pub intempestive lors de navigation
Forum Sécurité - Virus : pub intempestive lors de navigation
bonjour a tous,
comme pas mal sur ce forum, j ai depuis peu enormement de pub (drive cleaner, win antivirus,etc)
j ai vu quelque moyen de supprimer tout cela mais , n etant pas un pro de l informatique, je voudrai savoir si quelqu un pourrai me dire comment faire precisement.
j ai pas envie de tout planter.
merci d avance pour vos reponces
Bonsoir,
Télécharge Hijackthis (de Merjin).
Dézippe-le dans un dossier ou sur ton Bureau.
Lance l'application (Hijackthis.exe) :
- Choisis l'option "Do a system scan and save a logfile"
- Le Bloc-Notes s'ouvre, poste son contenu :
-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse
AIDE : Tuto en vidéo sur Hijackthis
Répondre à Angeldark
Logfile of HijackThis v1.99.1
Scan saved at 21:08:43, on 23/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS\system32\ifjsmwec.dll",realset
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/adva [...] module.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
merci de t occuper de mon cas angeldark
quel est la suite
Re,
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
- Double-clique VundoFix.exe afin de le lancer
- Clique sur le bouton Scan for Vundo
- Lorsque le scan est complété, clique sur le bouton Remove Vundo
- Une invite te demandera si tu veux supprimer les fichiers, clique YES
- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
- Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
Répondre à Angeldark
VundoFix V6.4.1
Checking Java version...
Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.
Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.
Java version is 1.5.0.10
Java version is 1.5.0.11
Scan started at 21:19:54 23/05/2007
Listing files found while scanning....
C:\WINDOWS\system32\cbiafmcn.dll
C:\WINDOWS\system32\cewmsjfi.ini
C:\WINDOWS\system32\dsfvfqgw.dll
C:\WINDOWS\system32\fqiqmoxq.ini
C:\WINDOWS\system32\hpnnvhsq.dll
C:\WINDOWS\system32\ifjsmwec.dll
C:\WINDOWS\system32\ijabugvi.dll
C:\WINDOWS\system32\jscvumsa.dll
C:\WINDOWS\system32\opnolkk.dll
C:\WINDOWS\system32\qonkncyu.dll
C:\WINDOWS\system32\qxomqiqf.dll
C:\WINDOWS\system32\sstts.dll
C:\WINDOWS\system32\sttss.bak1
C:\WINDOWS\system32\sttss.bak2
C:\WINDOWS\system32\sttss.ini
C:\WINDOWS\system32\sttss.ini2
C:\WINDOWS\system32\sttss.tmp
Beginning removal...
Attempting to delete C:\WINDOWS\system32\cbiafmcn.dll
C:\WINDOWS\system32\cbiafmcn.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\cewmsjfi.ini
C:\WINDOWS\system32\cewmsjfi.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\fqiqmoxq.ini
C:\WINDOWS\system32\fqiqmoxq.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\hpnnvhsq.dll
C:\WINDOWS\system32\hpnnvhsq.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\ifjsmwec.dll
C:\WINDOWS\system32\ifjsmwec.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\ijabugvi.dll
C:\WINDOWS\system32\ijabugvi.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\opnolkk.dll
C:\WINDOWS\system32\opnolkk.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\qxomqiqf.dll
C:\WINDOWS\system32\qxomqiqf.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\sstts.dll
C:\WINDOWS\system32\sstts.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\sttss.bak1
C:\WINDOWS\system32\sttss.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\system32\sttss.bak2
C:\WINDOWS\system32\sttss.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\sttss.ini
C:\WINDOWS\system32\sttss.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\sttss.ini2
C:\WINDOWS\system32\sttss.ini2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\sttss.tmp
C:\WINDOWS\system32\sttss.tmp Has been deleted!
Performing Repairs to the registry.
Done!
Logfile of HijackThis v1.99.1
Scan saved at 21:37:09, on 23/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {DFA95BC2-6251-4FEE-8306-FE03FFA42B54} - C:\WINDOWS\system32\sstts.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/adva [...] module.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
Re,
- Télécharge combofix.exe (par sUBs) sur ton Bureau.
- Double clique combofix.exe.
- Tape sur la touche Y (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Répondre à Angeldark
"Administrateur" - 2007-05-23 21:39:57 Service Pack 2
ComboFix 07-05.21.6.V - Running from: "C:\Documents and Settings\Administrateur\Bureau\"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\components
C:\Program Files\Fichiers communs\{4C32378C-0BB6-1036-0225-040309020001}
((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-23 ))))))))))))))))))))))))))))))))))
2007-05-23 21:19 <REP> d-------- C:\VundoFix Backups
2007-05-23 20:40 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-05-19 21:46 <REP> d-------- C:\Program Files\CFWebAdvancedU
2007-05-18 23:27 1,236 --a------ C:\WINDOWS\system32\tmp.reg
2007-05-18 22:41 <REP> d-------- C:\Program Files\SafeSoft
2007-05-18 11:22 64,844 -ra------ C:\WINDOWS\system32\SMNT40.dll
2007-05-18 11:22 186,882 -ra------ C:\WINDOWS\system32\drivers\SMNT40.sys
2007-05-18 11:22 <REP> d-------- C:\Program Files\Analog Devices
2007-05-18 11:21 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-05-18 11:17 765,952 --a------ C:\WINDOWS\system\crlds3d.dll
2007-05-18 11:17 65,536 --a------ C:\WINDOWS\system32\Audio3D.dll
2007-05-12 11:43 <REP> d-------- C:\Program Files\MSBuild
2007-05-12 11:09 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-05-12 09:48 <REP> d-------- C:\Program Files\Microsoft.NET
2007-05-11 09:39 405 --a------ C:\WINDOWS\winxb.exe
2007-05-11 09:23 4,608 --a------ C:\WINDOWS\system32\W95INF32.DLL
2007-05-11 09:23 2,272 --a------ C:\WINDOWS\system32\W95INF16.DLL
2007-05-11 09:18 99,134 --a------ C:\WINDOWS\system32\VB5DE.DLL
2007-05-11 09:18 977,680 --a------ C:\WINDOWS\system32\msjt3032.dll
2007-05-11 09:18 96,256 --a------ C:\WINDOWS\system32\VB5FR.DLL
2007-05-11 09:18 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2007-05-11 09:18 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2007-05-11 09:18 36,864 --a------ C:\WINDOWS\system32\msjter35.dll
2007-05-11 09:18 35,088 --a------ C:\WINDOWS\system32\msjint32.dll
2007-05-11 09:18 243,472 --a------ C:\WINDOWS\system32\vbar2232.dll
2007-05-11 09:18 23,824 --a------ C:\WINDOWS\system32\msjter32.dll
2007-05-11 09:18 149,776 --a------ C:\WINDOWS\system32\msjint35.dll
2007-05-11 09:18 125,712 --a------ C:\WINDOWS\system32\VB6DE.DLL
2007-05-11 09:18 110,592 --a------ C:\WINDOWS\system32\xls.dll
2007-05-11 09:18 1,056,768 --a------ C:\WINDOWS\system32\msjet35.dll
2007-05-11 09:17 582,144 --a------ C:\WINDOWS\system32\dao350.dll
2007-05-11 09:17 <REP> d-------- C:\Program Files\Micro Application
2007-05-05 10:45 259,113 --a------ C:\WINDOWS\system32\reburdhtxc_nav.dat
2007-05-05 10:44 4,447 --a------ C:\WINDOWS\system32\reburdhtxc.dat
2007-05-05 10:44 3,492 --a------ C:\WINDOWS\system32\reburdhtxc_navps.dat
2007-05-03 20:50 <REP> d-------- C:\WINDOWS\SxsCaPendDel
2007-05-02 19:50 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2007-05-02 19:50 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2007-05-02 19:50 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2007-05-02 19:50 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2007-05-02 19:50 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2007-05-02 19:50 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2007-05-02 09:19 16,896 --a------ C:\WINDOWS\system32\grwinsthlp.exe
2007-05-02 09:19 <REP> d-------- C:\Program Files\AI - Series
2007-05-01 10:02 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\TaoUSign
2007-04-29 15:15 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-04-29 10:22 <REP> d-------- C:\WINDOWS\system32\XPSViewer
2007-04-29 10:21 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-04-29 10:21 <REP> d-------- C:\Program Files\Reference Assemblies
2007-04-26 19:55 <REP> d-------- C:\Program Files\Intel
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-05-23 19:33:03 -------- d-----w C:\Program Files\eMule
2007-05-23 19:13:48 -------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-05-18 22:25:54 -------- d-----w C:\Program Files\AvRack
2007-05-18 22:11:47 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-05-15 15:26:12 -------- d-----w C:\Program Files\Fichiers communs\sndm360
2007-05-15 06:31:36 -------- d-----w C:\DOCUME~1\ADMINI~1\APPLIC~1\AdobeUM
2007-05-12 09:43:26 618,412 ----a-w C:\WINDOWS\system32\perfh00C.dat
2007-05-12 09:43:26 116,356 ----a-w C:\WINDOWS\system32\perfc00C.dat
2007-05-12 08:43:18 -------- d-----w C:\Program Files\ATI Technologies
2007-05-11 18:39:37 -------- d-----w C:\Program Files\Burn4Free
2007-05-05 15:59:54 -------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-05-03 11:58:26 -------- d-----w C:\Program Files\ASUS
2007-04-04 18:10:04 -------- d-----w C:\Program Files\TomTom HOME
2007-03-17 22:29:37 -------- d-----w C:\Program Files\TomTom DesktopSuite
2007-03-15 01:58:38 315,392 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-03-15 01:57:34 267,776 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-03-15 01:57:15 1,986,560 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-03-15 01:50:39 122,880 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-03-15 01:50:27 114,688 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-03-15 01:50:19 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-03-15 01:50:12 42,496 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-03-15 01:49:59 114,688 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-03-15 01:48:39 450,560 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-03-15 01:47:52 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-03-15 01:40:10 2,820,544 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-03-15 01:29:47 1,315,712 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-03-15 01:29:32 3,107,788 ----a-w C:\WINDOWS\system32\ativvaxx.dat
2007-03-15 01:19:32 5,402,624 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-03-15 01:16:14 258,048 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-03-15 01:14:43 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-03-15 01:10:28 356,352 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-03-06 22:04:53 143,676 ----a-w C:\WINDOWS\system32\atiicdxx.dat
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75}=C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll [2006-09-05 23:18]
{DFA95BC2-6251-4FEE-8306-FE03FFA42B54}=C:\WINDOWS\system32\sstts.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-01-30 15:36]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2006-09-08 18:13]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=1 (0x1)
*Newly Created Service* -PROCEXP90
Contents of the 'Scheduled Tasks' folder
2007-05-11 04:24:21 C:\WINDOWS\tasks\Norton Internet Security - Analyse système complète - Administrateur.job
2007-05-07 10:00:00 C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job
2007-05-18 22:00:00 C:\WINDOWS\tasks\Symantec Drmc.job
********************************************************************
catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-23 21:41:25
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
********************************************************************
Completion time: 2007-05-23 21:41:50
C:\ComboFix-quarantined-files.txt ... 2007-05-23 21:41
--- E O F ---
Re,
Télécharge Navilog1.exe (IL-MAFIOSO)
Enregistre-le sur ton Bureau.
Lance l'installation en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2, 3 et 4 sans notre accord !
Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :
-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse
NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
Répondre à Angeldark
Search Navipromo version 2.0.2 commencé le 23/05/2007 à 21:46:27,64
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Administrateur\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight [...] _help.html
F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.
[+] Started on 05/23/07 at 21:46:29.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ...............................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 05/23/07 at 21:48:15 (return code = 0).
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\rqstv.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\rqstv.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\rqstv.bak2 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche Heuristique :
*
C:\WINDOWS\system32\reburdhtxc.dat trouvé !
**
C:\WINDOWS\system32\reburdhtxc.dat trouvé !
***
****
C:\WINDOWS\system32\reburdhtxc_navps.dat trouvé !
*****
C:\WINDOWS\system32\reburdhtxc_nav.dat trouvé !
******
*******
********
*** Analyse Terminé le 23/05/2007 à 21:48:36,43 ***
Re,
Double clique sur le raccourci de Navilog1 présent sur ton Bureau.
Suis les instructions. Choisis ensuite l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.
L'utilitaire va t'informer qu'il va redémarrer l'ordinateur.
**Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts**
Appuie maintenant sur une touche, comme demandé.
(si ton PC ne redémarre pas automatiquement, fais-le manuellement)
Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"
Le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.
Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Ainsi qu'un nouveau rapport Hijackthis.
Ferme Internet Explorer puis Démarrer/Panneau de Configuration/Options Internet.
Choisis l'onglet Contenu puis onglet Certificats.
Si tu trouves les programmes suivant (en particulier dans Editeurs approuvés), supprime-les :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"
&
Clique sur le menu Démarrer puis Executer, copie/colle ceci :
"%userprofile%\Bureau\combofix.exe" /v vtsqr
Clique sur [OK]. Suis les invites.
Attends que Combofix ait terminé, un rapport sera créé. Poste le rapport.
Répondre à Angeldark
Clean Navipromo version 2.0.2 commencé le 23/05/2007 à 21:54:38,68
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans C:\Documents and Settings\Administrateur\Application Data ***
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\Local Settings\Temp effectué !
*** Sauvegarde du registre vers dossier Backupnavi***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Nettoyage registre Ok
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\rqstv.ini2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\rqstv.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\rqstv.bak2 trouvé ! infection Vundo possible non traité par cet outil !
2)Recherche et Suppression Heuristique :
*
C:\WINDOWS\System32\reburdhtxc.dat trouvé !
Copie C:\WINDOWS\system32\reburdhtxc.dat réalise avec succes !
C:\WINDOWS\system32\reburdhtxc.dat supprimé !
**
***
****
C:\WINDOWS\System32\reburdhtxc_navps.dat trouvé !
Copie C:\WINDOWS\system32\reburdhtxc_navps.dat réalise avec succes !
C:\WINDOWS\system32\reburdhtxc_navps.dat supprimé !
*****
C:\WINDOWS\System32\reburdhtxc_nav.dat trouvé !
Copie C:\WINDOWS\system32\reburdhtxc_nav.dat réalise avec succes !
C:\WINDOWS\system32\reburdhtxc_nav.dat supprimé !
******
*******
********
3)Contrôle présence clés Rootkit dans le registre :
Aucune autre clés présente dans le registre !
*** Nettoyage termine le 23/05/2007 à 21:57:55,20 ***
Logfile of HijackThis v1.99.1
Scan saved at 22:00, on 23/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {DFA95BC2-6251-4FEE-8306-FE03FFA42B54} - C:\WINDOWS\system32\sstts.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/adva [...] module.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
Re,
Télécharge puis installe AVG Anti-Spyware (AVG AS)
Fais les mises à jour mais ne lance pas de scan pour le moment.
AIDE : Tuto sur AVG Anti-Spyware (Malekal)
Redémarre en mode sans échec
Relance AVG AS :
- Choisis l'onglet "Analyse"
- Puis l'onglet "Paramètres"
- Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
- Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
Si un fichier est infecté en fin d'analyse, clique sur "Appliquer toutes les actions"
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.
Redémarre normalement.
Poste le rapport AVG AS ainsi qu'un rapport Hijackthis.
Répondre à Angeldark
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 23:22 23/05/2007
+ Résultat de l'analyse:
C:\WINDOWS\system32\b4fm.dll -> Adware.BurnFree : Aucune action entreprise.
C:\System Volume Information\_restore{5DEFE07D-4200-48DE-8029-495B82ABF61E}\RP351\A0112018.dll -> Adware.ErrorSafe : Aucune action entreprise.
C:\WINDOWS\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.m : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@247realmedia[1].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.abcsearch[1].txt -> TrackingCookie.Abcsearch : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@3.adbrite[1].txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adrevolver[2].txt -> TrackingCookie.Adrevolver : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@clickbank[2].txt -> TrackingCookie.Clickbank : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@enhance[2].txt -> TrackingCookie.Enhance : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@goldenpalace[2].txt -> TrackingCookie.Goldenpalace : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ehg-hollywoodmedia.hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ehg-ponroy.hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@mediaplex[2].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.paypal[1].txt -> TrackingCookie.Paypal : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@questionmarket[1].txt -> TrackingCookie.Questionmarket : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@site.skype[1].txt -> TrackingCookie.Skype : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@skype[2].txt -> TrackingCookie.Skype : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@statcounter[1].txt -> TrackingCookie.Statcounter : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@login.tracking101[1].txt -> TrackingCookie.Tracking101 : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@trafficmp[1].txt -> TrackingCookie.Trafficmp : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@m.webtrends[2].txt -> TrackingCookie.Webtrends : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
C:\Documents and Settings\Administrateur\Cookies\administrateur@zedo[1].txt -> TrackingCookie.Zedo : Aucune action entreprise.
Fin du rapport
Logfile of HijackThis v1.99.1
Scan saved at 23:30, on 23/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {DFA95BC2-6251-4FEE-8306-FE03FFA42B54} - C:\WINDOWS\system32\sstts.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/adva [...] module.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
Tu as bien supprimé les fichiers avec AVG ?
Répondre à Angeldark
merci pour tout angeldark!!!!
plus de pub
nikel
merci encore pour les infos
Ma question ,
Répondre à Angeldark
Il y a 327 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
