Se connecter / S'enregistrer
Votre question

alerte spyware

Tags :
  • Spyware
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Octobre 2007 19:04:18

bonsoir,

mon ordi est infecté avec ?? un spyware
ai utilisé divers utilitaires comme anti spyware, cleaner et ad aware mais rien y fait.

j'ai donc une fenêtre pop-up qui s'ouvre avec message d'alerte d'un site qui se fait passer pour windows security.

mon anti virus ne veut pas bien fonctionner semble t-il aussi ( c a d impossible de faire un scan.

sur mon bureau quand je visionne les icônes, les messages s'affichent en gras...! je veux dire que la taille de la police a changé d'elle-même.

quelqu'un peut-il m'aider ?
merci à vous


Logfile of HijackThis v1.99.1
Scan saved at 18:53:36, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\voipbuster.com\voipbuster\voipbuster.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\OutClock\OutClock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\e\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VoipBuster] "C:\program files\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe
O4 - Global Startup: e-Backup 1.42 Scheduler.lnk = ?
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: SearchAssistant=
O14 - IERESET.INF: CustomizeSearch=
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE8ED520-B04C-43BC-A93C-31D148140F98}: NameServer = 192.168.0.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Autres pages sur : alerte spyware

10 Octobre 2007 20:31:17

bien c'est super le petit drapeau mais si je refais les mêmes étapes il y a certaines dont j'ai souvenir dont on doit vous demander votre accord.

je vois pas comment m'en sortir en solo...

merci de m'éclairer
10 Octobre 2007 20:35:50

Bonsoir,

Télécharge Navilog

Enregistre-le sur ton Bureau.
Installe-le en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)

Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2,3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.

Le rapport se trouve ici :C:\fixnavi.txt
Contenus similaires
10 Octobre 2007 21:03:16

Bonsoir,
Merci pr la réponse hyper rapide.
Voici le rapport

ps : ptit drapeau bleu ---> çà veut dire quoi ?



Search Navipromo version 3.2.1 commencé le 10/10/2007 à 20:54:59.14

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11


*** Recherche Programmes installes ***


WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\e\Application Data ***


*** Recherche dossiers dans ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

!! Fichier/processus caché(s) différent !!
!! Résultat Catchme non pris en compte par Navilog1 !!


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan *

gnc.exe absent, Scan non effectué dans !


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 10/10/2007 à 20:56:29.35 ***
10 Octobre 2007 21:10:38

Supprime Navilog, retélécharge-le.
Refais l'option 1, poste le nouveau rapport.
10 Octobre 2007 21:35:01

Search Navipromo version 3.2.1 commencé le 10/10/2007 à 21:21:58.23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11


*** Recherche Programmes installes ***


WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\e\Application Data ***


*** Recherche dossiers dans ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

!! Fichier/processus caché(s) différent !!
!! Résultat Catchme non pris en compte par Navilog1 !!


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan *

gnc.exe absent, Scan non effectué dans !


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 10/10/2007 à 21:23:27.46 ***
10 Octobre 2007 21:41:29

Je vais revenir, je vais me renseigner pour quelque chose.
10 Octobre 2007 22:10:20

Re,
Désinstalle Navilog via ajout/Suppression de programmes, réinstalle le ,refais la même chose, poste le rapport. :D 
10 Octobre 2007 22:27:22

Search Navipromo version 3.2.1 commencé le 10/10/2007 à 22:24:10.60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11


*** Recherche Programmes installes ***


WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Setting\e\Application Data ***


*** Recherche dossiers dans ***


*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

!! Fichier/processus caché(s) différent !!
!! Résultat Catchme non pris en compte par Navilog1 !!


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan *

gnc.exe absent, Scan non effectué dans !


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 10/10/2007 à 22:25:33.92 ***
11 Octobre 2007 18:33:38

Désolé d'encore devoir m'absenter, je vais me renseigner auprès du créateur du logiciel, je ne t'oublie pas, fais un up pour pas que j'oublie :) 
11 Octobre 2007 18:58:53

Bonsoir,
be non pas grave c'est déjà bien que vs soyez là

journée d'aujourd'hui :
1 ) la police sur mon bureau est redevenue normale
2) reste inchangé

le message malveillant vient de ( dans la barre bleu de la fenêtre )
.h t t p : / /.. fp.pc-on-internet.com/sws/021

ce site s'ouvre si je fais annuler ou fermer bref je sais pas ou cliquer pour ne voir ce site...

je pense que ces pop up ou pub intempestive viennent de webmediaplayer que j'ai installé il y a bien longtemps et en voulant écouter une radio un virus m'était arrivé direct. Depuis j'ai oublié et je viens de le retélécharger ces derniers jours et comme par hasard je suis à nouveau infestée... mais c'est moins méchant.

voilà ya peut etre pas de rapport mais c'est dit.

A + et merci encore
11 Octobre 2007 19:28:12

Oui, c'est en effet Webmediaplayer la cause de ton infection.
Il a sûrement installé des Rootkits sur ton ordi, causes de tes diverses pubs intempestives.
Mais
Citation :
gnc.exe absent, Scan non effectué dans !

C'est poue cela que je contacte le créateur, au moins tu sais pourquoi ;) 
11 Octobre 2007 19:57:22

Pour le lien, tu prends le lien http:// ..... dans la barre de ton navigateur, et tu copie colle ici :) 
Pourquoi il y avait eu le même problème ?
11 Octobre 2007 20:16:54

yes of course sauf que enregistré sur mon bureau je n'ai plus le lien.... enfin je l'ai retrouvé


http://www.infos-du-net.com/forum/266215-11-ouverture-f...

ben voilà çà recommence et on a la mémoire courte pas les spammeurs... et çà marche puisqu'ils n'ont pas changé de stratège et de site

A +
11 Octobre 2007 20:21:16

Je trouve ça un peu gros.
Tu as réinstallé WebmediaPlayer alors que tu savais qu'il allait t'infecter ..?
Enfin bon c'est pas grave ..
11 Octobre 2007 20:35:04

et bien oui ya des plagia qui trompent et quand j'ai ouvert le site et cherché des radios tout allait bien, çà me disait quelquechose sans plus et c'est seulement ce soir que je me rappele. j'ai du reste désinstallé mais le mal est fait.

ya pas de post it sur l'ordi pour dire : eh crétin ne télécharge pas..... tu te rappelles pas la dernière fois ????

tout ce dont je me rappelle vraiment c'est que çà m'a pris un max de temps pour faire toute les manip......
11 Octobre 2007 20:43:56

Enfin bon, tu le sauras la prochaine fois :) 

Télécharge Gmer.
Dézippe le dans un dossier ou sur ton bureau.

Déconnecte toi d'Internet puis ferme tous les programmes.
Double-clique sur Gmer.exe.

Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clique sur l'onglet rootkit.
A droite, coche Files et Services.
Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le contenu ici.
11 Octobre 2007 21:21:50

voici le rapport :


GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-10-11 21:14:27
Windows 5.1.2600 Service Pack 2


---- Files - GMER 1.0.13 ----

File C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.dat
File C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.exe
File C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_nav.dat
File C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_navps.dat

---- EOF - GMER 1.0.13 ----
11 Octobre 2007 21:33:35

Re,

Redémarre en mode sans échec

Supprime ces fichiers :
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.dat
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.exe
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_nav.dat
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_navps.dat


Double clique sur le raccourci de navilog1
Exécute l'option 3.
Laisse toi guider.

Ton bureau va disparaître.

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaitre ton bureau


Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

~~> Supprime-les tous <~~

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)

Redémarre normalement, poste un nouveau rapport HiJackThis.

11 Octobre 2007 22:38:40

en mode sans échec je fais rechercher et or mis le bloc notes il ne me trouve pas les fichiers... !
comment je les trouve ?
11 Octobre 2007 23:01:28

Fais ceci avant :) 

Aller dans poste de travail>outils>option des dossiers>affichage>afficher les fichiers et dossiers cachés. - - > Appliquer - - > OK

Aller dans poste de travail>outils>option des dossiers>affichage>décocher masquer les fichiers protégés du système d’exploitation. - - > Appliquer - - > OK
(Tu recoches après)
12 Octobre 2007 02:21:12

re,
:hello: 
je rame dur....
bien reçu ton message mais quand dois-je le faire en mode normal ou en mode sans échec ?

de toutes façons j'ai essayé les 2 et quand je veux décocher masquer les fichiers protégés..... j'ai un message d'erreur qui me dit

en résumé " si vs faites çà.... windows risque de ne pas redémarrer"

que faire ??
merci et à +
12 Octobre 2007 07:38:50

Salut oxford,

Pas de soucis, si tu suis les instructions tout se passera bien. les fichiers à supprimer sont en gras. Ne supprime rien d'autre :

C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.dat
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.exe
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_nav.dat
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_navps.dat

Puis tu continues : Double clique sur le raccourci de navilog1
Exécute l'option 3.......
15 Octobre 2007 19:14:31

Il Mafioso bonsoir,
je n'ai pas vu ton message.... zut que de temps perdu et c'est de + en + dur car ce soir je n'arrivai même pas à revenir sur info du net..!


Je réessaye
a + et merci de ton intervention.
15 Octobre 2007 19:24:37

Rebonsoir
petit soucis même qu'avant c'est que je ne trouve pas ces fichiers....
15 Octobre 2007 20:20:59

Re,

Même en décochant les option que je t'ai mis plus haut? On va essayer autrement, mais fait navilog option 3 après.

Télécharge OTMoveIt

Sauvegarde-le sur le Bureau

Séléctionne l'encadré ci-dessous
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.dat
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj.exe
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_nav.dat
C:\Documents and Settings\e\Local Settings\Application Data\fmtdldkrbj_navps.dat

Lance maintenant OTMoveIt .

Deux cadres apparaissent , clique droit sur le cadre de gauche , puis colle l'encadré ci desssus.
Et clique sur Movelt !

Si le programme te demande de redemarrer, accepte.

Poste le rapport qui se trouve dans : C:\_OTMoveIt\MovedFiles\date de création!
15 Octobre 2007 20:22:36

re
cà y est pour les fichiers ----> à la corbeille et supprimés
en fait je n'osais pas décocher à cause du message d'erreur windows
bref, ya une étape qui ne s'est pas passé :ai bien vu
nettoyage terminé
mais pas d'invit d'appuyer sur une touche
le bureau n'a pas disparu


j'ai enregistré ds bloc notes

j'ai redémarré normalement et voici le rapport....

nClean Navipromo version 3.2.1 commencé le 15/10/2007 à 20:01:46.68

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11

Mode suppression automatique
sans prise en charge résultats Catchme et GNS


Executé en mode sans échec


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\ed\Application Data ***


*** Suppression dossiers dans ***



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-216E8E59.pf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\e\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :


*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succès !

*** Nettoyage registre ***

Nettoyage registre Ok


*** Certificats ***

Certificat Egroup supprimé !


*** Nettoyage termine le 15/10/2007 à 20:02:10.37 ***

_____________________________________

en attendant ta réponse je vais aller voir les fameux certificats
merci pour ta réponse

15 Octobre 2007 20:25:20

C'est bon ;) 

Télécharge sur ton bureau : Clean
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.
Le rapport se trouve ici : C:\rapport_clean.txt
Tuto
15 Octobre 2007 20:29:28

bonsoir michou,
décidément toi aussi je n'avais pas vu ta réponse
bon çà mélange un peu les pinceaux ( les miens bien sur surtout... ) mais voilà çà va déjà mieux depuis la suppression de ce webmediaplayer de tartuffe ! à confondre avec médiaplayer et realplayer en rouvrant internet je n'ai pas eu de fenêtre pop up

A + et merci
15 Octobre 2007 20:32:26

Tu peux continuer les manips ;) 
15 Octobre 2007 20:40:58

ok merci
15 Octobre 2007 20:52:48

clean est il complet
au dézip je n'ai pas exactement comme dans ton tuto ( c'est en anglais et je n'ai pas d'instal ) et bien sur il ne peut aller + loin

miXou, milles excuses, je craque de redemander alors que c'est si simple.....!
15 Octobre 2007 20:54:36

aih j'ai trouvé
15 Octobre 2007 21:09:01

en voilà 1 encore donc je dois repartir en mode sans échec je suppose pr + d'efficacité com expliqué...

je dine et j'y retourne

15/10/2007 a 20:56:09.50

*** Recherche des fichiers dans C:
C:\StubInstaller.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

merci miXXou
15 Octobre 2007 21:10:25

Re,

Télécharge AVG Anti-Spyware Installes-le.
Lance AVG et fais une mise à jour.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglet comment réagir, clique sur Actions recommandées. Choisis Quarantaine.
Ne fais pas d’analyse pour le moment.
Redémarre en mode sans échec
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Relance Avg.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Poste le ici.
&
Toujours en mode sans échec, relance clean et fais l'option 2, poste le rapport.
16 Octobre 2007 01:10:01

Re bonsoir,
voici le rapport clean. on dirait qu'il reste qqchose --> ...tentative de suppression... .exe ??

avant, AVG a dit tt ok !

PS : pourquoi tu me parles de MSCONFIG pr aller en mode sans échec ? j'éteins puis F8 au bon moment.

enfin l'horizon est libre, plus de pop-up. Ce soir avant tt çà çà bloquait vraiment dur mon ordi et impossible de cliquer sur le lien ds ma messagerie info du net dans outlook. J'ai démarré et rebooté plusieurs fois

bizarre que Avast n'ai pas détecté à temps par contre il m'avait sorti une tapée de fichiers impossible à scanner car bloqué par un mot de passe. Cà fait 2 fois quand même

vu l'heure bonsoir
A + et merci encore pour ton aide précieuse.

---------------------------------------------------------
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 16/10/2007 a 0:44:20.93

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:
tentative de suppression de C:\StubInstaller.exe

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
16 Octobre 2007 11:40:17

Re,

Clean a travaillé normalement ;) 

Pour MSCONFIG, ce n'est pas un message adressé personnellement à toi, mais pour la désinfection, car certains virus empêchent de démarrer en sans échec, et si tu passes via msconfig, ton ordi bloque et ne démarre plus.

Pour avast, on va le changer, il n'est pas terrible. Il ya toujours des fichiers "impossible à scanner", c'est normal ;) 

Désinstalle avast, redémarre et supprime ~~>C:\Program Files\Alwil Software

Télécharge ccleaner (>>tuto à lire !<<), tu download «the latest version » puis installe le en décochant - Ajouter la Barre d'Outils Yahoo! CCleaner
Puis lance le nettoyage, puis fais chercher des erreurs et sauvegardes si tu le souhaites.

Télécharge et installe Antivir. (tuto)
Pourquoi changer ? Avast vs Antivir
16 Octobre 2007 15:38:38

çà va de mieux en mieux...

antivir installé ( suite à tuto impressionnant !!!! on hésite même plus ) et scan antivir en mode sans échec et qu'est-ce qu'il me trouve
TR/ Crypt XPACK . gen

:lol:  :whistle: 

je rigole.....

ps c'est vrai on entend parler QUE de avast : son interface est sympa mais alors pour le reste.... çà fait tout de même la 3 ème fois que je suis infestée !!!!! 4 fois même si je compte aussi mon portable en à peine 2 ans !!!!!
16 Octobre 2007 15:44:44

Tu peux poster le rapport antivir pour voir ? :) 

Oui, c'est très facile de s'infecter aujourd'hui ... :D 
16 Octobre 2007 17:54:43

ben voilà le Trojan c'est Navilog..... donc faudrait vous faire connaître aurpès de Antivir, non ??
voici le rapport
merci
A +

AntiVir PersonalEdition Classic
Report file date: mardi 16 octobre 2007 14:15

Scanning for 886463 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: e
Computer name: ACER-755E621E64

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16/10/2007 11:48:52
ANTIVIR3.VDF : 7.0.0.95 34816 Bytes 16/10/2007 11:48:52
AVEWIN32.DLL : 7.6.0.23 2753024 Bytes 16/10/2007 11:48:52
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 16 octobre 2007 14:15

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '40' files ).


Starting the file scan:

Begin scan in 'C:\' <ACER>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files\Navilog1\gnc.exe
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was moved to '4777af4f.qua'!
C:\Program Files\Navilog1\navilog1.bat
[DETECTION] Contains suspicious code HEUR/Exploit.HTML
[INFO] The file was moved to '478aafb5.qua'!
Begin scan in 'D:\' <ACERDATA>


End of the scan: mardi 16 octobre 2007 14:40
Used time: 24:28 min

The scan has been done completely.

5212 Scanning directories
244895 Files were scanned
1 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
244894 Files not concerned
6817 Archives were scanned
1 Warnings
0 Notes

16 Octobre 2007 18:30:29

Nous faire connaître ? :D 
Pas de virus ;) 


Désinstalle, supprime tous les logiciels utilisés pour la désinfection ainsi que les dossiers créés correspondants.. Garde ccleaner, avg et antivir si nous les avons installé..
Rapporte ton infection sur Malware Complaints
Tuto
Ton infection : Egdaccess.
16 Octobre 2007 18:56:04

attends je vais y passer la nuit.... et puis pas sûr de trouver tous les dossiers j'en ai partout !!!!
ok ya pas de virus mais ya bien un cheval de troie : Naviglog n'est-ce-pas ?
logiciels à désinstal :
navilog
clean
hijackthis aussi ??
et
leurs rapports

c'est quoi Egdaccess ? çà me dit qqchose encore. c'est encore et toujours webmediaplayer ??? je lis pas l'historiq avec Cracker mais je suis sure qu'il y avait ce nom.

dans toute la procédure je n'ai pas vérifié les certificats ce qui était à faire nsp plus quand !!!

help pour me donner du courage
en attendant j'ai désinstal avast de mon autre ordi et instal antivir. j'ai pas de pb sur celui là mais il doit pas être mieux nettoyé !!!
a+
16 Octobre 2007 19:01:53

Oui, les fichiers et rootkits qu'il t'a installé notamment.
Navilog n'est pas un cheval de troie. Il est détecté en faux-positif par avast.
Oui tu suprimes les logiciels et les rapports créés, les dossiers.
Bonne soriée
27 Janvier 2008 21:45:31

Bonsoir Xmichoux et bonne année 2008 puisque janvier n'est pas encore fini,

ya bien longtemps que je suis repassé par ici...

tu me demandais d 'aller sur malware complaints. Honnêtement, j'ai essayé mais j'ai abandonné vu le fil un peu lourd à suivre. Pas bien mais bon on ne se refait pas quand on est pas bon en informatiq

Néanmoins pour l'instant et depuis, plus de pb et espère avoir tout supprimé comme logiciels et rapports.

Pourrais-tu me dire comment tu fais pour poster une image de 16 ko comme la tienne que tu as chanté alors que les photos ont entre 1 et 2 Mo autrement dit comment réduire une image car même çà, je sais pas faire....

Merci pour ta réponse
a +
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS