Votre question

crazy girls world (popup + raccourci) j'en ai marre ....

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
20 Janvier 2007 09:46:14

voilà je viens de m'inscrire car je suis dans la m... depuis plusieurs mois ! je croyais faire face mais .... ce matin j'ai decidé de faire la guerre :) 

j'ai deja installer et fais une manip avec BFU ... mais tjs des popup

donc voilà le rapport hijackthis :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\h\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} - http://www.solidworks.com/plugins/edrawings/download.cf...
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC916BC6-CC3C-417B-B1D7-850001EA6762}: NameServer = 80.10.246.134 80.10.246.7
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE

j'espère quelqu'un pourra me faire avancer !
a+

Autres pages sur : crazy girls world popup raccourci marre

a b 8 Sécurité
20 Janvier 2007 14:02:33

Bonjour,

[Un bonjour ne fait de mal à personne]

Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.

Télécharge maintenant Navilog1.zip (Il Mafioso)
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clique droit sur Navilog1.zip puis en choisissant Tout Extraire.

Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2, 3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :

-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse


NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
20 Janvier 2007 18:23:40

Bonjour Angeldark,
Je te remercie pour ces infos sur Navilog, j'ai suivi tes instructions car j'ai le meme problème que Belzeb avec mon PC, les "crazy girls" se mettent partout dans tout ce que j'ouvre, j'ai beau les supprimer elles reviennent sans cesse. Donc voici mon rapport, analyse effectuée comme indiquée sans toucher les points 2.3 et suivants :
-------------------------------------------------------------
Search Navipromo version 1.0.2 commencé le 20/01/2007 à 16:47:25,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Administrateur\Bureau
Mise a jour le 17.01.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


MessengerSkinner

*** Recherche dossiers dans C:\WINDOWS ***


*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\Instant Access trouvé !
C:\Program Files\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

c:\WINDOWS\system32\gaibaaunvo.dat
C:\windows\system32\gaibaaunvo.exe
c:\WINDOWS\system32\gaibaaunvo_nav.dat
c:\WINDOWS\system32\gaibaaunvo_navps.dat

*** Recherche fichiers ***

C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\epk_extr trouvé !

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]


Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)
Le résultat peut révéler des fichiers légitimes !

*
**
***
****
*****
******

*** Analyse Terminé le 20/01/2007 à 17:25:14,23 ***
--------------------------------------------------------------

Merci de m'indiquer la marche à suivre pour le reste. J'ai aussi beaucoup d'autres problèmes en ce moment,
- j'ai toujours utilisé msn messenger sans problème (quoique j'ai l'impression que mes courriers sont détournés, enfin certains), et là plus moyen de m'en servir, il m'est indiqué que la passerelle semble être hors ligne + code d'erreur 80072efd;
- j'ai sans cesse tous ces messages d'erreurs à l'ouverture du PC : l'exception exception logicielle inconnue (0x06d007e) s'est produite dans l'application à l'emplacement 0x7c812a5b ;
- cette application n'a pas pu ouvrir fsm32.exe car fsld32.dell est
introuvable ;
- + sans cesse des messages de windows me disant que ma copie n'est pas originale alors qu'elle est originale mais impossible à prouver à leurs yeux ;
- + f.secure start up wizard new services sont obligés de fermer le programme en cours car problèmes....... ;
- +++++++ j'en oublie...

J'en ai assez de tout ça, j'aimerai être tranquille, donc merci à vous de m'aider le plus vite possible, je vous en remercie de tout coeur par avance. Le pire c'est que je me sers de l'informatique pour mon travail et que je passe mon temps à essayer de résoudre des problèmes que certains s'amusent à envoyer pour "enmerder" les autres et pour s'ingérer dans leur vie privée.

J'en ai maaaaaaaaaaaaaaaaaaaaaaaarre, aidez moi svp !
Cordialement
Cpatou
si vous voulez mes coordonnées pas de problèmes je vous les donne mais hors forum, indiquez moi comment.
a b 8 Sécurité
20 Janvier 2007 18:26:14

Bonjour Cpatou,

Tu es effectivement infecté par Egdaccess.
Crée ton propre sujet stp.
20 Janvier 2007 18:29:51

Citation :
Bonjour Angeldark,
Je te remercie pour ces infos sur Navilog, j'ai suivi tes instructions car j'ai le meme problème avec mon PC, les crazy girls se mettent partout dans tout ce que j'ouvre, j'ai beau les supprimer elles reviennent sans cesse. Donc voici mon rapport, analyse effectuée comme indiquée sans toucher les points 2.3 et suivants :
-------------------------------------------------------------
Search Navipromo version 1.0.2 commencé le 20/01/2007 à 16:47:25,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Administrateur\Bureau
Mise a jour le 17.01.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


MessengerSkinner

*** Recherche dossiers dans C:\WINDOWS ***


*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\Instant Access trouvé !
C:\Program Files\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

c:\WINDOWS\system32\gaibaaunvo.dat
C:\windows\system32\gaibaaunvo.exe
c:\WINDOWS\system32\gaibaaunvo_nav.dat
c:\WINDOWS\system32\gaibaaunvo_navps.dat

*** Recherche fichiers ***

C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

*** Recherche cles registre ***

HKEY_CURRENT_USER\Software\epk_extr trouvé !

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]


Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)
Le résultat peut révéler des fichiers légitimes !

*
**
***
****
*****
******

*** Analyse Terminé le 20/01/2007 à 17:25:14,23 ***
--------------------------------------------------------------

Merci de m'indiquer la marche à suivre pour le reste. J'ai aussi beaucoup d'autres problèmes en ce moment,
- j'ai toujours utilisé msn messenger sans problème (quoique j'ai l'impression que mes courriers sont détournés, enfin certains), et là plus moyen de m'en servir, il m'est indiqué que la passerelle semble être hors ligne + code d'erreur 80072efd;
- j'ai sans cesse tous ces messages d'erreurs à l'ouverture du PC : l'exception exception logicielle inconnue (0x06d007e) s'est produite dans l'application à l'emplacement 0x7c812a5b ;
- cette application n'a pas pu ouvrir fsm32.exe car fsld32.dell est
introuvable ;
- + sans cesse des messages de windows me disant que ma copie n'est pas originale alors qu'elle est originale mais impossible à prouver à leurs yeux ;
- + f.secure start up wizard new services sont obligés de fermer le programme en cours car problèmes....... ;
- +++++++ j'en oublie...

J'en ai assez de tout ça, j'aimerai être tranquille, donc merci à vous de m'aider le plus vite possible, je vous en remercie de tout coeur par avance. Le pire c'est que je me sers de l'informatique pour mon travail et que je passe mon temps à essayer de résoudre des problèmes que certains s'amusent à envoyer pour "enmerder" les autres et pour s'ingérer dans leur vie privée.

J'en ai maaaaaaaaaaaaaaaaaaaaaaaarre, aidez moi svp !
Cordialement
Cpatou
si vous voulez mes coordonnées pas de problèmes je vous les donne mais hors forum, indiquez moi comment.
20 Janvier 2007 18:36:09

merci pour ta réponse, je veux bien créer mon propre sujet, mais en attendant que puis je faire pour réparer l'infection avec egdaccess, puis je continuer avec fixnavi et comment ?
Merci pour ta réponse
Cordialement
cpatou
a b 8 Sécurité
20 Janvier 2007 18:38:06

Crée ton propre sujet on t'aidera là bas !
21 Janvier 2007 10:56:09

Bongour du dimanche matin !!

encore une nouvelle analyse .... ok j'ai fais ta manip, voici le resultat :

Search Navipromo version 1.0.2 commencé le 21/01/2007 à 10:50:16,59

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\guillaume et sarah\Bureau\navilog1
Mise a jour le 17.01.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

c:\WINDOWS\system32\lwfoep.dat
C:\windows\system32\lwfoep.exe
c:\WINDOWS\system32\lwfoep_nav.dat
c:\WINDOWS\system32\lwfoep_navps.dat


*** Recherche fichiers ***


C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\system32\prosvsys.exe trouvé !


*** Recherche cles registre ***




Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

C:\WINDOWS\System32\egaccess4_1064.dll REG_DWORD 0x1
C:\WINDOWS\System32\egaccess4_1066.dll REG_DWORD 0x1
C:\WINDOWS\System32\egaccess4_1067.dll REG_DWORD 0x1


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/egaccess4_1064.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/egaccess4_1066.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/egaccess4_1067.dll


Recherche Clé Magic Control


*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)
Le résultat peut révéler des fichiers légitimes !

*
**
***
****
*****
******


*** Analyse Terminé le 21/01/2007 à 10:53:30,74 ***

a+
a b 8 Sécurité
21 Janvier 2007 13:18:32

Re,

Egdaccess effectivement.

Redémarre en mode sans échec

Double clique sur Navilog1.bat.
Choisis maintenant l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.

Réponds aux questions éventuelles.
Ton bureau va disparaître, c'est normal !

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver en mode normal.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Redémarre normalement puis poste le rapport sauvegardé auparavant.

  • Le rapport se trouve également ici : C:\cleannavi.txt
  • Si ton Bureau ne réapparaît pas, fais ceci :
    -> Clique simultanément sur Ctrl + Alt + Suppr.
    Clique sur l'onglet Fichier puis choisis Nouvelle tâche.
    Tape Explorer puis valide.
    -> Choisis Exécuter..., tape Explorer puis valide.
    21 Janvier 2007 14:14:42

    yes alors voilà l'autre rapport :


    Clean Navipromo version 1.0.2 commencé le 21/01/2007 à 14:07:09,64

    Fix lancé depuis C:\Documents and Settings\guillaume et sarah\Bureau\navilog1
    Mise a jour le 17.01.2007 a 23h00 by IL-MAFIOSO

    Executé en mode sans echec

    Mode suppression automatique

    *** Creation backups fichiers scan Blbeta ***

    Copie vers "C:\Documents and Settings\guillaume et sarah\Bureau\navilog1\Backupnavi"


    *** Suppression des fichiers trouvés avec Blbeta ***

    c:\WINDOWS\system32\lwfoep.dat supprimé !
    C:\windows\system32\lwfoep.exe supprimé !
    c:\WINDOWS\system32\lwfoep_nav.dat supprimé !
    c:\WINDOWS\system32\lwfoep_navps.dat supprimé !

    *** Suppression dossiers dans C:\WINDOWS ***


    *** Suppression dossiers dans C:\Program Files ***



    *** Suppression fichiers ***

    C:\WINDOWS\system32\nvs2.inf supprimé !
    C:\WINDOWS\system32\prosvsys.exe supprimé !

    *** Sauvegarde du registre ***


    sauvegarde du registre terminée avec succes


    *** Nettoyage registre ***


    Nettoyage registre Ok


    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)
    Le résultat peut révéler des fichiers légitimes !

    *
    **
    ***
    ****
    *****
    ******


    *** Nettoyage termine le 21/01/2007 à 14:09:48,12 ***

    a b 8 Sécurité
    21 Janvier 2007 14:16:49

    Reposte un rapport Hijackthis.
    21 Janvier 2007 14:21:07

    alors le voici :
    au passage merci de ton aide !


    Clean Navipromo version 1.0.2 commencé le 21/01/2007 à 14:07:09,64

    Fix lancé depuis C:\Documents and Settings\guillaume et sarah\Bureau\navilog1
    Mise a jour le 17.01.2007 a 23h00 by IL-MAFIOSO

    Executé en mode sans echec

    Mode suppression automatique

    *** Creation backups fichiers scan Blbeta ***

    Copie vers "C:\Documents and Settings\guillaume et sarah\Bureau\navilog1\Backupnavi"


    *** Suppression des fichiers trouvés avec Blbeta ***

    c:\WINDOWS\system32\lwfoep.dat supprimé !
    C:\windows\system32\lwfoep.exe supprimé !
    c:\WINDOWS\system32\lwfoep_nav.dat supprimé !
    c:\WINDOWS\system32\lwfoep_navps.dat supprimé !

    *** Suppression dossiers dans C:\WINDOWS ***


    *** Suppression dossiers dans C:\Program Files ***



    *** Suppression fichiers ***

    C:\WINDOWS\system32\nvs2.inf supprimé !
    C:\WINDOWS\system32\prosvsys.exe supprimé !

    *** Sauvegarde du registre ***


    sauvegarde du registre terminée avec succes


    *** Nettoyage registre ***


    Nettoyage registre Ok


    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)
    Le résultat peut révéler des fichiers légitimes !

    *
    **
    ***
    ****
    *****
    ******


    *** Nettoyage termine le 21/01/2007 à 14:09:48,12 ***

    21 Janvier 2007 14:22:12

    alors le voici :
    au passage merci de ton aide !


    Logfile of HijackThis v1.99.1
    Scan saved at 14:19:21, on 21/01/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\MESSAG~1\StartMessager.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\h\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
    O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} - http://www.solidworks.com/plugins/edrawings/download.cf...
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.downloa...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BC916BC6-CC3C-417B-B1D7-850001EA6762}: NameServer = 80.10.246.134 80.10.246.7
    O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing)
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    21 Janvier 2007 14:35:08

    ok je charge (en 56k) donc dans 1 h !
    tu me fais flipper avec ton urgence
    y a un autre qui serait moins lourd ?
    a b 8 Sécurité
    21 Janvier 2007 14:35:54

    Je veux dire que cela presse :D 
    21 Janvier 2007 18:48:43

    bon apres un plantage de telechargement ... me revoici !



    AntiVir PersonalEdition Classic
    Report file date: dimanche 21 janvier 2007 18:39

    Scanning for 569934 virus strains and unwanted programs.



    Version information:
    BUILD.DAT : 217 12749 Bytes 05/12/2006 17:00:00
    AVSCAN.EXE : 7.0.3.2 208936 Bytes 05/12/2006 15:30:07
    AVSCAN.DLL : 7.0.3.1 35880 Bytes 05/12/2006 16:00:22
    LUKE.DLL : 7.0.3.2 143400 Bytes 31/10/2006 16:07:46
    LUKERES.DLL : 7.0.2.0 9256 Bytes 05/12/2006 16:00:22
    ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 15:30:06
    ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14/11/2006 09:12:08
    ANTIVIR2.VDF : 6.36.1.113 221696 Bytes 01/12/2006 09:12:12
    ANTIVIR3.VDF : 6.37.0.3 6144 Bytes 01/12/2006 09:12:14
    AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 04/12/2006 17:18:38
    AVPREF.DLL : 7.0.2.0 23592 Bytes 03/11/2006 10:53:44
    AVREP.DLL : 6.37.0.3 983080 Bytes 01/12/2006 09:05:52
    AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30/03/2006 08:43:31
    AVPACK32.DLL : 7.2.0.5 368680 Bytes 23/10/2006 15:21:31
    AVREG.DLL : 7.0.1.1 30760 Bytes 23/10/2006 10:52:27
    NETNT.DLL : No Information!
    RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08/11/2006 12:26:26
    RCTEXT.DLL : 7.0.12.1 77864 Bytes 05/12/2006 16:00:21

    Configuration settings for the scan:
    Jobname..........................: Windows System Directory
    Configuration file...............: C:\Program Files\AntiVir PersonalEdition Classic\setupprf.dat
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: C:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: dimanche 21 janvier 2007 18:39

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Modules have been scanned
    Scan process 'avgnt.exe' - '1' Modules have been scanned
    Scan process 'avguard.exe' - '1' Modules have been scanned
    Scan process 'sched.exe' - '1' Modules have been scanned
    Scan process 'wuauclt.exe' - '1' Modules have been scanned
    Scan process 'IEXPLORE.EXE' - '1' Modules have been scanned
    Scan process 'Watch.exe' - '1' Modules have been scanned
    Scan process 'ComComp.exe' - '1' Modules have been scanned
    Scan process 'EspaceWanadoo.exe' - '1' Modules have been scanned
    Scan process 'EasyShare.exe' - '1' Modules have been scanned
    Scan process 'msmsgs.exe' - '1' Modules have been scanned
    Scan process 'ctfmon.exe' - '1' Modules have been scanned
    Scan process 'qttask.exe' - '1' Modules have been scanned
    Scan process 'SOUNDMAN.EXE' - '1' Modules have been scanned
    Scan process 'TaskBarIcon.exe' - '1' Modules have been scanned
    Scan process 'StartMessager.exe' - '1' Modules have been scanned
    Scan process 'CnxMon.exe' - '1' Modules have been scanned
    Scan process 'explorer.exe' - '1' Modules have been scanned
    Scan process 'wdfmgr.exe' - '1' Modules have been scanned
    Scan process 'nvsvc32.exe' - '1' Modules have been scanned
    Scan process 'alg.exe' - '1' Modules have been scanned
    Scan process 'spoolsv.exe' - '1' Modules have been scanned
    Scan process 'svchost.exe' - '1' Modules have been scanned
    Scan process 'svchost.exe' - '1' Modules have been scanned
    Scan process 'svchost.exe' - '1' Modules have been scanned
    Scan process 'svchost.exe' - '1' Modules have been scanned
    Scan process 'lsass.exe' - '1' Modules have been scanned
    Scan process 'services.exe' - '1' Modules have been scanned
    Scan process 'winlogon.exe' - '1' Modules have been scanned
    Scan process 'csrss.exe' - '1' Modules have been scanned
    Scan process 'smss.exe' - '1' Modules have been scanned
    31 processes with 31 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( 18 files ).


    Starting the file scan:

    Begin scan in 'C:\WINDOWS\System32'


    End of the scan: dimanche 21 janvier 2007 18:42
    Used time: 02:19 min

    The scan has been done completely.

    134 Scanning directories
    5414 Files were scanned
    0 viruses and/or unwanted programs were found
    0 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    0 Files cannot be scanned
    5414 Files not concerned
    2 Archives were scanned
    0 Warnings
    0 Notes
    a b 8 Sécurité
    21 Janvier 2007 21:28:39

    Reposte un rapport Hijackthis pour voir où nous en sommes.
    22 Janvier 2007 20:00:47

    hello !!! le voici :

    Logfile of HijackThis v1.99.1
    Scan saved at 20:00:34, on 22/01/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Wanadoo\CnxMon.exe
    C:\PROGRA~1\MESSAG~1\StartMessager.exe
    C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    C:\Program Files\Wanadoo\EspaceWanadoo.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\h\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
    O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
    O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://static.impots.gouv.fr/abos/securite/xenroll.cab
    O16 - DPF: {22945A69-1191-4DCF-9E6F-409BDE94D101} - http://www.solidworks.com/plugins/edrawings/download.cf...
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.downloa...
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BC916BC6-CC3C-417B-B1D7-850001EA6762}: NameServer = 80.10.246.5 80.10.246.136
    O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - D:\Player\__CDS2.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

    22 Janvier 2007 20:13:26

    je sais pas si y a encore des veroles
    pour le moment j'ai pas encore eu de nouvelles des filles en folie comme ils disent .... par contre, ça rame un poil !
    a b 8 Sécurité
    22 Janvier 2007 20:40:33

    Tu ne sembles plus être infecté.
    Il y a un lien sur l'optimisation dans le texte qui va suivre.

    PS : ton infection se nomme EGDACCESS.

    Je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaie de rapporter ton infection :

    Faire bouger les choses :


    Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
    - Voir les règles de Malware-Complaints
    - Enregistre sur le forum à partir du bouton register en haut :
    Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
    Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

    Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

    Si le malware que tu as eu n'apparaît pas dans la liste, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10
    Pour poster un message, clique sur le bouton "Post Reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.
    Si tu ne connais pas le nom de ton infection, pose-moi la question ;) 

    AIDE : Consulter ce lien : http://www.malekal.com/malwarecomplaints.html.
    Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

    Comment se protéger des virus :


  • Tout ceci est résumé sur cette page : [#ff0000]Sécuriser son ordinateur et connaître les menaces.[/#f]
  • Je t'invite aussi à mettre à jour tous les composants de ton système. Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! Tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php

    N'hésite pas si tu as d'autres questions :hello: 
    22 Janvier 2007 20:46:33

    ok je relis ça et je metterai resolu d'ici deux jours
    MMMEEERRRCCCIII bcp
    a b 8 Sécurité
    22 Janvier 2007 21:10:30

    No problem ;) 
    7 Février 2007 17:07:59

    Search Navipromo version 1.0.3 commencé le 07/02/2007 à 17:04:51,58

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Documents and Settings\famille\Bureau
    Mise a jour le 01.02.2007 a 21h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***


    Instant Access


    *** Recherche dossiers dans C:\WINDOWS ***




    *** Recherche dossiers dans C:\Program Files ***


    C:\Program Files\Instant Access trouvé !


    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




    *** Recherche dossiers dans C:\Documents and Settings\famille\Application Data ***



    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    http://www.f-secure.com/blacklight/blacklight_help.html

    c:\WINDOWS\system32\qscgrd.dat
    C:\windows\system32\qscgrd.exe
    c:\WINDOWS\system32\qscgrd_nav.dat
    c:\WINDOWS\system32\qscgrd_navps.dat


    *** Recherche fichiers ***


    C:\WINDOWS\tmlpcert2007 trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !
    C:\WINDOWS\system32\mwsrvacc.exe trouvé !
    C:\WINDOWS\system32\prosvsys.exe trouvé !
    C:\WINDOWS\system32\prodsrvs.exe trouvé !


    *** Recherche cles registre ***


    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



    Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



    Recherche Clé Magic Control



    *** Module de recherche complémentaire ***
    (recherche fichiers spécifiques)



    *** Analyse Terminé le 07/02/2007 à 17:11:08,31 ***
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS