'avance pour votre aide.

Autres pages sur : pop spywere secure

15 Septembre 2007 11:27:34

Oui.

Double clique sur Navilog1.bat.
Option 2 puis valide. (entrée)
Laisse toi guider.
Ton ordinateur va redémarrer, sinon fais le manuellement.

Ton bureau va disparaître.

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaitre ton bureau

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Ainsi qu'un nouveau rapport Hijackthis.

(Télécharge Hijackthis

Dézippe le dans un dossier sur ton bureau.
Double clique sur celui-ci.
Puis "Do a system scan and save a logfile" et poste le rapport.)
15 Septembre 2007 15:42:56

merci pour ton aide.

voila le 2eme raport :

Clean Navipromo version 3.0.3 commencé le 15/09/2007 à 15:29:47,33

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 14.09.2007 a 13h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16512

Mode suppression automatique



*** Suppression avec Backups résultats GenericNaviSearch ***

* Scan C:\Windows\system32 *


* Scan C:\Users\Sabrina\AppData\Local\Microsoft *


* Scan C:\Users\Sabrina\AppData\Local\virtualstore\windows\system32 *


* Scan C:\Users\Sabrina\AppData\Local *



*** Suppression dossiers dans C:\Windows ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\ProgramData ***


*** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Suppression dossiers dans C:\Users\Sabrina\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs ***


*** Suppression dossiers dans C:\Users\Sabrina\AppData\Local\virtualstore\Program Files ***


*** Suppression dossiers dans C:\Users\Sabrina\AppData\Roaming ***



*** Suppression fichiers ***

C:\Windows\pack.epk supprimé !
C:\Windows\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Sabrina\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:





2)Recherche et Suppression Heuristique :

C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa.dat trouvé !
Copie C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa.dat réalise avec succes !
C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa.dat supprimé !

C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs.dat trouvé !
Copie C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs.dat réalise avec succes !
C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs.dat supprimé !

C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_navps.dat trouvé !
Copie C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_navps.dat réalise avec succes !
C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_navps.dat supprimé !

C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_navps.dat trouvé !
Copie C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_navps.dat réalise avec succes !
C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_navps.dat supprimé !

C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_nav.dat trouvé !
Copie C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_nav.dat réalise avec succes !
C:\Users\Sabrina\AppData\Local\Microsoft\hoqprxnoa_nav.dat supprimé !

C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_nav.dat trouvé !
Copie C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_nav.dat réalise avec succes !
C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs_nav.dat supprimé !

C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs.exe trouvé !
Copie C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs.exe réalise avec succes !
C:\Users\Sabrina\AppData\Local\Microsoft\vahfiqtxzs.exe supprimé !


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***


Erreur application fixreg

Le registre n'a pas été nettoyé !


*** Certificats ***

Certificat Egroup absent !

*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!

C:\Windows\system32\megury.exe trouvé !




*** Nettoyage termine le 15/09/2007 à 15:35:20,61 ***

je vais poster le raport hijackthis dans pas longtemps, est ce que a premiere vue il y a de gros problemes dans mon ordi ?
Contenus similaires
15 Septembre 2007 16:01:41

Re,
Va dans démarrer, exécuter, tape regedit puis ok.
Supprime cette clef si elle existe toujours .
>>HKEY_CURRENT_USER\Software\Lanconfig<<

Pour le moment poste un rapport HiJackThis.
15 Septembre 2007 16:42:04

j'ai regardé dans regedit mais la clef n'y est pas ou plus.

Voila le raport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:15, on 15/09/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\aol\1136148254\ee\aolsoftware.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Sabrina\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mimichat.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1136148254\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [megury] c:\users\sabrina\appdata\local\microsoft\megury.exe megury
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [LogitechSetup] D:\Setup\Setup.exe /restart /l:fra
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O13 - Gopher Prefix:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 7136 bytes
15 Septembre 2007 16:46:31

Je voudrais regarder quelque chose ..
Télécharge Blacklight

Sauvegarde le sur ton Bureau

Double-clique fsbl.exe pour le lancer.
clique Scan puis sur Next

A la fin du scan, NE TOUCHE A RIEN et ferme Blacklight

Poste le rapport sur ton bureau qui se nomme fsbl.*******.log (les ******* sont des chiffres)
15 Septembre 2007 16:55:36

voila :

09/15/07 16:54:25 [Info]: BlackLight Engine 1.0.64 initialized
09/15/07 16:54:25 [Info]: OS: 6.0 build 6000 ()
09/15/07 16:54:25 [Note]: 7019 4
09/15/07 16:54:25 [Note]: 7005 0
09/15/07 16:54:28 [Note]: 7006 0
09/15/07 16:54:28 [Note]: 7027 0
09/15/07 16:54:28 [Note]: 7026 0
09/15/07 16:54:28 [Note]: 7026 0
09/15/07 16:54:30 [Note]: FSRAW library version 1.7.1022
15 Septembre 2007 17:06:08

pas de réponse ?
en tous cas depuis je n'ai plus de pop up. Je suis bien contente..
15 Septembre 2007 17:09:49

Fais analyser ces fichier sur ce site >> Virustotal <<

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
c:\users\sabrina\appdata\local\microsoft\megury.exe
Clique maintenant sur envoyer le fichier.
Poste le rapport

Télécharge sur ton bureau : Clean
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.
5 Juillet 2008 03:25:16

jpens que c' est bon ^^
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS