Bonsoir a tous!

Je me suis fait infecté par Spyware Secure... je sais qu'il y a deja des posts qui en parle, mais etant donné qu'il y a besoin d'une personne pour lire nos logs, j'ai préféré en creer un nouveau, pour que ce soit plus clair...
dans les autres posts c'est un peu le boxon
J'espere que les modos ne m'en voudront pas

Donc j'ai deja un peu farfouillé le net, j'ai vu comment s'en debarrasser mais etant donné que je ne veux pas faire de betise (plus particulierement parce que je suis sous Vista et que du coup Navilog1 est en version beta...), je prefere poster mes logs pour que quelqu'un de plus competent m'aiguille un peu

Je precise que j'ai passé auparavant un coup de spybot, adware, et Mc affee antispyware, qui ont chacun trouvé le spy, mais qui bien entendu est revenu
J'ai Virus Scan version entreprise en antivirus, et je suis sous Vista 32 bits.

voila mon log navilog1 :

Search Navipromo Vista Beta 1 commencé le 31/08/2007 à 18:32:40,77

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Users\titelune\Desktop\Navilog1VistaBeta(2
Mise a jour le 08.08.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\Windows ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\ProgramData ***




*** Recherche dossiers dans C:\Users\titelune\AppData\Roaming ***




*** Recherche fichiers ***


C:\Windows\pack.epk trouvé !
C:\Windows\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:




2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

*
C:\Users\titelune\AppData\Local\Microsoft\qwmfnqn.dat trouvé !
**
C:\Users\titelune\AppData\Local\Microsoft\qwmfnqn.dat trouvé !
***
****
C:\Users\titelune\AppData\Local\Microsoft\qwmfnqn_navps.dat trouvé !
*****
******
*******
********



3)Recherche Certificats :


*** Recherche avec GenericNaviSearch Beta ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

Aucun Fichier trouvé !

Fichiers suspects :

C:\Windows\system32\qwmfnqn.exe trouvé !
C:\Users\titelune\AppData\Local\Microsoft\qwmfnqn.exe trouvé !


*** Analyse Terminé le 31/08/2007 à 18:33:35,26 ***



et voici mon rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:13, on 31/08/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Users\titelune\AppData\Local\Temp\Rar$EX00.891\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [Sidebar] "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/5 [...] plugin.cab
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/ [...] rtdgi1.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

--
End of file - 7708 bytes


Je vous remercie d'avance de l'aide que vous pourrez m'apporter

Je dirait que tu es infecte par des pop up a cause de qwmfnqn.exe il faut le supprime dans system 32 mais attend qu on me confirme.

il y a plus simple passe a l'option 2 de navilog desinfection automatique avec prise en charge.... et ton pc va redemarer
a+

ou comme dit hamza tu peux suprimer les fichier manuelement mais en mode sans echec et il faut que tu affiche les fichier et dossier cachés
mais le plus simple c'est avec navilog
a+

heu hum, je voudrais quelqu'un d'un peu plus competent qui pourrait m'indiquer si je peux reellement passer a l'option 2 sans risque

Ben oui ou bien fait comme decrit la http://www.sur-la-toile.com/viewTo [...] op-Up.html
c est le meme probleme.

...
oui c'est le meme probleme partout, je l'ai precisé au depart, je connais le principe...
MAIS si je viens demander de l'aide c'est pour qu'on lise mes logs, si tu regarde bien a chaque fois la personne lui de poster les logs avant de faire quoi que ce soit... de facon a savoir si on peux ou non passer a la suite...
c'est pas pour faire joli
c'est pour que quelqu'un les verifie

Oui j ai verifié d'abord tu n as que ce petit probleme uniquement n'en stresse pas pour autant je t ai donné le lien pour te rassurer uniquement et donc tu ne dois supprimer que qwmfnqn.exe.C'est pourtant pas compliqué.^^

ah oui? c'est bizar parce que, visiblement les clés de registre sont bien la elles aussi
si on regarde le post d'en dessous, ce n'est pas du tout la solution du helper, donc bon...

[edit]heu... en fait... je n'ai pas d'option 2 dans Navilog... est -il possible de desinfecter sous Vista??

Non pas du tout parce que si tu verifiais un peu tu verais qui lui a proposé cleaner.zip pour effacé qwmfnqn.exe

C:\WINDOWS\System32\qwmfnqn.exe trouvé !
Copie C:\WINDOWS\system32\qwmfnqn.exe réalise avec succes !
C:\WINDOWS\system32\qwmfnqn.exe supprimé

Mais bon de toute facon ca n' rien a avoir avec le registre .Attends qu'on confirme.Et je te comprends parfaitement .Je suis aussi soucieux que toi et je dirais la meme chose.

heu non
si tu regarde encore mieux, ce n'est pas du tout ce fichier qur Cleaner.zip a viré, et le post d'apres, il lui fait faire l'option 2 pour Navilog1 !!!

et ne me dis pas que ca n'a rien a voir avec le registre... c'est la qu'il se positionne egalement, les antispy + navilog le trouve egalement dans regedit.

je veux bien faire un coup de navilog, mais je n'ai pas l'option 2! quelqu'un pourrait me dire comment faire svp?

bonsoir

j'attends ton rapport

je t'ai repondu en PV
le rapport est le meme que celui que j'ai posté au dessus
enfin... le rapport du dessus a trouvé plus de chose que le rapport de la beta 9. donc je pense qu'il vaut mieux se fier au rapport que j'ai poster au dessus

re
+++++++

redémarre en mode sans echec (f8 au démarrage)

+++++++++++++

Fais un Clique droit sur le fichier Navilog1.bat et "Exécuter en tant qu'administrateur".
Au menu principal, choisis 3 et valide.

Le fix va te demander de saisir le nom de fichier.
Saisies ce qui est en gras ci-dessous et rien d'autre puis valide:

qwmfnqn

Le fix va te demander de le resaisir, fais-le et valide.

Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote.

c'est bon

voici le rapport :

Clean Navipromo Vista Beta 9 commencé le 31/08/2007 à 20:42:19,51

Fix lancé depuis C:\Users\titelune\Desktop\Navilog1VistaBeta9
Mise a jour le 29.08.2007 a 20h00 by IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
MSIE : 7.0.6000.16512

Executé en mode sans échec


Mode suppression par méthode manuelle

Nom du fichier saisi : qwmfnqn

*** Recherche, Creation backups et suppression ***

* Scan in C:\Windows\system32 *

qwmfnqn.exe trouvé !
Copie qwmfnqn.exe réalise avec succes !
qwmfnqn.exe supprimé !

C:\Windows\prefetch\qwmfnqn*.pf trouvé !
Copie C:\Windows\prefetch\qwmfnqn*.pf réalise avec succes !
C:\Windows\prefetch\qwmfnqn*.pf supprimé !

* Scan in C:\Users\titelune\AppData\Local\Microsoft *

qwmfnqn.exe trouvé !
Copie qwmfnqn.exe réalise avec succes !
qwmfnqn.exe supprimé !

qwmfnqn.dat trouvé !
Copie qwmfnqn.dat réalise avec succes !
qwmfnqn.dat supprimé !

qwmfnqn_nav.dat trouvé !
Copie qwmfnqn_nav.dat réalise avec succes !
qwmfnqn_nav.dat supprimé !

qwmfnqn_navps.dat trouvé !
Copie qwmfnqn_navps.dat réalise avec succes !
qwmfnqn_navps.dat supprimé !

* Scan in C:\Users\titelune\AppData\Local\virtualstore\windows\system32 *


*** Suppression dossiers dans C:\Windows ***


*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\ProgramData ***



*** Suppression dossiers dans C:\Users\titelune\AppData\Roaming ***



*** Suppression fichiers ***

C:\Windows\pack.epk supprimé !
C:\Windows\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\titelune\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:




2)Recherche et Suppression Heuristique :


*** Sauvegarde du registre vers dossier Backupnavi ***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok


*** Certificats ***

Certificat Egroup absent !



*** Nettoyage termine le 31/08/2007 à 20:43:16,20 ***

par contre, j'ai visionné le scan en cours, il y a des fichiers auquel il na pas pu avoir acces. ce n'est pas indiqué ici, c'est peut etre normal... mais je te le precise quand meme

y a -til autre chose a faire? pour l'instant je n'ai pas eu de popup