ouverture de pages internet intempestives

Salut,

C'est messengerskinner qui est à l'origine de l'infection.

Double clique sur le raccourci de navilog1.
Option 2 puis valide. (entrée)
Laisse toi guider.
Ton ordinateur va redémarrer, sinon fais le manuellement.

Ton bureau va disparaître.

Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"

Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Cela te fera apparaitre ton bureau

Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

~~> Supprime-les tous <~~

Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)

Bonjour! et tout d'abord merci pour ta réponse!

alors voila le rapport cleannavi.txt:

Clean Navipromo version 3.4.4 commencé le 12/02/2008 à 9:42:14,72

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 10.02.2008 à 12h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

uemibwspv.exe trouvé !
Copie uemibwspv.exe réalisée avec succès !
uemibwspv.exe supprimé !


* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

Autres Suppressions :

mcafl.exe trouvé !
Copie mcafl.exe réalisée avec succès !
mcafl.exe supprimé !

mcafl.dat trouvé !
Copie mcafl.dat réalisée avec succès !
mcafl.dat supprimé !

mcafl_nav.dat trouvé !
Copie mcafl_nav.dat réalisée avec succès !
mcafl_nav.dat supprimé !

mcafl_navps.dat trouvé !
Copie mcafl_navps.dat réalisée avec succès !
mcafl_navps.dat supprimé !



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !



*** Suppression fichiers ***

C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!

Fichiers suspects dans C:\WINDOWS\system32 :

C:\WINDOWS\system32\wqatnarzt.exe trouvé !

*** Nettoyage terminé le 12/02/2008 à 9:44:31,51 ***


Et ensuite j'ai été ds les options internet, je n'ai trouvé que electronic group ds "editeurs approuvés" si je me rappelle bien.
Par contre dans ce même onglet il y a 000"Favorit" édité par Thawte Code Signing CA le 29/02/08.
Dois-je le virer?

Merci encore de m'aider, j'attends ta réponse.

Fallen

Ne vire que ce que j'ai écrit  

Clique sur démarrer --> exécuter, tape CMD puis valide par ok.
Colle ligne par ligne en validant entre deux (par entrée) les lignes suivantes dans la fenêtre noire qui apparaît.

Poste le contenu du fichier créé sur ton bureau (test.log)

Salut,
Merci pour ton aide, je n'ai plus le problème, c'est vraiment super!
Dois-je tout de même faire le truc sur CMD? allez je le fais!

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est D8EC-ADD7

R‚pertoire de C:\WINDOWS\system32

08/02/2008 09:11 366ÿ592 wqatnarzt.exe
1 fichier(s) 366ÿ592 octets
0 R‚p(s) 33ÿ185ÿ771ÿ520 octets libres

ya que ca.
C'est bon ou pas?

encore merci le problème est résolu alors je ne m'inquiète plus trop!

Supprime C:\WINDOWS\system32\wqatnarzt.exe

++++

Télécharge sur ton bureau : Clean (de Malekal) >Tuto<
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. (L’extension cmd peut ne pas apparaître) Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.
Le rapport se trouve ici : C:\rapport_clean.txt

Si tu obtiens un fichier C:\upload_moi.zip, merci de faire ceci.

+++

Télécharge Hijackthis (de Trend Micro)
Poste un rapport en suivant ce tuto.