PC atteint du cancer...

[Mia27]

Bonsoir et merci de bien vouloir m'aider.

 

J'ai le Pc d'une amie qui souffre.

 

Des pop-ups de toute sorte et le pc est ralentit considérablement.

 

Des idées?

 

Merci encore.

[kevin76]

Bonjour Mia27

 

Fais un clic droit sur ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

 

Laisse-toi guider. Au menu principal, choisis 1 et valides.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

 

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le blocnote va s'ouvrir.

Copie-colle l'intégralité dans une réponse. Referme le blocnote.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

 

 

@+

[Mia27]

Tout d'abords..Merci Kevin 76 de m'aider,

 

Voila le rapport:

 

 

Search Navipromo version 2.0.5 commencé le 2007-07-09 à 19:21:57,70

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Owner\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

 

[+] Started on 07/09/07 at 19:22:00.

[+] Initializing ...

[+] Starting scan, press Ctrl-C to abort.

[+] Scanning for hidden items .....................................................

[+] Scan complete.

[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.

[+] Exited on 07/09/07 at 19:26:39 (return code = 0).

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

C:\WINDOWS\system32\qqtwa.bak1 trouvé ! infection Vundo possible non traité par cet outil !

 

2)Recherche Heuristique :

*

**

***

****

*****

******

*******

********

C:\WINDOWS\system32\kvdeuyev.exe trouvé !

 

3)Recherche Certificats :

 

 

*** Analyse Terminé le 2007-07-09 à 19:27:04,31 ***

[kevin76]

bonjour Mia27

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

[Mia27]

Merci Kevin 76

 

Voila le rapport:

 

 

VundoFix V6.5.4

 

Checking Java version...

 

Java version is 1.5.0.9

Old versions of java are exploitable and should be removed.

 

Scan started at 20:45:26 2007-07-09

 

Listing files found while scanning....

 

C:\windows\system32\awtqq.dll

C:\WINDOWS\system32\cbxxyvt.dll

C:\WINDOWS\system32\jimaidtg.dll

C:\windows\system32\lupmgyyw.ini

C:\WINDOWS\system32\qqtwa.bak1

C:\windows\system32\qqtwa.ini

C:\WINDOWS\system32\wyygmpul.dll

 

Beginning removal...

 

Attempting to delete C:\windows\system32\awtqq.dll

C:\windows\system32\awtqq.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\cbxxyvt.dll

C:\WINDOWS\system32\cbxxyvt.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\jimaidtg.dll

C:\WINDOWS\system32\jimaidtg.dll Has been deleted!

 

Attempting to delete C:\windows\system32\lupmgyyw.ini

C:\windows\system32\lupmgyyw.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\qqtwa.bak1

C:\WINDOWS\system32\qqtwa.bak1 Has been deleted!

 

Attempting to delete C:\windows\system32\qqtwa.ini

C:\windows\system32\qqtwa.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\wyygmpul.dll

C:\WINDOWS\system32\wyygmpul.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.4

 

Checking Java version...

 

Java version is 1.5.0.9

Old versions of java are exploitable and should be removed.

 

Scan started at 21:01:39 2007-07-09

 

Listing files found while scanning....

 

No infected files were found.

[kevin76]

Bonjour Mia27,

 

As-tu toujours ton problème de pop-up ?

 

Afin de continuer la désinfection de ton système, applique la procédure de pré-nettoyage de Megataupe http://forum.zebulon.fr/index.php?showtopic=83986

Prends soin de bien l'appliquer, notamment la configuration d'Antivir, ceci est une étape très importante !

 

Puis poste le log Hijackthis demandé dans la procédure ainsi que celui d'Antivir.

@+

[Mia27]

Salut Kevin 76

 

Voici les rapports:

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 17:59:46, on 2007-07-11

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Fichiers communs\New Boundary\PrismXL\PRISMXL.SYS

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Documents and Settings\Owner\Bureau\Vundo.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.fr.msn.ca/0SEFRCA/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://sympatico.msn.ca/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)

O2 - BHO: (no name) - {671EFCB5-C8EF-4F78-BA62-12820A0C4E67} - C:\WINDOWS\system32\awtqq.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr-ca\msntb.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr-ca\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [update] C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Fichiers communs\New Boundary\PrismXL\PRISMXL.SYS

 

 

 

 

 

 

AntiVir PersonalEdition Classic

Report file date: 11 juillet 2007 12:52

 

Scanning for 740715 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Owner

Computer name: YOUR-8C12A8809C

 

Version information:

BUILD.DAT : 248 14437 Bytes 2007-05-31 16:59:00

AVSCAN.EXE : 7.0.4.15 282664 Bytes 2007-04-20 17:37:14

AVSCAN.DLL : 7.0.4.4 33832 Bytes 2007-03-27 17:31:54

LUKE.DLL : 7.0.4.11 143400 Bytes 2007-03-27 17:26:04

LUKERES.DLL : 7.0.4.0 10280 Bytes 2007-03-19 17:18:59

ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 2006-05-31 19:08:58

ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 2007-02-23 19:09:01

ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 2007-04-12 19:09:02

ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 2007-04-16 19:09:02

AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 2007-04-13 19:04:24

AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 15:36:26

AVPREF.DLL : 7.0.2.1 24616 Bytes 2007-03-27 17:31:50

AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 18:16:24

AVPACK32.DLL : 7.3.0.8 360488 Bytes 2007-03-27 13:48:28

AVREG.DLL : 7.0.1.2 31784 Bytes 2007-03-15 14:05:08

AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 2007-03-27 17:16:05

AVARKT.DLL : 1.0.0.17 278568 Bytes 2007-05-02 16:32:26

NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 16:09:42

RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 2007-03-13 15:46:18

RCTEXT.DLL : 7.0.45.0 86056 Bytes 2007-03-19 17:42:42

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: delete

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: D:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: 11 juillet 2007 12:52

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

11 processes with 11 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[NOTE] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '10' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\'

 

 

End of the scan: 11 juillet 2007 13:41

Used time: 48:14 min

 

The scan has been done completely.

 

5153 Scanning directories

211405 Files were scanned

0 viruses and/or unwanted programs were found

0 classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

211405 Files not concerned

7546 Archives were scanned

1 Warnings

0 Notes

0 Hidden objects were found

[Apollo]

Bonsoir Mia27

 

En attendant que le grand chef revienne voir tes rapports , tu peux faire ceci:

 

Mets ta console Java à jour: http://www.filehippo.com/download_java_runtime/

 

Désinstalle toute version antérieure à la 1.6.02; question de sécurité et de place sur le disque dur.

 

Bonne nuit à toi

[Apollo]

Mia,

 

Pour ton amie et ses problèmes de popup ouvre un nouveau sujet STP.

 

Merci; poste son log hijackthis.

[Apollo]

OK mia,

 

Ouvre un sujet pour ton amie avecc ceci:

 

) Télécharge et lance DiagHelp comme montré dans ce tutoriel> http://www.malekal.com/DiagHelp/DiagHelp.php

Ne lance que l'option 1 et poste le rapport stp. Attention: n'oublie pas d'appuyer sur une touche lorsque cela te sera demandé à la fin du rapport Catchme.

 

2) Enregistre cet outil sur ton bureau > navilog1 de IL-MAFIOSO

 

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :

***Analyse termine le .....***

 

Appuie sur une touche comme demandé, le bloc note va s'ouvrir.

Copie-colle l'intégralité dans une réponse. Referme le bloc note.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

La procédure est décrite ici , en images >

http://www.malekal.com/Adware.Magic_Control.html

ca correspond à la première étape > "Téléchargement et installation de navilog1"

Ne lance pas d'autre option pour le moment!

 

 

Désolé pour <Kévin de marcher sur se plates bandes.