Problème virus ou spyware ?

Bonsoir,
Je suis apparement infecté par un spy ou un
virus dont les symptomes ressemblent aux dommages causés par le virus Serwab : les pubs se multiplient et me proposent un antivirus : WinAntiVirusPRO 2006.
J'ai essayé de l'éradiquer avec mon anti-virus (AVG Free edition), j'ai même essayé d'utiliser Norton 2006 en version d'essai, rien n'y fait !
J'ai essayé également Spybot sans succès.
J'ai donc telechargé Hijackthis, voici le log copié ci-dessous, si quelqu'un peut m'aider, merci d'avance !

Logfile of HijackThis v1.99.1
Scan saved at 19:05:24, on 19/02/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\msdtc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\BENIC\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: Barre &Magique - {01A7812B-59E8-4A4F-BFD6-EEE6D4CB6BA2} - C:\Program Files\Telecom Italia France\Barre Magique 1.05.08.22\Tiscali BBar.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\Documents and Settings\BENIC\Bureau\Protections ordinateur\msconfig.exe /auto
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} (IsHere Class) - http://barremagique.aliceadsl.fr/d [...] agique.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

Salut ...

Télécharge Blacklight (de F-Secure).

Clique sur "I accept" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique sur blbeta.exe et accepte la licence.
Clique "Scan" puis "Next".
Tu verras une liste de fichiers détectés apparaître ainsi qu'un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie/colle le contenu de ce rapport dans ta prochaine réponse.

Attention : Ne pas choisir l'option "Rename" tout de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ...

Répondre à Mykerinos

Bonsoir et merci d'avance pour ton aide.
Voici le résultat du log :
02/19/07 19:31:12 [Info]: BlackLight Engine 1.0.55 initialized
02/19/07 19:31:12 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/19/07 19:31:13 [Note]: 7019 4
02/19/07 19:31:13 [Note]: 7005 0
02/19/07 19:31:19 [Note]: 7006 0
02/19/07 19:31:20 [Note]: 7011 880
02/19/07 19:31:20 [Note]: 7026 0
02/19/07 19:31:20 [Note]: 7026 0
02/19/07 19:31:21 [Note]: 7024 3
02/19/07 19:31:21 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/19/07 19:31:34 [Note]: FSRAW library version 1.7.1021
02/19/07 19:34:08 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/19/07 19:34:08 [Note]: 10002 1
02/19/07 19:34:08 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/19/07 19:34:08 [Note]: 10002 1
02/19/07 19:34:08 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/19/07 19:34:08 [Note]: 10002 1
02/19/07 19:34:09 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/19/07 19:34:09 [Note]: 10002 1

Répondre à rouky13

Télécharge Navipromo.zip et décompresse-le sur ton bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

Redémarre ton ordinateur.
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
Choisis ton compte.
Une autre manière en images.

Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo.
Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.
Sélectionne ensuite l'option "Recherche et suppression automatique" en tapant sur la touche R.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

Redémarre normalement.

Poste le rapport C:\Navipromo.txt

Répondre à Mykerinos

Bien. Voici le rapport demandé après bien des déboires car mon PC rame vraiment !

Rapport Navipromo.bat 0.71 effectué le lun. 19/02/2007 à 19:47:02,32

L'opération se déroule en mode sans échec sous le compte BENIC

## Vérifications supplémentaires

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

* Navipromo

C:\WINNT\System32

egqajtdmdn.exe
egqajtdmdn_navps.dat
egqajtdmdn.dat
egqajtdmdn.dat

* Trojan Nebula

* Trojan Vundo

-------------

Rapport Navipromo.bat 0.71 effectué le lun. 19/02/2007 à 19:47:47,85

L'opération se déroule en mode sans échec sous le compte BENIC

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

-------------

Rapport Navipromo.bat 0.71 effectué le lun. 19/02/2007 à 19:48:50,63

L'opération se déroule en mode sans échec sous le compte BENIC

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

Répondre à rouky13

Bizarre le rapport ...

Reposte un log Blacklight pour être sûr que le fix a fait son boulot ...

Répondre à Mykerinos

Voici le rapport :
02/19/07 19:58:11 [Info]: BlackLight Engine 1.0.55 initialized
02/19/07 19:58:11 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/19/07 19:58:11 [Note]: 7019 4
02/19/07 19:58:11 [Note]: 7005 0
02/19/07 19:58:14 [Note]: 7006 0
02/19/07 19:58:15 [Note]: 7011 876
02/19/07 19:58:15 [Note]: 7026 0
02/19/07 19:58:15 [Note]: 7026 0
02/19/07 19:58:15 [Note]: 7024 3
02/19/07 19:58:15 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/19/07 19:58:29 [Note]: FSRAW library version 1.7.1021
02/19/07 20:01:00 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/19/07 20:01:00 [Note]: 10002 1
02/19/07 20:01:01 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/19/07 20:01:01 [Note]: 10002 1
02/19/07 20:01:01 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/19/07 20:01:01 [Note]: 10002 1
02/19/07 20:01:01 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/19/07 20:01:01 [Note]: 10002 1
02/19/07 20:01:57 [Note]: 7007 0

Répondre à rouky13

Télécharge Killbox

Copie les 4 lignes en gras ci-dessous et colle-les dans Killbox comme expliqué sur cette démo animée ...

C:\WINDOWS\System32\egqajtdmdn.exe
C:\WINDOWS\System32\egqajtdmdn.dat
C:\WINDOWS\System32\egqajtdmdn_nav.dat
C:\WINDOWS\System32\egqajtdmdn_navps.dat

Une fois que Killbox aura terminé, reposte un log Blacklight ...

Message édité par Mykerinos le 19-02-2007 à 20:05:43

Répondre à Mykerinos

J'ai téléchargé Killbox en version zip mais la version animée ne fonctionne pas ! Que dois-je faire ?

Répondre à rouky13

On t'explique tout ici ...

Répondre à Mykerinos

Voici le rapport ci-dessous mais j'ai la forte impression que Killbox n'a pas trouvé les fichiers à détruire (un mesage en Anglais m'indiquait que "les fichiers ne semblent pas exister !" )

02/19/07 20:25:49 [Info]: BlackLight Engine 1.0.55 initialized
02/19/07 20:25:49 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/19/07 20:25:49 [Note]: 7019 4
02/19/07 20:25:49 [Note]: 7005 0
02/19/07 20:25:52 [Note]: 7006 0
02/19/07 20:25:52 [Note]: 7011 876
02/19/07 20:25:52 [Note]: 7026 0
02/19/07 20:25:53 [Note]: 7026 0
02/19/07 20:25:53 [Note]: 7024 3
02/19/07 20:25:53 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/19/07 20:26:04 [Note]: FSRAW library version 1.7.1021
02/19/07 20:28:36 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/19/07 20:28:36 [Note]: 10002 1
02/19/07 20:28:37 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/19/07 20:28:37 [Note]: 10002 1
02/19/07 20:28:37 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/19/07 20:28:37 [Note]: 10002 1
02/19/07 20:28:37 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/19/07 20:28:37 [Note]: 10002 1
02/19/07 20:29:30 [Note]: 7007 0

Répondre à rouky13

C'est ma faute je viens de réaliser que tu es sous Win2000 et je t'ai donné de mauvais chemin de fichier ...

Recommence avec ces chemins ...

C:\WINNT\System32\egqajtdmdn.exe
C:\WINNT\System32\egqajtdmdn.dat
C:\WINNT\System32\egqajtdmdn_nav.dat
C:\WINNT\System32\egqajtdmdn_navps.dat

Poste un nouveau rapport Blacklight ...

Message édité par Mykerinos le 19-02-2007 à 20:35:09

Répondre à Mykerinos

Après tes nouvelles instructions, vopici le nouveau rapport :
02/19/07 20:42:46 [Info]: BlackLight Engine 1.0.55 initialized
02/19/07 20:42:46 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/19/07 20:42:46 [Note]: 7019 4
02/19/07 20:42:46 [Note]: 7005 0
02/19/07 20:42:48 [Note]: 7006 0
02/19/07 20:42:48 [Note]: 7011 876
02/19/07 20:42:49 [Note]: 7026 0
02/19/07 20:42:49 [Note]: 7026 0
02/19/07 20:42:49 [Note]: 7024 3
02/19/07 20:42:49 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/19/07 20:42:59 [Note]: FSRAW library version 1.7.1021
02/19/07 20:45:32 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/19/07 20:45:32 [Note]: 10002 1
02/19/07 20:45:33 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/19/07 20:45:33 [Note]: 10002 1
02/19/07 20:45:33 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/19/07 20:45:33 [Note]: 10002 1
02/19/07 20:45:33 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/19/07 20:45:33 [Note]: 10002 1
02/19/07 20:46:30 [Note]: 7007 0

Répondre à rouky13

Désolé mais je suis un peu perdu... Je recommence à partir d'où et avec quel logiciel ?

Répondre à rouky13

Arf ...

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU).
Ouvre le bloc-notes (Demarrer > Tous les programmes > accessoires > bloc-notes).

Copie ceci (en gras) dans le bloc-notes :

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\egqajtdmdn
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
FileDelete %SYSDIR%\egqajtdmdn_navps.dat
FileDelete %SYSDIR%\egqajtdmdn_nav.dat
FileDelete %SYSDIR%\egqajtdmdn.dat
FileDelete %SYSDIR%\egqajtdmdn.exe

Ensuite, enregistre dans: C:\BFU

Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)
Type de fichier : tous les fichiers
clique sur Enregistrer
Quitte le bloc-notes

Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : c:\bfu\aftermath.bfu
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : c:\bfu\aftermath.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attends que "Complete script execution" apparaîsse et clique sur "OK".
Clique sur "Exit" pour fermer le programme BFU.

Poste un nouveau rapport Blacklight ...

Répondre à Mykerinos

J'ai retrouvé mon chemin, merci !
Voici le rapport :
02/19/07 21:02:39 [Info]: BlackLight Engine 1.0.55 initialized
02/19/07 21:02:39 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/19/07 21:02:39 [Note]: 7019 4
02/19/07 21:02:39 [Note]: 7005 0
02/19/07 21:02:42 [Note]: 7006 0
02/19/07 21:02:42 [Note]: 7011 876
02/19/07 21:02:43 [Note]: 7026 0
02/19/07 21:02:43 [Note]: 7026 0
02/19/07 21:02:43 [Note]: 7024 3
02/19/07 21:02:43 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/19/07 21:02:53 [Note]: FSRAW library version 1.7.1021
02/19/07 21:05:22 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/19/07 21:05:22 [Note]: 10002 1
02/19/07 21:05:22 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/19/07 21:05:22 [Note]: 10002 1
02/19/07 21:05:23 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/19/07 21:05:23 [Note]: 10002 1
02/19/07 21:05:24 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/19/07 21:05:24 [Note]: 10002 1
02/19/07 21:06:18 [Note]: 7007 0

Répondre à rouky13

Relis mon post précédent ...

Répondre à Mykerinos

Bien, j'ai recommencé la manip en respectant rigoureusement tes instructions.
Voici le nouveau rapport :
02/19/07 21:11:33 [Info]: BlackLight Engine 1.0.55 initialized
02/19/07 21:11:33 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/19/07 21:11:33 [Note]: 7019 4
02/19/07 21:11:33 [Note]: 7005 0
02/19/07 21:11:37 [Note]: 7006 0
02/19/07 21:11:37 [Note]: 7011 876
02/19/07 21:11:38 [Note]: 7026 0
02/19/07 21:11:38 [Note]: 7026 0
02/19/07 21:11:38 [Note]: 7024 3
02/19/07 21:11:38 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/19/07 21:11:48 [Note]: FSRAW library version 1.7.1021
02/19/07 21:14:18 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/19/07 21:14:18 [Note]: 10002 1
02/19/07 21:14:18 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/19/07 21:14:18 [Note]: 10002 1
02/19/07 21:14:18 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/19/07 21:14:18 [Note]: 10002 1
02/19/07 21:14:19 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/19/07 21:14:19 [Note]: 10002 1
02/19/07 21:15:11 [Note]: 7007 0

Répondre à rouky13

Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.
Double-clique sur OTMoveIt.exe afin de le lancer.
Sélectionne TOUS les emplacements suivants :

C:\WINNT\system32\egqajtdmdn.dat
C:\winnt\system32\egqajtdmdn.exe
c:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

---> Clique-droit puis Copier

Retourne sur OTMoveIt, fais un Clique-droit sur le cadre de gauche puis choisis Coller.
Clique maintenant sur MoveIt!

!! Si un fichier ou dossier ne peut être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES

Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport est la date de sa création.

------------------------------ Si tu ne sais pas, demande. Si tu sais, partage.
LISEZ CECI !
Répondre à Mykerinos

Ca va mal ! Je ne trouve pas de dossier suivant : C:\_OTMoveIt\MovedFiles\

Répondre à rouky13

Poste un rapport Blacklight ...

Répondre à Mykerinos

Bonsoir Mykerinos
Je te communique le rapport demandé.
J'aimerais cependant avoir ton avis. J'ai l'impression que je suis tombé sur un problème compliqué et je me demande s'il ne vaudrait pas mieux que je procède à un formatage de mon disque dur. En attendant ton avis, voici le rapport que tu m'as demandé.
02/20/07 18:51:17 [Info]: BlackLight Engine 1.0.55 initialized
02/20/07 18:51:17 [Info]: OS: 5.0 build 2195 (Service Pack 4)
02/20/07 18:51:18 [Note]: 7019 4
02/20/07 18:51:18 [Note]: 7005 0
02/20/07 18:51:22 [Note]: 7006 0
02/20/07 18:51:22 [Note]: 7011 876
02/20/07 18:51:23 [Note]: 7026 0
02/20/07 18:51:23 [Note]: 7026 0
02/20/07 18:51:23 [Note]: 7024 3
02/20/07 18:51:23 [Info]: Hidden process: C:\winnt\system32\egqajtdmdn.exe
02/20/07 18:51:37 [Note]: FSRAW library version 1.7.1021
02/20/07 18:54:16 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn.dat
02/20/07 18:54:16 [Note]: 10002 1
02/20/07 18:54:16 [Info]: Hidden file: C:\winnt\system32\egqajtdmdn.exe
02/20/07 18:54:16 [Note]: 10002 1
02/20/07 18:54:17 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_nav.dat
02/20/07 18:54:17 [Note]: 10002 1
02/20/07 18:54:17 [Info]: Hidden file: c:\WINNT\system32\egqajtdmdn_navps.dat
02/20/07 18:54:17 [Note]: 10002 1
02/20/07 18:55:32 [Note]: 7007 0

Répondre à rouky13

Veux-tu bien recommencer la procédure aftermath.bfu en copiant ceci (en gras) dans le bloc-notes :

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\egqajtdmdn
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|egqajtdmdn
FileDelete %SYSDIR%\egqajtdmdn_navps.dat
FileDelete %SYSDIR%\egqajtdmdn_nav.dat
FileDelete %SYSDIR%\egqajtdmdn.dat
FileDelete %SYSDIR%\egqajtdmdn.exe
FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

Ensuite, enregistre dans: C:\BFU

Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)
Type de fichier : tous les fichiers
clique sur Enregistrer
Quitte le bloc-notes

Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : c:\bfu\aftermath.bfu
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : c:\bfu\aftermath.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attends que "Complete script execution" apparaîsse et clique sur "OK".
Clique sur "Exit" pour fermer le programme BFU.

Poste le rapport C:\egd.txt

Message édité par Mykerinos le 20-02-2007 à 23:13:40

Répondre à Mykerinos

Bonsoir,
J'ai fait ce que tu m'as demandé mais le rapport est long (il semble contenir beaucoup de lignes) et il m'est impossible de faire un copier/coller. Mon PC devient de plus en plus lent. J'ai pu bloquer les fenêtres intempestives avec le logiciel gratuit Pop-up Stopper Professionel, c'est le seul léger mieux que je constate mais je remarque qu'il bloque toujours les mêmes fenêtres qui révèlent l'infection.
Je n'est même pas réussi à m'envoyer le rapport sur la BAL de mon travail. On dirait que mon PC a de moins en moins de mémoire.
Aurais-tu une autre idée ?
Merci encore pour ton aide.

Répondre à rouky13

Bonsoir,
J'ai résolu mon problème avec l'aide en ligne d'un collègue informaticien. Je te remercie beaucoup pour ton aide et ta patience. Je me dois donc de te dis ce qu'il m'a conseillé de faire.
Les manips sont à faire dans l'ordre et en mode sans échec à l'aide des logiciels suivants :
CCleaner
Brute Force Uninstaller
Navipromo (Il m'a fait télécharger des mises à jour sur leur site).
Etapes à suivre dans l'ordre et en mode sans échec :
1) Lancer le fichier Navipromo.bat.
Il n'y a pas eu de rapport j'ai donc relancé l'outil et sélectionné l'option "Suppression Heuristique" et j'ai conservé le rapport.
2) J'ai démarré "Brute Force Uninstaller" en double-cliquant sur BFU.exe
et exécuté EGDACCESS.bfu (qui est une mise à jour du logiciel)
J'ai recommencé l'opération encore une fois.
J'ai redémarré le "Brute Force Uninstaller" et exécuté le fichier Winsoftware.bfu (autre mise à jour).
et recommencé encore une fois !
3) Démarrer -> panneau de configuration -> options internet
J'ai cliqué sur l'onglet "Contenu" puis onglet "Certificats" et dans "éditeurs approuvés" :
J'ai trouvé Macromédia Corporation et Electronic-Group.
Il m'a dit de supprimer Electronic-Group.
4) J'ai lancé Ccleaner pour un nettoyage complet.
5) J'ai redémarré mon PC en mode normal.
Le rapport Navipromo indiquait ceci :

Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 21:51:40,55

L'opération se déroule en mode sans échec sous le compte BENIC

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

-------------

Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 21:53:12,99

L'opération se déroule en mode sans échec sous le compte BENIC

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

-------------

-------------

Rapport Navipromo.bat 0.71 effectué le mer. 21/02/2007 à 22:03:03,93
L'opération se déroule en mode sans échec sous le compte "BENIC"

** Recherche...

1/ egqajtdmdn trouvé, recherche de egqajtdmdn*
C:\WINNT\system32\egqajtdmdn.dat
C:\WINNT\system32\egqajtdmdn.exe
C:\WINNT\system32\egqajtdmdn_nav.dat
C:\WINNT\system32\egqajtdmdn_navps.dat

-------------

Rapport Navipromo.bat 0.72 effectué le mer. 21/02/2007 à 22:03:29,26
L'opération se déroule en mode sans échec sous le compte "BENIC"

## Suppression Heuristique

* Backups :

C:\Navipromo\Backups\Heuristic\egqajtdmdn.dat
C:\Navipromo\Backups\Heuristic\egqajtdmdn.exe

Ajout d'extension .off aux backups
Backups exe renommés avec succès
Backups dat renommés avec succès

## Fin du rapport Heuristique

Voilà. Mon PC refonctionne normalement.
Merci encore.
Cordialement,
Rouky13

Répondre à rouky13

Désolé pour mon retard, j'ai eu quelques soucis ...

En gros c'est ce que je t'avais demandé de faire au début ...

Répondre à Mykerinos

Tout à fait ! Seulement, je ne sais pas pourquoi ça n'a pas marché !
Ce n'est pas grave et surtout ne t'excuses pas pour ton petit retard, c'est moi qui te doit beaucoup et je te remercie très sincèrement pour ta compétence et ton dévouement.
Cordialement,
Rouky !

Répondre à rouky13

Problème virus ou spyware ?

Forum Sécurité - Virus : Problème virus ou spyware ?

Attention