Votre question

Problème virus ou spyware ?

Tags :
  • Spyware
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Février 2007 19:03:50

Bonsoir,
Je suis apparement infecté par un spy ou un
virus dont les symptomes ressemblent aux dommages causés par le virus Serwab : les pubs se multiplient et me proposent un antivirus : WinAntiVirusPRO 2006.
J'ai essayé de l'éradiquer avec mon anti-virus (AVG Free edition), j'ai même essayé d'utiliser Norton 2006 en version d'essai, rien n'y fait !
J'ai essayé également Spybot sans succès.
J'ai donc telechargé Hijackthis, voici le log copié ci-dessous, si quelqu'un peut m'aider, merci d'avance !

Logfile of HijackThis v1.99.1
Scan saved at 19:05:24, on 19/02/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\msdtc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\BENIC\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Barre &Magique - {01A7812B-59E8-4A4F-BFD6-EEE6D4CB6BA2} - C:\Program Files\Telecom Italia France\Barre Magique 1.05.08.22\Tiscali BBar.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\Documents and Settings\BENIC\Bureau\Protections ordinateur\msconfig.exe /auto
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} (IsHere Class) - http://barremagique.aliceadsl.fr/download/BarreMagique....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Autres pages sur : probleme virus spyware

19 Février 2007 19:22:26

Salut ...

Télécharge Blacklight (de F-Secure).

  • Clique sur "I accept" au bas de la page. Sauvegarde le sur ton Bureau.
  • Double-clique sur blbeta.exe et accepte la licence.
  • Clique "Scan" puis "Next".
  • Tu verras une liste de fichiers détectés apparaître ainsi qu'un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  • Copie/colle le contenu de ce rapport dans ta prochaine réponse.

    Attention : Ne pas choisir l'option "Rename" tout de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ...

    19 Février 2007 19:34:07

    Bonsoir et merci d'avance pour ton aide.
    Voici le résultat du log :
    02/19/07 19:31:12 [Info]: BlackLight Engine 1.0.55 initialized
    02/19/07 19:31:12 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    02/19/07 19:31:13 [Note]: 7019 4
    02/19/07 19:31:13 [Note]: 7005 0
    02/19/07 19:31:19 [Note]: 7006 0
    02/19/07 19:31:20 [Note]: 7011 880
    02/19/07 19:31:20 [Note]: 7026 0
    02/19/07 19:31:20 [Note]: 7026 0
    02/19/07 19:31:21 [Note]: 7024 3
    02/19/07 19:31:21 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 19:31:34 [Note]: FSRAW library version 1.7.1021
    02/19/07 19:34:08 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
    02/19/07 19:34:08 [Note]: 10002 1
    02/19/07 19:34:08 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 19:34:08 [Note]: 10002 1
    02/19/07 19:34:08 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
    02/19/07 19:34:08 [Note]: 10002 1
    02/19/07 19:34:09 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
    02/19/07 19:34:09 [Note]: 10002 1
    Contenus similaires
    19 Février 2007 19:35:57

    Télécharge Navipromo.zip et décompresse-le sur ton bureau.

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur.
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  • Choisis ton compte.
  • Une autre manière en images.


    Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo.
    Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.
    Sélectionne ensuite l'option "Recherche et suppression automatique" en tapant sur la touche R.
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

    Redémarre normalement.

    Poste le rapport C:\Navipromo.txt
    19 Février 2007 19:52:12

    Bien. Voici le rapport demandé après bien des déboires car mon PC rame vraiment !

    Rapport Navipromo.bat 0.71 effectué le lun. 19/02/2007 à 19:47:02,32

    L'opération se déroule en mode sans échec sous le compte BENIC

    ## Vérifications supplémentaires

    Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

    * Navipromo

    C:\WINNT\System32

    egqajtdmdn.exe
    egqajtdmdn_navps.dat
    egqajtdmdn.dat
    egqajtdmdn.dat

    * Trojan Nebula



    * Trojan Vundo


    -------------

    Rapport Navipromo.bat 0.71 effectué le lun. 19/02/2007 à 19:47:47,85

    L'opération se déroule en mode sans échec sous le compte BENIC

    ** Recherche...

    1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
    C:\WINNT\system32\egqajtdmdn.dat
    C:\WINNT\system32\egqajtdmdn.exe
    C:\WINNT\system32\egqajtdmdn_nav.dat
    C:\WINNT\system32\egqajtdmdn_navps.dat


    -------------

    Rapport Navipromo.bat 0.71 effectué le lun. 19/02/2007 à 19:48:50,63

    L'opération se déroule en mode sans échec sous le compte BENIC

    ** Recherche...

    1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
    C:\WINNT\system32\egqajtdmdn.dat
    C:\WINNT\system32\egqajtdmdn.exe
    C:\WINNT\system32\egqajtdmdn_nav.dat
    C:\WINNT\system32\egqajtdmdn_navps.dat


    19 Février 2007 19:53:43

    Bizarre le rapport ...

    Reposte un log Blacklight pour être sûr que le fix a fait son boulot ...
    19 Février 2007 19:59:55

    Voici le rapport :
    02/19/07 19:58:11 [Info]: BlackLight Engine 1.0.55 initialized
    02/19/07 19:58:11 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    02/19/07 19:58:11 [Note]: 7019 4
    02/19/07 19:58:11 [Note]: 7005 0
    02/19/07 19:58:14 [Note]: 7006 0
    02/19/07 19:58:15 [Note]: 7011 876
    02/19/07 19:58:15 [Note]: 7026 0
    02/19/07 19:58:15 [Note]: 7026 0
    02/19/07 19:58:15 [Note]: 7024 3
    02/19/07 19:58:15 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 19:58:29 [Note]: FSRAW library version 1.7.1021
    02/19/07 20:01:00 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
    02/19/07 20:01:00 [Note]: 10002 1
    02/19/07 20:01:01 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 20:01:01 [Note]: 10002 1
    02/19/07 20:01:01 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
    02/19/07 20:01:01 [Note]: 10002 1
    02/19/07 20:01:01 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
    02/19/07 20:01:01 [Note]: 10002 1
    02/19/07 20:01:57 [Note]: 7007 0
    19 Février 2007 20:04:25

    Télécharge Killbox

    Copie les 4 lignes en gras ci-dessous et colle-les dans Killbox comme expliqué sur cette démo animée ...

    C:\WINDOWS\System32\egqajtdmdn.exe
    C:\WINDOWS\System32\egqajtdmdn.dat
    C:\WINDOWS\System32\egqajtdmdn_nav.dat
    C:\WINDOWS\System32\egqajtdmdn_navps.dat


    Une fois que Killbox aura terminé, reposte un log Blacklight ...
    19 Février 2007 20:08:05

    J'ai téléchargé Killbox en version zip mais la version animée ne fonctionne pas ! Que dois-je faire ?
    19 Février 2007 20:15:19

    On t'explique tout ici ...
    19 Février 2007 20:28:26

    Voici le rapport ci-dessous mais j'ai la forte impression que Killbox n'a pas trouvé les fichiers à détruire (un mesage en Anglais m'indiquait que "les fichiers ne semblent pas exister !")

    02/19/07 20:25:49 [Info]: BlackLight Engine 1.0.55 initialized
    02/19/07 20:25:49 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    02/19/07 20:25:49 [Note]: 7019 4
    02/19/07 20:25:49 [Note]: 7005 0
    02/19/07 20:25:52 [Note]: 7006 0
    02/19/07 20:25:52 [Note]: 7011 876
    02/19/07 20:25:52 [Note]: 7026 0
    02/19/07 20:25:53 [Note]: 7026 0
    02/19/07 20:25:53 [Note]: 7024 3
    02/19/07 20:25:53 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 20:26:04 [Note]: FSRAW library version 1.7.1021
    02/19/07 20:28:36 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
    02/19/07 20:28:36 [Note]: 10002 1
    02/19/07 20:28:37 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 20:28:37 [Note]: 10002 1
    02/19/07 20:28:37 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
    02/19/07 20:28:37 [Note]: 10002 1
    02/19/07 20:28:37 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
    02/19/07 20:28:37 [Note]: 10002 1
    02/19/07 20:29:30 [Note]: 7007 0
    19 Février 2007 20:32:03

    C'est ma faute je viens de réaliser que tu es sous Win2000 et je t'ai donné de mauvais chemin de fichier ...

    Recommence avec ces chemins ...

    C:\WINNT\System32\egqajtdmdn.exe
    C:\WINNT\System32\egqajtdmdn.dat
    C:\WINNT\System32\egqajtdmdn_nav.dat
    C:\WINNT\System32\egqajtdmdn_navps.dat

    Poste un nouveau rapport Blacklight ...
    19 Février 2007 20:44:40

    Après tes nouvelles instructions, vopici le nouveau rapport :
    02/19/07 20:42:46 [Info]: BlackLight Engine 1.0.55 initialized
    02/19/07 20:42:46 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    02/19/07 20:42:46 [Note]: 7019 4
    02/19/07 20:42:46 [Note]: 7005 0
    02/19/07 20:42:48 [Note]: 7006 0
    02/19/07 20:42:48 [Note]: 7011 876
    02/19/07 20:42:49 [Note]: 7026 0
    02/19/07 20:42:49 [Note]: 7026 0
    02/19/07 20:42:49 [Note]: 7024 3
    02/19/07 20:42:49 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 20:42:59 [Note]: FSRAW library version 1.7.1021
    02/19/07 20:45:32 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
    02/19/07 20:45:32 [Note]: 10002 1
    02/19/07 20:45:33 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 20:45:33 [Note]: 10002 1
    02/19/07 20:45:33 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
    02/19/07 20:45:33 [Note]: 10002 1
    02/19/07 20:45:33 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
    02/19/07 20:45:33 [Note]: 10002 1
    02/19/07 20:46:30 [Note]: 7007 0
    19 Février 2007 20:55:36

    Désolé mais je suis un peu perdu... Je recommence à partir d'où et avec quel logiciel ?
    19 Février 2007 20:56:01

    Arf ...

    Télécharge Brute Force Uninstaller (de Merijn).

    Créé un nouveau dossier directement sur C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU).
    Ouvre le bloc-notes (Demarrer > Tous les programmes > accessoires > bloc-notes).

    Copie ceci (en gras) dans le bloc-notes :

    RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\egqajtdmdn
    RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
    RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
    FileDelete %SYSDIR%\egqajtdmdn_navps.dat
    FileDelete %SYSDIR%\egqajtdmdn_nav.dat
    FileDelete %SYSDIR%\egqajtdmdn.dat
    FileDelete %SYSDIR%\egqajtdmdn.exe


    Ensuite, enregistre dans: C:\BFU

    Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)
    Type de fichier : tous les fichiers
    clique sur Enregistrer
    Quitte le bloc-notes

    Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

    Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : c:\bfu\aftermath.bfu
    Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : c:\bfu\aftermath.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attends que "Complete script execution" apparaîsse et clique sur "OK".
    Clique sur "Exit" pour fermer le programme BFU.

    Poste un nouveau rapport Blacklight ...
    19 Février 2007 21:04:27

    J'ai retrouvé mon chemin, merci !
    Voici le rapport :
    02/19/07 21:02:39 [Info]: BlackLight Engine 1.0.55 initialized
    02/19/07 21:02:39 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    02/19/07 21:02:39 [Note]: 7019 4
    02/19/07 21:02:39 [Note]: 7005 0
    02/19/07 21:02:42 [Note]: 7006 0
    02/19/07 21:02:42 [Note]: 7011 876
    02/19/07 21:02:43 [Note]: 7026 0
    02/19/07 21:02:43 [Note]: 7026 0
    02/19/07 21:02:43 [Note]: 7024 3
    02/19/07 21:02:43 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 21:02:53 [Note]: FSRAW library version 1.7.1021
    02/19/07 21:05:22 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
    02/19/07 21:05:22 [Note]: 10002 1
    02/19/07 21:05:22 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 21:05:22 [Note]: 10002 1
    02/19/07 21:05:23 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
    02/19/07 21:05:23 [Note]: 10002 1
    02/19/07 21:05:24 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
    02/19/07 21:05:24 [Note]: 10002 1
    02/19/07 21:06:18 [Note]: 7007 0
    19 Février 2007 21:06:17

    Relis mon post précédent ...

    19 Février 2007 21:13:51

    Bien, j'ai recommencé la manip en respectant rigoureusement tes instructions.
    Voici le nouveau rapport :
    02/19/07 21:11:33 [Info]: BlackLight Engine 1.0.55 initialized
    02/19/07 21:11:33 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    02/19/07 21:11:33 [Note]: 7019 4
    02/19/07 21:11:33 [Note]: 7005 0
    02/19/07 21:11:37 [Note]: 7006 0
    02/19/07 21:11:37 [Note]: 7011 876
    02/19/07 21:11:38 [Note]: 7026 0
    02/19/07 21:11:38 [Note]: 7026 0
    02/19/07 21:11:38 [Note]: 7024 3
    02/19/07 21:11:38 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 21:11:48 [Note]: FSRAW library version 1.7.1021
    02/19/07 21:14:18 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
    02/19/07 21:14:18 [Note]: 10002 1
    02/19/07 21:14:18 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
    02/19/07 21:14:18 [Note]: 10002 1
    02/19/07 21:14:18 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
    02/19/07 21:14:18 [Note]: 10002 1
    02/19/07 21:14:19 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
    02/19/07 21:14:19 [Note]: 10002 1
    02/19/07 21:15:11 [Note]: 7007 0
    19 Février 2007 21:56:47

    Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
    Double-clique sur OTMoveIt.exe afin de le lancer.
    Sélectionne TOUS les emplacements suivants :

    C:\WINNT\system32\egqajtdmdn.dat
    C:\winnt\system32\egqajtdmdn.exe
    c:\WINNT\system32\egqajtdmdn_nav.dat
    C:\WINNT\system32\egqajtdmdn_navps.dat

    ---> Clique-droit puis Copier

    Retourne sur OTMoveIt, fais un Clique-droit sur le cadre de gauche puis choisis Coller.
    Clique maintenant sur MoveIt!

    !! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES

    Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport est la date de sa création.
    19 Février 2007 22:03:34

    Ca va mal ! Je ne trouve pas de dossier suivant : C:\_OTMoveIt\MovedFiles\
    19 Février 2007 22:25:39

    Poste un rapport Blacklight ...
    20 Février 2007 18:54:55

    Bonsoir Mykerinos
    Je te communique le rapport demandé.
    J'aimerais cependant avoir ton avis. J'ai l'impression que je suis tombé sur un problème compliqué et je me demande s'il ne vaudrait pas mieux que je procède à un formatage de mon disque dur. En attendant ton avis, voici le rapport que tu m'as demandé.
    02/20/07 18:51:17 [Info]: BlackLight Engine 1.0.55 initialized
    02/20/07 18:51:17 [Info]: OS: 5.0 build 2195 (Service Pack 4)
    02/20/07 18:51:18 [Note]: 7019 4
    02/20/07 18:51:18 [Note]: 7005 0
    02/20/07 18:51:22 [Note]: 7006 0
    02/20/07 18:51:22 [Note]: 7011 876
    02/20/07 18:51:23 [Note]: 7026 0
    02/20/07 18:51:23 [Note]: 7026 0
    02/20/07 18:51:23 [Note]: 7024 3
    02/20/07 18:51:23 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
    02/20/07 18:51:37 [Note]: FSRAW library version 1.7.1021
    02/20/07 18:54:16 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
    02/20/07 18:54:16 [Note]: 10002 1
    02/20/07 18:54:16 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
    02/20/07 18:54:16 [Note]: 10002 1
    02/20/07 18:54:17 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
    02/20/07 18:54:17 [Note]: 10002 1
    02/20/07 18:54:17 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
    02/20/07 18:54:17 [Note]: 10002 1
    02/20/07 18:55:32 [Note]: 7007 0
    20 Février 2007 23:12:39

    Veux-tu bien recommencer la procédure aftermath.bfu en copiant ceci (en gras) dans le bloc-notes :

    RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\egqajtdmdn
    RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
    RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
    FileDelete %SYSDIR%\egqajtdmdn_navps.dat
    FileDelete %SYSDIR%\egqajtdmdn_nav.dat
    FileDelete %SYSDIR%\egqajtdmdn.dat
    FileDelete %SYSDIR%\egqajtdmdn.exe
    FileDelete C:\egd.txt
    SystemRun regedit|/e C:\egd.txt
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0


    Ensuite, enregistre dans: C:\BFU

    Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)
    Type de fichier : tous les fichiers
    clique sur Enregistrer
    Quitte le bloc-notes

    Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

    Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : c:\bfu\aftermath.bfu
    Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : c:\bfu\aftermath.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attends que "Complete script execution" apparaîsse et clique sur "OK".
    Clique sur "Exit" pour fermer le programme BFU.

    Poste le rapport C:\egd.txt
    21 Février 2007 20:49:19

    Bonsoir,
    J'ai fait ce que tu m'as demandé mais le rapport est long (il semble contenir beaucoup de lignes) et il m'est impossible de faire un copier/coller. Mon PC devient de plus en plus lent. J'ai pu bloquer les fenêtres intempestives avec le logiciel gratuit Pop-up Stopper Professionel, c'est le seul léger mieux que je constate mais je remarque qu'il bloque toujours les mêmes fenêtres qui révèlent l'infection.
    Je n'est même pas réussi à m'envoyer le rapport sur la BAL de mon travail. On dirait que mon PC a de moins en moins de mémoire.
    Aurais-tu une autre idée ?
    Merci encore pour ton aide.
    21 Février 2007 23:07:55

    Bonsoir,
    J'ai résolu mon problème avec l'aide en ligne d'un collègue informaticien. Je te remercie beaucoup pour ton aide et ta patience. Je me dois donc de te dis ce qu'il m'a conseillé de faire.
    Les manips sont à faire dans l'ordre et en mode sans échec à l'aide des logiciels suivants :
    CCleaner
    Brute Force Uninstaller
    Navipromo (Il m'a fait télécharger des mises à jour sur leur site).
    Etapes à suivre dans l'ordre et en mode sans échec :
    1) Lancer le fichier Navipromo.bat.
    Il n'y a pas eu de rapport j'ai donc relancé l'outil et sélectionné l'option "Suppression Heuristique" et j'ai conservé le rapport.
    2) J'ai démarré "Brute Force Uninstaller" en double-cliquant sur BFU.exe
    et exécuté EGDACCESS.bfu (qui est une mise à jour du logiciel)
    J'ai recommencé l'opération encore une fois.
    J'ai redémarré le "Brute Force Uninstaller" et exécuté le fichier Winsoftware.bfu (autre mise à jour).
    et recommencé encore une fois !
    3) Démarrer -> panneau de configuration -> options internet
    J'ai cliqué sur l'onglet "Contenu" puis onglet "Certificats" et dans "éditeurs approuvés" :
    J'ai trouvé Macromédia Corporation et Electronic-Group.
    Il m'a dit de supprimer Electronic-Group.
    4) J'ai lancé Ccleaner pour un nettoyage complet.
    5) J'ai redémarré mon PC en mode normal.
    Le rapport Navipromo indiquait ceci :

    Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 21:51:40,55

    L'opération se déroule en mode sans échec sous le compte BENIC

    ** Recherche...

    1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
    C:\WINNT\system32\egqajtdmdn.dat
    C:\WINNT\system32\egqajtdmdn.exe
    C:\WINNT\system32\egqajtdmdn_nav.dat
    C:\WINNT\system32\egqajtdmdn_navps.dat


    -------------

    Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 21:53:12,99

    L'opération se déroule en mode sans échec sous le compte BENIC

    ** Recherche...

    1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
    C:\WINNT\system32\egqajtdmdn.dat
    C:\WINNT\system32\egqajtdmdn.exe
    C:\WINNT\system32\egqajtdmdn_nav.dat
    C:\WINNT\system32\egqajtdmdn_navps.dat


    -------------


    -------------

    Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 22:03:03,93
    L'opération se déroule en mode sans échec sous le compte "BENIC"

    ** Recherche...

    1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
    C:\WINNT\system32\egqajtdmdn.dat
    C:\WINNT\system32\egqajtdmdn.exe
    C:\WINNT\system32\egqajtdmdn_nav.dat
    C:\WINNT\system32\egqajtdmdn_navps.dat


    -------------

    Rapport Navipromo.bat 0.72 effectué le mer. 21/02/2007 à 22:03:29,26
    L'opération se déroule en mode sans échec sous le compte "BENIC"

    ## Suppression Heuristique

    * Backups :

    C:\Navipromo\Backups\Heuristic\egqajtdmdn.dat
    C:\Navipromo\Backups\Heuristic\egqajtdmdn.exe

    Ajout d'extension .off aux backups
    Backups exe renommés avec succès
    Backups dat renommés avec succès

    ## Fin du rapport Heuristique

    Voilà. Mon PC refonctionne normalement.
    Merci encore.
    Cordialement,
    Rouky13
    22 Février 2007 09:29:11

    Désolé pour mon retard, j'ai eu quelques soucis ...

    En gros c'est ce que je t'avais demandé de faire au début ... ;) 
    22 Février 2007 09:52:23

    Tout à fait ! Seulement, je ne sais pas pourquoi ça n'a pas marché !
    Ce n'est pas grave et surtout ne t'excuses pas pour ton petit retard, c'est moi qui te doit beaucoup et je te remercie très sincèrement pour ta compétence et ton dévouement.
    Cordialement,
    Rouky !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS