Se connecter / S'enregistrer
Votre question

Popup system doctor , faux antispyware,voyance ...intempestives

Tags :
  • Antispyware
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Mai 2007 18:40:35

bonjour

depuis quelques jours des popups (system doctor et autre faux antispyware, voyance, pub ebay ...etc) s'affiche.
J'ai executé spybot et ad-aware mais rien y fait.

Qui peut m'aider ?
Merci d'avance.

J'ai fait un rapport Hijackthis.

Logfile of HijackThis v1.99.1
Scan saved at 17:50:58, on 01/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
C:\WINDOWS\SYSTEM32\DWRCS.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\ePOAgent\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\SXSI\bin\service\cron.exe
C:\WINDOWS\vsAOD.Exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\System32\hkcmd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\ePOAgent\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Spy Shot\Capture.exe
C:\Program Files\Webshots\WebshotsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Documents locaux\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxypac.log.intra.laposte.fr/proxyiedides.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 210.195.82.210 camera
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\ePOAgent\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Smod] C:\Program Files\Spy Shot\Capture.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://fr.errorsafe.com/pages/scanner_fr/ErrorSafeScann...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Dides.local
O17 - HKLM\Software\..\Telephony: DomainName = Dides.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EF42890-7856-44AA-9B63-F03F5E983374}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Dides.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Dides.local
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\ePOAgent\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Synexsys Agent - nnSoft - C:\SXSI\bin\service\cron.exe
O23 - Service: Visionsoft Audit On Demand Service (vsAOD) - Visionsoft Limited - C:\WINDOWS\vsAOD.Exe

Autres pages sur : popup system doctor faux antispyware voyance intempestives

1 Mai 2007 18:48:47

Bonjour


Fais aussi ceci. Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
1 Mai 2007 19:17:20

OK et merci.
Voici le fichier après execution de Blacklight.

05/01/07 19:04:01 [Info]: BlackLight Engine 1.0.61 initialized
05/01/07 19:04:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/01/07 19:04:02 [Note]: 7019 4
05/01/07 19:04:02 [Note]: 7005 0
05/01/07 19:04:28 [Note]: 7006 0
05/01/07 19:04:28 [Note]: 7011 2272
05/01/07 19:04:29 [Note]: 7026 0
05/01/07 19:04:29 [Note]: 7026 0
05/01/07 19:04:29 [Note]: 7024 3
05/01/07 19:04:29 [Info]: Hidden process: C:\windows\system32\ucdufxv.exe
05/01/07 19:04:34 [Note]: FSRAW library version 1.7.1021
05/01/07 19:13:42 [Info]: Hidden file: c:\WINDOWS\system32\ucdufxv.dat
05/01/07 19:13:42 [Note]: 10002 1
05/01/07 19:13:42 [Info]: Hidden file: C:\windows\system32\ucdufxv.exe
05/01/07 19:13:42 [Note]: 10002 1
05/01/07 19:13:42 [Info]: Hidden file: c:\WINDOWS\system32\ucdufxv_nav.dat
05/01/07 19:13:42 [Note]: 10002 1
05/01/07 19:13:42 [Info]: Hidden file: c:\WINDOWS\system32\ucdufxv_navps.dat
05/01/07 19:13:42 [Note]: 10002 1
05/01/07 19:17:29 [Note]: 2000 1012
05/01/07 19:17:29 [Note]: 2000 1012
Contenus similaires
1 Mai 2007 19:23:45

Re

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer
.


$$ Télécharge Brute Force Uninstaller (de Merijn)
http://www.merijn.org/files/bfu.zip
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://www.alt-shift-return.org/Info/Fichiers/Winsoftwa...
et choisis "Enregistrer la cible sous..." afin de télécharger Winsoftware.bfu de Lazzzy
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Winsoftware.bfu et BFU.exe (très important).


$$ FAIS UN CLIC-DROIT sur le lien suivant
http://perso.orange.fr/Chercheur-perso/scripts/toolbar....
et choisis "Enregistrer la cible sous..." afin de télécharger Toolbar.bfu de Chercheur
Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : Toolbar.bfu et BFU.exe (très important).


$$ Télécharge Navipromo.zip
http://www.alt-shift-return.org/Info/Fichiers/Navipromo...
Décompresse-le sur ton bureau


$$ Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ou F5; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.


$$ Lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert


$$ Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Winsoftware.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

--- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

Toolbar.bfu

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Toolbar.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.


$$ Clique sur Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous


$$ Redémarre normalement

Poste un nouveau hijackthis avec le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
1 Mai 2007 19:44:17

ESt ce que c'est gênant de redémarrer en tant qu'administrateur.
Je n'ai qu'un compte et il a les droits admin ??

Merci
1 Mai 2007 21:26:29

bonsoir

j'ai executé toutes les commandes.
CI dessous tu trouveras :
- un nouveau rapport de hijackthis
- le rapport navipromo

Merci pour tes prochaines info.

------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:23:37, on 01/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\ePOAgent\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\SXSI\bin\service\cron.exe
C:\WINDOWS\vsAOD.Exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\ePOAgent\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Spy Shot\Capture.exe
C:\Program Files\Webshots\WebshotsTray.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Documents locaux\unzipped\hijackthis et Blacklight\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxypac.log.intra.laposte.fr/proxyiedides.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 210.195.82.210 camera
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [AuditMode] C:\sysprep\factory.exe -logon
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\ePOAgent\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Smod] C:\Program Files\Spy Shot\Capture.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\WebshotsTray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Dides.local
O17 - HKLM\Software\..\Telephony: DomainName = Dides.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EF42890-7856-44AA-9B63-F03F5E983374}: NameServer = 213.36.80.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Dides.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Dides.local
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware Pro\aawservice.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - Unknown owner - C:\WINDOWS\SYSTEM32\DWRCS.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\ePOAgent\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Synexsys Agent - nnSoft - C:\SXSI\bin\service\cron.exe
O23 - Service: Visionsoft Audit On Demand Service (vsAOD) - Visionsoft Limited - C:\WINDOWS\vsAOD.Exe

------------------------


Rapport Navipromo.bat 0.73 effectué le 01/05/2007 à 21:07:40,56
C:\Documents and Settings\olicam\Bureau
L'opération se déroule en mode sans échec sous le compte "olicam"

** Recherche...

1/ ucdufxv trouvé, recherche de ucdufxv*
C:\WINDOWS\system32\ucdufxv.dat
C:\WINDOWS\system32\ucdufxv.exe
C:\WINDOWS\system32\ucdufxv_nav.dat
C:\WINDOWS\system32\ucdufxv_navps.dat
C:\WINDOWS\prefetch\UCDUFXV.EXE-28DD0872.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ucdufxv REG_SZ c:\windows\system32\ucdufxv.exe ucdufxv

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode

################################################

** Nettoyage...

1/ Déplacement de ucdufxv* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\ucdufxv* déplacé avec succès !
C:\WINDOWS\prefetch\ucdufxv* déplacé avec succès

------------------
* Suppression clés et valeurs de registre
1 entrées de registre netttoyées


* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\ucdufxv.dat
C:\Navipromo\Backups\ucdufxv.exe
C:\Navipromo\Backups\UCDUFXV.EXE-28DD0872.pf
C:\Navipromo\Backups\ucdufxv_nav.dat
C:\Navipromo\Backups\ucdufxv_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression

-------------

Rapport Navipromo.bat 0.73 effectué le 01/05/2007 à 21:09:34,39
L'opération se déroule en mode sans échec sous le compte "olicam"

## Suppression Heuristique

* Backups :

C:\Navipromo\Backups\Heuristic\DWRCS.EXE
C:\Navipromo\Backups\Heuristic\DWRCST.EXE

Ajout d'extension .off aux backups
Backups exe renommés avec succès

## Fin du rapport Heuristique

2 Mai 2007 01:57:47

Bien, plus de signe d'infection.

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
5 Mai 2007 00:12:47

bonjour

voici le rapport Kaperski. A Priori il resterait qq trojans.
merci pour la suite.
----------------------------
KASPERSKY ON-LINE SCANNER REPORTKASPERSKY ON-LINE SCANNER REPORT
Saturday, May 05, 2007 12:11:53 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2
(Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 4/05/2007
Enregistrements dans la base antivirus Kaspersky : 294528


Paramètres d'analyse
Analyser avec la base antivirus suivantestandard
Analyser les archivesvrai
Analyser les bases de messagerievrai

Cible de l'analysePoste de travail
C:\
D:\
E:\

Statistiques de l'analyse
Total d'objets analysés81945
Nombre de virus trouvés4
Nombre d'objets infectés6 / 0
Nombre d'objets suspects0
Durée de l'analyse02:02:52

Nom de l'objet infectéNom du virusDernière action
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware
Pro\Logs\Ad-Aware event.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application
Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application
Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Network
Associates\Common Framework\Db\Agent_2OCAMBIE.log L'objet est verrouillé
ignoré

C:\Documents and Settings\All Users\Application Data\Network
Associates\Common Framework\Db\PrdMgr_2OCAMBIE.log L'objet est verrouillé
ignoré

C:\Documents and Settings\All Users\Application Data\Network
Associates\VirusScan\OnAccessScanLog.txt L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est
verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local
Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet
Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé
ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est
verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé
ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est
verrouillé ignoré

C:\Documents and Settings\ocambier\Cookies\index.dat L'objet est
verrouillé ignoré

C:\Documents and Settings\ocambier\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ocambier\Local Settings\Application
Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\ocambier\Local
Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ocambier\Local
Settings\Historique\History.IE5\MSHist012007050420070505\index.dat L'objet
est verrouillé ignoré

C:\Documents and Settings\ocambier\Local Settings\Temporary Internet
Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\ocambier\NTUSER.DAT L'objet est verrouillé
ignoré

C:\Documents and Settings\ocambier\ntuser.dat.LOG L'objet est verrouillé
ignoré

C:\Documents and Settings\ocambier\UserData\index.dat L'objet est
verrouillé ignoré

C:\quarantine\svcipa.exe.Vir Infecté : Trojan-Downloader.Win32.Agent.awf
ignoré

C:\RECYCLER\S-1-5-21-1673917777-2255691825-457824966-1006\Dc13.exe Infecté
: Trojan-Downloader.Win32.IstBar.fn ignoré

C:\SXSI\bin\service\cron.out L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est
verrouillé ignoré

C:\WINDOWS\$NtUninstallKB824141$\user32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB824141$\win32k.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll L'objet est verrouillé
ignoré

C:\WINDOWS\$NtUninstallKB826939$\hh.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\html32.cnv L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\itss.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\locator.exe L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\magnify.exe L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll L'objet est verrouillé
ignoré

C:\WINDOWS\$NtUninstallKB826939$\narrator.exe L'objet est verrouillé
ignoré

C:\WINDOWS\$NtUninstallKB826939$\newdev.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe L'objet est verrouillé
ignoré

C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe L'objet est verrouillé
ignoré

C:\WINDOWS\$NtUninstallKB826939$\osk.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll L'objet est verrouillé
ignoré

C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\shell32.dll L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\srv.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\sysmain.sdb L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB826939$\user32.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\win32k.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll L'objet est verrouillé ignoré


C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll L'objet est verrouillé ignoré

C:\WINDOWS\CSC\00000001 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\00000002 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\00000003 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d2\00000011 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d3\00000012 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d3\00000022 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d3\0000003A L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d4\00000013 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d5\00000014 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d6\0000003D L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d7\00000026 L'objet est verrouillé ignoré

C:\WINDOWS\CSC\d8\00000087 L'objet est verrouillé ignoré

C:\WINDOWS\Debug\Netlogon.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé
ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé
ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé
ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé
ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé
ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé
ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé
ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé
ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\Documents locaux\Dossiers outlook\outlook.pst L'objet est verrouillé
ignoré

D:\Documents locaux\Dossiers outlook\PASL DS.pst L'objet est verrouillé
ignoré

D:\Documents locaux\unzipped\key spy setup.zip/setupv830.exe Infecté :
Trojan-Spy.Win32.KeySpy.l ignoré

D:\Documents locaux\unzipped\key spy setup.zip ZIP: infecté - 1 ignoré

D:\RECYCLER\S-1-5-21-477757639-1904698352-3476540552-1198\Dd1.exe Infecté
: Trojan-Spy.Win32.KeySpy.l ignoré

D:\RECYCLER\S-1-5-21-477757639-1904698352-3476540552-1198\Dd2.exe Infecté
: Trojan-Spy.Win32.KeySpy.e ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est
verrouillé ignoré

Analyse terminée.

5 Mai 2007 00:25:07

Bonsoir


Supprime ceci
D:\Documents locaux\unzipped\key spy setup.zip
C:\quarantine

Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
Lance le nettoyage avec CCleaner

As tu encore des dysfonctionnements ?
5 Mai 2007 08:35:59

bonjour

Le nettoyage est fait.
Dans le rapport kaperski il y avait des entrées que je n'ai pas supprimées.
Est ce que CCleaner les as nettoyées ?
COmment puis le vérifier ?

C:\RECYCLER\S-1-5-21-1673917777-2255691825-457824966-1006\Dc13.exe Infecté : Trojan-Downloader.Win32.IstBar.fn ignoré

D:\RECYCLER\S-1-5-21-477757639-1904698352-3476540552-1198\Dd1.exe Infecté : Trojan-Spy.Win32.KeySpy.l ignoré

D:\RECYCLER\S-1-5-21-477757639-1904698352-3476540552-1198\Dd2.exe Infecté : Trojan-Spy.Win32.KeySpy.e ignoré

Et enfin, comment , mieux protéger l'ordi. J'ai MacAffe mais ce n'est à priori pas suffisant. QU'est ce que tu me conseilles?

Et surtout merci.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS