Se connecter / S'enregistrer
Votre question

[resolu] fenetres publicitaires intempestives alertes virus

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Avril 2007 08:19:15

:bounce:  j'ai accepté un activeX et j'ai maintemant des fenetres qui s'ouvrent (pub pour des casinos ou des antivirus) ainsi qu'une alerte "warning virus/spyware". Merci beaucoup de m'aider...P.

Autres pages sur : resolu fenetres publicitaires intempestives alertes virus

5 Avril 2007 09:36:00

:hello: 

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra...
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
5 Avril 2007 13:32:19

voila le rapport :

Search Navipromo version 1.1.3 commencé le 05/04/2007 à 13:26:01,93

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\guzzilap\Bureau
Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\guzzilap\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 04/05/07 at 13:26:04.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ......................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 04/05/07 at 13:29:17 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********


*** Analyse Terminé le 05/04/2007 à 13:29:39,43 ***
Contenus similaires
5 Avril 2007 21:26:31

:hello: 

1)Supprimes sur ton bureau :

blbetac.exe
navilog1.bat
navilog1.zip
Process.exe
regnavi.reg
traiteregfsbl.bat
traitementfsbl.bat


2)Télécharge HijackThis v1.99.1.
http://www.merijn.org/files/hijackthis.zip
Mets-le dans un dossier spécialement créé pour lui, par exemple C:\HijackThis.
Ouvres son dossier, repères l'icone avec les bâtons de dymnamites.
Fais un clic-droit dessus et choisis "renommer"
Appelles-le scanner.exe
Ferme les programmes inutiles.
Exécute-le et clique sur Do a system scan and save a logfile.
Ne coche rien.
Copie le rapport et colle-le dans un message.
6 Avril 2007 18:39:31

Logfile of HijackThis v1.99.1
Scan saved at 18:38:52, on 06/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Video Access ActiveX Object\pmsnrr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Video Access ActiveX Object\pmmnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Antipub\antipub.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\scanner.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: 12Ghosts Popup-Killer - {00000000-0007-5041-4354-0020e48020af} - C:\Program Files\12Ghosts\12popup.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: 12-Popup - {00000000-0008-5041-4354-0020e48020af} - C:\Program Files\12Ghosts\12popup.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {a2595f37-48d0-46a1-9b51-478591a97764} - (no file)
O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Program Files\Video Access ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.unika.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/219dfc60cd7cc3467422/netzip...
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scan...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
O17 - HKLM\System\CCS\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: NameServer = 85.255.116.130,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: NameServer = 85.255.116.130,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: NameServer = 85.255.116.130,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.20
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

et voila
6 Avril 2007 19:37:48

télécharge l'utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Tu le décompresses complètement sur ton bureau puis tu double cliques sur ce fichier SmitfraudFix.exe et tu choisis l’option 1
Cela va générer un rapport postes le
6 Avril 2007 20:26:08

c'est fait mais il dit qu'il y a un paramètre manquant quand je clique sur .exe
6 Avril 2007 21:57:17

Désactives ton antivirus le temps du téléchargement et réessaies.Penses à réactiver ton AV ensuite. S'il s'affole sur le fichier process.exe, n'en tiens pas compte c'est un fichier légitime
7 Avril 2007 08:02:04

ca ne marche pas mieux sans kapersky mais le fichier .cmd c'est ouvert et j'ai obtenu le menu de SFF.
voila le rapport :
SmitFraudFix v2.164

Rapport fait à 7:59:11,04, 07/04/2007
Executé à partir de C:\Documents and Settings\guzzilap\Mes documents\share\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Video Access ActiveX Object\pmsnrr.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\Video Access ActiveX Object\pmmnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guzzilap


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guzzilap\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url PRESENT !
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\guzzilap\Favoris

C:\DOCUME~1\guzzilap\Favoris\Online Security Test.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Video Access ActiveX Object\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\warnhp.html"
"SubscribedURL"=""
"FriendlyName"="Desktop Uninstall"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Votre ordinateur est certainement victime d'un détournement de DNS: 85.255.x.x détecté !

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 85.255.116.130
DNS Server Search Order: 85.255.112.20

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2E7268EB-34EB-47E8-924E-A6B03F3C2AC0}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2E7268EB-34EB-47E8-924E-A6B03F3C2AC0}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2E7268EB-34EB-47E8-924E-A6B03F3C2AC0}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: NameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.130 85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.130 85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.130 85.255.112.20


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

7 Avril 2007 09:57:49

1)1/ Télécharge le FixWareout d'un de ces deux sites:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
Sur le bureau

2) lance le FixWareout. Clic sur Next, puis Install, puis assure toi que "Run fixit" is activé puis clic sur Finish. Le fix va commencer; suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur; fais le. To système mettra un peu plus de temps au démarrage; c'est normal.
Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis, do a scan only. Coches sur la gauche les lignes suivantes puis cliques sur fixchecked :
O17 - HKLM\System\CCS\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: NameServer = 85.255.116.130,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: NameServer = 85.255.116.130,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: NameServer = 85.255.116.130,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.130 85.255.112.20

3)Redémarre en mode sans échec.
Relance le fichier smitfraudfix.cmd et choisis cette fois l’option 2 et réponds oui à tout.
A la fin, sauvegardes le rapport final afin de pouvoir le retrouver.
Redémarres et communiques le nouveau rapport avec un nouveau rapport Hijackthis
7 Avril 2007 13:46:15

voila le rapport que j'ai effectué en mode normal car je n'arrive poas à passer au mode sans echec (j'ai bien lu cmt il faut faire mais mon pc passe trop vite au menu d'accueil pour que j'ai le temps de faire F8, c'est quasi subliminal!...)
SmitFraudFix v2.164

Rapport fait à 13:24:55,54, 07/04/2007
Executé à partir de C:\Documents and Settings\guzzilap\Mes documents\share\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\ALLUSE~1\MENUDM~1\Online Security Guide.url supprimé
C:\DOCUME~1\ALLUSE~1\MENUDM~1\Security Troubleshooting.url supprimé
C:\DOCUME~1\guzzilap\Favoris\Online Security Test.url supprimé
C:\Program Files\Video Access ActiveX Object\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2E7268EB-34EB-47E8-924E-A6B03F3C2AC0}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2E7268EB-34EB-47E8-924E-A6B03F3C2AC0}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS1\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2E7268EB-34EB-47E8-924E-A6B03F3C2AC0}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{940757CE-ACFC-4D72-94BE-A4819F7E9EDA}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A5B19BB7-74B7-4D22-8D22-ED999F34687E}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CS3\Services\Tcpip\..\{EAFEF3A8-13F8-4DDD-A3E8-B33310D999BB}: DhcpNameServer=85.255.116.130,85.255.112.20
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

ça a l'air OK non?
7 Avril 2007 19:39:32

As-tu passé le fixwareout, si oui repostes un log hijackthis
8 Avril 2007 08:55:12

oui je l'ai passé. voila le log de hijackthis
:jap: 

Logfile of HijackThis v1.99.1
Scan saved at 08:48:59, on 08/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\scanner.exe

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: 12Ghosts Popup-Killer - {00000000-0007-5041-4354-0020e48020af} - C:\Program Files\12Ghosts\12popup.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: 12-Popup - {00000000-0008-5041-4354-0020e48020af} - C:\Program Files\12Ghosts\12popup.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.unika.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/219dfc60cd7cc3467422/netzip...
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scan...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

8 Avril 2007 20:09:37

1)Lances hijackthis, do a scan only. coches sur la gauche ces lignes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Cliques ensuite sur fixchecked et valides, Fermes hijackthis

2)Supprimes les cookies via ton naviguateur internet. Ensuite :
Fais un scan en ligne chez Panda et postes le rapport dans une réponse :
http://www.pandasoftware.com/activescan/fr/activescan_p...
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.
9 Avril 2007 21:36:33


Incident Statut Analyse

Adware:adware/intcodec No Désinfecté Registre Windows
Spyware:Cookie/Statcounter No Désinfecté C:\Documents and Settings\guzzilap\Application Data\Mozilla\Firefox\Profiles\z1x5g880.default\cookies.txt[.statcounter.com/]
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\guzzilap\Application Data\Mozilla\Firefox\Profiles\z1x5g880.default\cookies.txt[.xiti.com/]
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\guzzilap\Application Data\Mozilla\Firefox\Profiles\z1x5g880.default\cookies.txt[.mediaplex.com/]
Spyware:Cookie/Zedo No Désinfecté C:\Documents and Settings\guzzilap\Application Data\Mozilla\Firefox\Profiles\z1x5g880.default\cookies.txt[.zedo.com/]
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\guzzilap\Application Data\Mozilla\Firefox\Profiles\z1x5g880.default\cookies.txt[.advertising.com/]
Spyware:Cookie/Tribalfusion No Désinfecté C:\Documents and Settings\guzzilap\Application Data\Mozilla\Firefox\Profiles\z1x5g880.default\cookies.txt[.tribalfusion.com/]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\guzzilap\Mes documents\Mes fichiers reçus\navilog1.zip[Process.exe]
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\guzzilap\Mes documents\Mes fichiers reçus\SmitfraudFix\Process.exe
Outil indésirable:Application/NirCmd.A No Désinfecté C:\fixwareout\FindT\nircmd.exe
Outil indésirable:Application/Pskill.K No Désinfecté C:\Program Files\clean\pskill.exe
Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe
10 Avril 2007 07:51:42

:hello: 

Supprimes ce qui est en gras :

C:\Documents and Settings\guzzilap\Mes documents\Mes fichiers reçus\navilog1.zip<-- le fichier
C:\Documents and Settings\guzzilap\Mes documents\Mes fichiers reçus\SmitfraudFix<-- le dossier
C:\fixwareout<-- le dossier
C:\WINDOWS\system32\Process.exe <-- le fichier

Supprimes aussi sur ton bureau :
blbetac.exe
navilog1.bat
navilog1.zip
Process.exe
regnavi.reg
traiteregfsbl.bat
traitementfsbl.bat

le dossier backupnavi

As-tu encore des soucis ?
11 Avril 2007 10:24:50

non tout va bien maintenant. Merci beaucoup de ton aide, grazie mille Il-Mafioso!!!
11 Avril 2007 10:36:57

Citation :
grazie mille Il-Mafioso!!!

E statto un piacere :D 

:jap: 

:hello: 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS