Pb avec VIRTUMONDE et d'autres bestiol RECALCITRANT

[Thanos]

salut

 

Pas de souci pour les rappports

 

Ok élimine à présent manuellement >

 

C:\WINDOWS\system32\khfebxx.exe > le fichier

 

C:\WinAntiSpyWare > le dossier

 

Si tu ne vois pas le fichier, car il est peut être caché, fais ceci d'abord >

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle le programme suivant si présent > WinAntiSpyWare

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

O2 - BHO: (no name) - {B37D3FBE-EDDF-4C2F-A2A3-067D54314F77} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

*Fais un clic droit sur ce lien > navilog1 de IL-MAFIOSO

• Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
  
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valides.
  (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  
• Patiente jusqu'au message :

  *** Analyse Termine le ..... ***

• Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
  
• Copie-colle l'intégralité dans une réponse. Referme le bloc note.
  
• Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
  

La procédure est décrite ici , en images >

http://www.malekal.com/Adware.Magic_Control.html

ca correspond à la première étape > "Téléchargement et installation de navilog1"

Ne lance pas d'autre option pour le moment!

 

*Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

En cas de souci >

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Clique maintenant sur J'accepte.
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

@+ et courage!! c'est bien mieux déjà

[jjjjulious]

Salut Charles,

Quand je vois mes longs listings! (Heureusement que tu es assez habitué!)

 

Ok je suis de retour. Je prend note de tout cela ... pour l'exécuter le plus vite possible et je te tiens au courant.

Disons d'ici à une heure (j'espère que Freebox ne me fera bp trop de misères !)

MERCI ET CORDIALEMENT

[jjjjulious]

PAUSE dans un MOMENT DIFFICILE :

Salut Charles,

Juste un petit problème :

Après avoir coché la ligne indiquéé 02 - BHO : (no name) -{B37D3FBE-EDDF-4C2F-A2A3-067054314F77} -(no file)

Je viens de fermer tous les programmes et de cliquer sur "Fix Checked"

et je me trouve avec Hijack This (disons "page blanche")

COMMENT faire pour le clic droit sur le Lien > navilog1 de IL-MAFIOSO ?

Je lance un nouveau Scan? et là j'aurai ce lien?

QU EST CE QUE JE FAIS J ATTENDS TA REPONSE ou bien j'essaie?

Bon à tout suite alors!

[jjjjulious]

Salut Charles,

(J'avais copié tous les consignes sur un fichier wordpad et cela explique ma confusion temporaire!)

Ok ... j'ai installé et lancé le navilog1 (de IL-MAFIOSO) et voici donc le COMPTE RENDU :

Search Navipromo version 2.0.5 commencé le 13/07/2007 à 17:15:14,04

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Jrg Julio\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

 

[+] Started on 07/13/07 at 17:15:15.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items ...................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 07/13/07 at 17:17:57 (return code = 0).

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse Terminé le 13/07/2007 à 17:18:17,14 ***

 

MAINTENANT JE M EN OCCUPE DE LANCER UN TEST PANDA EN LIGNE ...

a+ tard alors !!

[jjjjulious]

Salut CHARLES,

J'avais vu juste ... FREEBOX (V4) ET FREE (avec ses coupures à chaque moment!) m'ont

empêché de FINIR LE SCAN avec PANDA. J'ai suivi toutes les recommandations (préparer Internet

Explorer et desactiver provisoirement le bouclier web d' AVAST!)

J'ai essayé 6-7 fois et chaque fois 3-4 interruptions d'internet suffisait pour avorter la tâche.!!

(Je crois qu'avec KASPERSKY risque d'être la même chose!!).

Pour le moment la seule idée en tête : essayer plus tard, pour voir si passe!!

Je suis bien désolé mais surtour enervé pour FREE

A PLUS TARD ALORS!!

[Thanos]

salut

 

Ne t'inquiêtes pas : c'est pas grave! laisse tomber le scan en ligne, on va faire autrement >

 

* Un reste de Magic Control Agent que tu vas éliminer comme ceci >

 

Vas dans Démarrer/panneau de configuration/options internet > onglet "Contenu" puis onglet "Certificats" et élimine dans "éditeurs approuvés" >

egroup

 

* Met Ad-Aware 2007 à jour et redémarre en mode sans échec.

Fais un scan de tes disques durs et conserve le rapport s'il trouve quelque chose.

 

*Redémarre normalement et poste le rapport d'Ad-Aware 2007 + fais un scan hijackthis mais comme ceci >

 

Lance HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique sur Generate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.

 

courage! tu ne dois plus avoir de pubs normalement quand tu surfes ?

[jjjjulious]

Salut Charles,

ENFIN : j'ai pu lancer un SCANNER KASPERSKY et le voilà le compte rendu

Partie 1 /3

Saturday, July 14, 2007 1:03:12 AM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 14/07/2007

Enregistrements dans la base antivirus Kaspersky : 339770

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail

A:\

C:\

E:\

F:\

Statistiques de l'analyse

Total d'objets analysés 55231

Nombre de virus trouvés 4

Nombre d'objets infectés 7 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:04:53

 

SUIVI TOUT DE SUITE ....

[jjjjulious]

PARTIE 2 /3 (Compte Rendu du Scanner KASPERSKY )

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\Jrg Julio\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\GoogleToolbarData\googlesafebrowsing.db L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\search.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\Application Data\Mozilla\Firefox\Profiles\w02gv5wp.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Jrg Julio\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré

 

SUIVI TOUT DE SUITE DE ...

[jjjjulious]

PARTIE 3 /3 (Compte Rendu du Scanner KASPERSKY )

(On peut voir qu'il existent encore quelques "bandits à éliminer" non ? )

 

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré

C:\QooBox\Quarantine\C\WINDOWS\system32\gnoxrjnb.exe.vir Infecté : Trojan-Downloader.Win32.Tiny.id ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{D1293CD2-3E4A-458E-837F-A92DB39EF301}\RP24\A0010069.exe Infecté : Trojan-Downloader.Win32.Tiny.id ignoré

C:\System Volume Information\_restore{D1293CD2-3E4A-458E-837F-A92DB39EF301}\RP24\A0010184.exe Infecté : Trojan-Downloader.Win32.Agent.bxr ignoré

C:\System Volume Information\_restore{D1293CD2-3E4A-458E-837F-A92DB39EF301}\RP24\change.log L'objet est verrouillé ignoré

C:\System Volume Information\_restore{D1293CD2-3E4A-458E-837F-A92DB39EF301}\RP6\A0004144.exe Infecté : Backdoor.Win32.Agent.apf ignoré

C:\System Volume Information\_restore{D1293CD2-3E4A-458E-837F-A92DB39EF301}\RP8\A0004246.exe Infecté : Backdoor.Win32.Agent.apf ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\firewall.exe Infecté : Backdoor.Win32.Agobot.ajg ignoré

C:\WINDOWS\system32\flmddo.exe Infecté : Backdoor.Win32.Agent.apf ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_488.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\Perflib_Perfdata_634.dat L'objet est verrouillé ignoré

C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

Il y quelques TROJANS qui sont les plus inquietants .... Je ne sais pas si peut le supprimer

directement ?

ALORS JE SERAI EN ATTENTE DE NOUVELLES INSTRUCTIONS.

Je ne sais pas si demain tu fera plutôt la fête Non?

Alors bon fête que je serai être patient!

MERCI ENCORE ET CORDIALEMENT

[Thanos]

bien il reste quelques fichiers à éliminer comme tu as pu le voir! >

 

Elimine ces deux fichiers >

 

C:\WINDOWS\system32\firewall.exe

C:\WINDOWS\system32\flmddo.exe

 

Poste stp un rapport hijackthis comme demandé plus haut >

Lance HijackThis.

Clique sur Open Misc Tools Section

Assure toi que les deux cases de droite sont bien cochées:

* List all minor sections(Full)

* List Empty Sections(Complete)

Clique sur Generate StartupList Log

Click sur "oui" lorsque l'on te le demande.

Cela va générer un rapport,copie le et poste le ici.