

danieldes
Membres-
Compteur de contenus
3 -
Inscription
-
Dernière visite
Autres informations
-
Mes langues
français, anglais
danieldes's Achievements

Junior Member (3/12)
0
Réputation sur la communauté
-
Infecté par Webmédiaplayer
danieldes a répondu à un(e) sujet de danieldes dans Analyses et éradication malwares
Ca a été un peu long, parce que pas mal d'objets... Mais voici le compte-rendu de Panda ! Il y a quelques petits trucs qui traînent (surtout les derniers) : Que faut-il faire ? Incident Statut Analyse Adware:adware/ncase No Désinfecté c:\windows\didduid.ini Adware:adware/savenow No Désinfecté Registre Windows Adware:adware/webhancer No Désinfecté Registre Windows Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Internet\Cookies\internet@xiti[1].txt Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Patricia et Daniel\Application Data\Mozilla\Firefox\Profiles\vkh1yqkk.default\cookies.txt[.xiti.com/] Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Patricia et Daniel\Application Data\Mozilla\Profiles\default\75sjpjes.slt\cookies.txt[.atwola.com/] Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Patricia et Daniel\Application Data\Mozilla\Profiles\default\75sjpjes.slt\cookies.txt[.xiti.com/] Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@advertising[1].txt Spyware:Cookie/Adviva No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@adviva[2].txt Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@apmebf[2].txt Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@bluestreak[2].txt Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@doubleclick[1].txt Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@mediaplex[1].txt Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@overture[1].txt Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@smartadserver[1].txt Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@tradedoubler[1].txt Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@xiti[1].txt Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Navilog1\Process.exe Virus:Generic Malware No Désinfecté C:\WINDOWS\Downloaded Installations\{38B83FD2-06C3-44C3-A7DB-0B4653FB6BDF}\NMapWin.msi[unk_0052][nmapserv.exe] Hacktool:Hacktool/NMap No Désinfecté C:\WINDOWS\Downloaded Installations\{38B83FD2-06C3-44C3-A7DB-0B4653FB6BDF}\NMapWin.msi[unk_0052][CCGNU32.dll1] -
Infecté par Webmédiaplayer
danieldes a répondu à un(e) sujet de danieldes dans Analyses et éradication malwares
Re-bonjour et surtout merci... pour le moment je ne vois plus les fenêtres de pub Ca me paraît donc pas mal du tout comme remise en état. Ci-dessous, mon compte-rendu Navilog. J'ai regardé pour les certificats. Il n'y avait rien d'annoncé mais j'ai quand même fait un sérieux ménage, au cas où. Les seules choses qui m'embêtaient un peu tout à l'heure : 1°) [+] Started on 09/05/07 at 19:32:05. [-] ERROR: F-Secure BlackLight could not acquire debug privileges. [+] Exited on 09/05/07 at 19:32:05 (return code = 3). Je me demandais pourquoi, dans mon cas, F-Secure BlackLight n'avait pas pu travailler normalement, alors que j'ai les droits administrateur sur mon user. 2°) Et puis sinon j'ai toujours un planté systématique dans msimn.exe (problème read mémoire en 0x76c441b1) lors de la sortie d'Outlook Express. Et l'apparition de ce planté coïncide avec le début de mes problèmes de fenêtre intempestive. Mais ça a peut-être rien à voir... Enfin, bon, tout ceci n'est pas très grave, du moment qu'il n'y a plus les pubs. Merci beaucoup _____________________________ Clean Navipromo version 2.0.9 commencé le 05/09/2007 à 22:36:37,57 Fix lancé depuis C:\Program Files\navilog1 Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO Mode suppression automatique avec prise en charge résultats Blacklight *** fsbl1.txt non trouvé *** (Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche) *** Recherche avec GenericNaviSearch *** !!! Ces résultats peuvent révéler des fichiers légitimes !!! !!! A verifier impérativement avant toute suppression manuelle !!! Fichiers trouvés supprimés avec backups : C:\WINDOWS\System32\utsrfgfesr.exe trouvé ! Copie C:\WINDOWS\system32\utsrfgfesr.exe réalise avec succes ! C:\WINDOWS\system32\utsrfgfesr.exe supprimé ! C:\WINDOWS\System32\utsrfgfesr.dat trouvé ! Copie C:\WINDOWS\system32\utsrfgfesr.dat réalise avec succes ! C:\WINDOWS\system32\utsrfgfesr.dat supprimé ! C:\WINDOWS\System32\utsrfgfesr_nav.dat trouvé ! Copie C:\WINDOWS\system32\utsrfgfesr_nav.dat réalise avec succes ! C:\WINDOWS\system32\utsrfgfesr_nav.dat supprimé ! C:\WINDOWS\System32\utsrfgfesr_navps.dat trouvé ! Copie C:\WINDOWS\system32\utsrfgfesr_navps.dat réalise avec succes ! C:\WINDOWS\system32\utsrfgfesr_navps.dat supprimé ! C:\WINDOWS\prefetch\utsrfgfesr*.pf trouvé ! Copie C:\WINDOWS\prefetch\utsrfgfesr*.pf réalise avec succes ! C:\WINDOWS\prefetch\utsrfgfesr*.pf supprimé ! Fichiers suspects : Aucun Fichier suspect trouvé ! *** Suppression dossiers dans C:\WINDOWS *** *** Suppression dossiers dans C:\Program Files *** *** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data *** *** Suppression dossiers dans C:\Documents and Settings\Patricia et Daniel\Application Data *** ...\Application Data\MessengerSkinner ...suppression... ...\Application Data\MessengerSkinner supprimé ! *** Suppression fichiers *** C:\WINDOWS\pack.epk supprimé ! C:\WINDOWS\system32\nvs2.inf supprimé ! *** Suppression fichiers temporaires *** Nettoyage contenu C:\WINDOWS\Temp effectué ! Nettoyage contenu C:\Documents and Settings\Patricia et Daniel\Local Settings\Temp effectué ! *** Traitement Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Recherche fichiers connus: 2)Recherche et Suppression Heuristique : * C:\WINDOWS\System32\dheieafbrv.dat trouvé ! Copie C:\WINDOWS\system32\dheieafbrv.dat réalise avec succes ! C:\WINDOWS\system32\dheieafbrv.dat supprimé ! ** *** **** C:\WINDOWS\System32\dheieafbrv_navps.dat trouvé ! Copie C:\WINDOWS\system32\dheieafbrv_navps.dat réalise avec succes ! C:\WINDOWS\system32\dheieafbrv_navps.dat supprimé ! ***** C:\WINDOWS\System32\dheieafbrv_nav.dat trouvé ! Copie C:\WINDOWS\system32\dheieafbrv_nav.dat réalise avec succes ! C:\WINDOWS\system32\dheieafbrv_nav.dat supprimé ! ****** ******* ******** 3)Certificats : Certificat Egroup supprimé ! *** Sauvegarde du registre vers dossier Backupnavi *** sauvegarde du registre réalise avec succes ! *** Nettoyage registre *** Nettoyage registre Ok *** Nettoyage termine le 05/09/2007 à 22:40:41,89 *** -
Bonjour, J'ai été infecté suite à l'installation de webmediaplayer. J'ai supprimé depuis ce logiciel et j'ai fait un première passe avec Antivir. Mais les fenêtres intempestives sont toujours là, en plus planté systématique en sortie d'Outlook Express plus quelques autres bizarreries Je suis sous xp sp2 (IE7 & Firefox) Ci-dessous mon rapport HijackThis et à la suite, celui de Navilog1 Pouvez-vous m'aider ? Merci d'avance. Logfile of HijackThis v1.99.1 Scan saved at 19:05:19, on 05/09/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\System32\FTRTSVC.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\vpnneo.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svcl32\svcl32.exe C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HijackThis\HHH.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.copernic.com/explorer17/?l=FRA&e= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [sysVContoller32] C:\WINDOWS\system32\svcl32\svcl32.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [mRouterConfig] "C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe" O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU) O11 - Options group: [iNTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour.fr/ O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - http://site.ebrary.com/lib/clf/support/plugins/ebraryRdr.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {13510606-30FA-11D2-B383-444553540000} (WebClient Class) - http://195.6.93.177/ommaxie.cab O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Virtual Com Port Service (vpnneoSvc) - NetScreen - C:\WINDOWS\System32\vpnneo.exe _________________________________________________________________________________ Et pour Navilog1 : Search Navipromo version 2.0.9 commencé le 05/09/2007 à 19:32:03,81 !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!! !!! Poster ce rapport sur le forum pour le faire analyser !!! !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!! Fix lancé depuis C:\Program Files\navilog1 Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO Executé en mode normal *** Recherche Programmes installes *** *** Recherche dossiers dans C:\WINDOWS *** *** Recherche dossiers dans C:\Program Files *** *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data *** *** Recherche dossiers dans C:\Documents and Settings\Patricia et Daniel\Application Data *** ...\Application Data\MessengerSkinner trouvé ! *** Recherche avec BlackLight Engine/F-secure *** BlackLight Engine est un produit de F-secure, pour + d'infos : http://www.f-secure.com/blacklight/blacklight_help.html F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR ====================================== Copyright 2005-2006 F-Secure Corporation. All rights reserved. This is a beta version. It will expire on 1st of October, 2007. Version information: 2.2.1064. [+] Started on 09/05/07 at 19:32:05. [-] ERROR: F-Secure BlackLight could not acquire debug privileges. [+] Exited on 09/05/07 at 19:32:05 (return code = 3). *** Recherche avec GenericNaviSearch *** !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!! !!! A verifier impérativement avant toute suppression manuelle !!! Fichiers trouvés : C:\WINDOWS\system32\utsrfgfesr.exe trouvé ! Fichiers suspects : Aucun Fichier suspect trouvé ! *** Recherche fichiers *** C:\WINDOWS\pack.epk trouvé ! C:\WINDOWS\system32\nvs2.inf trouvé ! *** Recherche cles registre *** Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] Recherche Clé Magic Control HKEY_CURRENT_USER\Software\Lanconfig trouvé ! *** Module de Recherche complémentaire *** (Recherche fichiers spécifiques) 1)Recherche fichiers connus: 2)Recherche Heuristique : * C:\WINDOWS\system32\dheieafbrv.dat trouvé ! C:\WINDOWS\system32\utsrfgfesr.dat trouvé ! ** C:\WINDOWS\system32\dheieafbrv.dat trouvé ! C:\WINDOWS\system32\utsrfgfesr.dat trouvé ! *** **** C:\WINDOWS\system32\dheieafbrv_navps.dat trouvé ! C:\WINDOWS\system32\utsrfgfesr_navps.dat trouvé ! ***** C:\WINDOWS\system32\dheieafbrv_nav.dat trouvé ! C:\WINDOWS\system32\utsrfgfesr_nav.dat trouvé ! ****** ******* ******** 3)Recherche Certificats : Certificat Egroup trouvé ! *** Analyse Terminé le 05/09/2007 à 19:32:28,35 ***