Se connecter / S'enregistrer
Votre question

ouverture de pages internet intempestives

Tags :
  • Logiciels
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Février 2008 17:48:39

Bonjour à tous,

J'ai installé la dernière version de mozilla Firefox (2.0.0.12)
J'ai depuis ce matin le problème suivant: des pages internet s'ouvrent quand j'en ouvre moi-même.
Le problème a l'air d'être connu et je me suis un peu documenté alors j'ai utilisé le logiciel Navilog1, j'ai cliqué sur "1" et ça m'a donné ceci: (je précise que lors du scan de ce logiciel, Avast s'est lancé 2 fois en me trouvant 2 trojans que j'ai mis en quarataine, pas avant et pas après)

Alors ce scan:
Search Navipromo version 3.4.4 commencé le 11/02/2008 à 17:04:05,00

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 10.02.2008 à 12h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

...\MessengerSkinner trouvé !


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

...\MessengerSkinner trouvé !

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

Fichiers trouvés :

uemibwspv.exe trouvé !

Fichiers suspects :

C:\WINDOWS\system32\wqatnarzt.exe trouvé !

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

Fichiers suspects :

mcafl.exe trouvé !
mcafl.dat trouvé !
mcafl_nav.dat trouvé !
mcafl_navps.dat trouvé !



*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :

mcafl.dat trouvé !
mcafl_nav.dat trouvé !
mcafl_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 11/02/2008 à 17:12:17,79 ***

Voila, pouvez-vous m'aider svp?

Autres pages sur : ouverture pages internet intempestives

11 Février 2008 18:27:06

Salut,

C'est messengerskinner qui est à l'origine de l'infection.

Double clique sur le raccourci de navilog1.
Option 2 puis valide. (entrée)
Laisse toi guider.
Ton ordinateur va redémarrer, sinon fais le manuellement.

Ton bureau va disparaître.

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaitre ton bureau


Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

~~> Supprime-les tous <~~

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
12 Février 2008 09:58:18

Bonjour! et tout d'abord merci pour ta réponse!

alors voila le rapport cleannavi.txt:

Clean Navipromo version 3.4.4 commencé le 12/02/2008 à 9:42:14,72

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 10.02.2008 à 12h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

uemibwspv.exe trouvé !
Copie uemibwspv.exe réalisée avec succès !
uemibwspv.exe supprimé !


* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

Autres Suppressions :

mcafl.exe trouvé !
Copie mcafl.exe réalisée avec succès !
mcafl.exe supprimé !

mcafl.dat trouvé !
Copie mcafl.dat réalisée avec succès !
mcafl.dat supprimé !

mcafl_nav.dat trouvé !
Copie mcafl_nav.dat réalisée avec succès !
mcafl_nav.dat supprimé !

mcafl_navps.dat trouvé !
Copie mcafl_navps.dat réalisée avec succès !
mcafl_navps.dat supprimé !



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!

Fichiers suspects dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\wqatnarzt.exe trouvé !

*** Nettoyage terminé le 12/02/2008 à 9:44:31,51 ***


Et ensuite j'ai été ds les options internet, je n'ai trouvé que electronic group ds "editeurs approuvés" si je me rappelle bien.
Par contre dans ce même onglet il y a 000"Favorit" édité par Thawte Code Signing CA le 29/02/08.
Dois-je le virer?

Merci encore de m'aider, j'attends ta réponse.

Fallen
Contenus similaires
12 Février 2008 18:31:19

Ne vire que ce que j'ai écrit ;) 

Clique sur démarrer --> exécuter, tape CMD puis valide par ok.
Colle ligne par ligne en validant entre deux (par entrée) les lignes suivantes dans la fenêtre noire qui apparaît.
cd %windir%\system32
dir wqa*.*>"%userprofile%\bureau\test.log"

Poste le contenu du fichier créé sur ton bureau (test.log)
15 Février 2008 10:49:50

Salut,
Merci pour ton aide, je n'ai plus le problème, c'est vraiment super!
Dois-je tout de même faire le truc sur CMD? allez je le fais!

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D8EC-ADD7

R‚pertoire de C:\WINDOWS\system32

08/02/2008 09:11 366ÿ592 wqatnarzt.exe
1 fichier(s) 366ÿ592 octets
0 R‚p(s) 33ÿ185ÿ771ÿ520 octets libres

ya que ca.
C'est bon ou pas?

encore merci le problème est résolu alors je ne m'inquiète plus trop!
15 Février 2008 16:33:22

Supprime C:\WINDOWS\system32\wqatnarzt.exe

++++

Télécharge sur ton bureau : Clean (de Malekal) >Tuto<
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. (L’extension cmd peut ne pas apparaître) Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.
Le rapport se trouve ici : C:\rapport_clean.txt

Si tu obtiens un fichier C:\upload_moi.zip, merci de faire ceci.

+++

Télécharge Hijackthis (de Trend Micro)
Poste un rapport en suivant ce tuto.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS