Help : Pubs intempestives avec Firefox 2.0

TAM38 · le 15 juillet 2007

Bonjour,

J'ai depuis quelques temps des publicités intempestives qui s'affiche alors que je navigue sous Firefox 2.0, et malgré la mise en oeuvre de Viruscan, Spybot + tea timer, AB Plus et des analyses régulières ADAware...

J'ai suivi votre procédure (Avtivir en mode sans échec, HijackThis 2.0.2) et voici le rapport de ce dernier. Pouvez-vous me dire ce qui cloche SVP ?

D'avance, Merci !

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:21:07, on 15/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

P:\Program Files\SSC Service Utility\ssc_serv.exe

P:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

P:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

P:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

P:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

P:\Program Files\OpenOffice.org 2.0\program\soffice.exe

P:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

P:\Program Files\Skype\Plugin Manager\SkypePM.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Network Associates\VirusScan\MCUPDATE.EXE

C:\Program Files\Network Associates\Common Framework\McScript_InUse.exe

P:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F3 - REG:win.ini: run=

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - P:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [CloneCDTray] "P:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sSC Service Utility] P:\Program Files\SSC Service Utility\ssc_serv.exe /s

O4 - HKLM\..\Run: [zBrowser Launcher] P:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [update] P:\Program Files\AntiVir PersonalEdition Classic\preupd.exe /CALLSCHEDULER /DM="0" /CALLSCHEDULER

O4 - HKCU\..\Run: [skype] "P:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] P:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Startup: OpenOffice.org 2.2.lnk = P:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe

O4 - Global Startup: Logiciel Kodak EasyShare.lnk = P:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe

O8 - Extra context menu item: Analyser avec LeechGet - file://P:\Program Files\LeechGet 2005\\Parser.html

O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://P:\Program Files\LeechGet 2005\\Wizard.html

O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://P:\Program Files\LeechGet 2005\\AddUrl.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1129052508174

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1150833113806

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{99D6ACE7-CBB8-4814-93D1-AD050A3A04E4}: NameServer = 217.19.192.132,218.19.192.131

O17 - HKLM\System\CCS\Services\Tcpip\..\{FE0E51FE-5AE0-4AD8-BE8B-CCD35055374C}: NameServer = 217.19.192.132,217.19.192.131

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Service Framework McAfee (McAfeeFramework) - McAfee, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: System Commander 7 MBR check (WinMBR) - Unknown owner - E:\SC\WINMBR.EXE (file missing)

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--

End of file - 9384 bytes

chrifleur · le 15 juillet 2007

Bonjour et bienvenue sur notre forum,

Nous te remercions de la confiance que tu nous accordes.

Dans un premier temps, je voudrais te faire part de quelques petites remarques...

Un pare-feu protège contre les entrées et les sorties nuisibles sur un PC.

En possèdes-tu un? Lequel, s'il te plait? celui de XP?

Vérifie qu'il est bien activé dans le centre de sécurité (démarrer/panneau de configuration/centre de sécurité).

Maintenant tu vas faire ceci

Clique sur ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Clique sur navilog1.zip pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le blocnote va s'ouvrir.

Copie-colle l'intégralité dans une réponse. Referme le blocnote.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

TAM38 · le 22 juillet 2007

Bonjour et bienvenue sur notre forum,
Nous te remercions de la confiance que tu nous accordes.

Dans un premier temps, je voudrais te faire part de quelques petites remarques...

Un pare-feu protège contre les entrées et les sorties nuisibles sur un PC.

En possèdes-tu un? Lequel, s'il te plait? celui de XP?

Vérifie qu'il est bien activé dans le centre de sécurité (démarrer/panneau de configuration/centre de sécurité).

Maintenant tu vas faire ceci

Clique sur ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Clique sur navilog1.zip pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le blocnote va s'ouvrir.

Copie-colle l'intégralité dans une réponse. Referme le blocnote.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

Bonjour,

Merci à vous pour consacrer du temps à mes problèmes et désolé pour ma réponse tardive. Voici le rapport de Navilog que je viens d'exécuter :

Search Navipromo version 2.0.5 commencé le 22/07/2007 à 10:25:17,11

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

WebMediaPlayer

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Eric\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\qaephazpmg.dat

C:\windows\system32\qaephazpmg.exe

c:\WINDOWS\system32\qaephazpmg_nav.dat

c:\WINDOWS\system32\qaephazpmg_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\qaephazpmg.exe

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1064.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1065.dll

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

C:\WINDOWS\system32\qaephazpmg.dat trouvé !

**

C:\WINDOWS\system32\qaephazpmg.dat trouvé !

***

****

*****

******

*******

********

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse Terminé le 22/07/2007 à 10:30:21,69 ***

Il semble qu'il y ait des choses louches dont le programme qaephazpmg.exe qui me génère des tonnes d'alertes spybot, au point que je me suis résigné, pour l'instant, à le laisser faire.

Curieusement je ne vois aucune trace de ces fichiers sous c:\WINDOWS\system32\ alors que je suis administrateur local et que j'ai toutes les options activées pour voir les fichiers cachés, etc... sorcellerie ou magie noire ?

A bientôt et encore merci

Eric

TAM38 · le 22 juillet 2007

Bonjour,

Merci à vous pour consacrer du temps à mes problèmes et désolé pour ma réponse tardive. Voici le rapport de Navilog que je viens d'exécuter :

Search Navipromo version 2.0.5 commencé le 22/07/2007 à 10:25:17,11

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

WebMediaPlayer

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Eric\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\qaephazpmg.dat

C:\windows\system32\qaephazpmg.exe

c:\WINDOWS\system32\qaephazpmg_nav.dat

c:\WINDOWS\system32\qaephazpmg_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\qaephazpmg.exe

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1064.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1065.dll

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

*

C:\WINDOWS\system32\qaephazpmg.dat trouvé !

**

C:\WINDOWS\system32\qaephazpmg.dat trouvé !

***

****

*****

******

*******

********

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse Terminé le 22/07/2007 à 10:30:21,69 ***

Il semble qu'il y ait des choses louches dont le programme qaephazpmg.exe qui me génère des tonnes d'alertes spybot, au point que je me suis résigné, pour l'instant, à le laisser faire.

Curieusement je ne vois aucune trace de ces fichiers sous c:\WINDOWS\system32\ alors que je suis administrateur local et que j'ai toutes les options activées pour voir les fichiers cachés, etc... sorcellerie ou magie noire ?

A bientôt et encore merci

Eric

Dans mon élan, j'ai oublié de répondre aux questions sur le firewall : oui, j'ai bien le firewall XP d'activé sur ma carte réseau, et je suis, depuis hier, derrière une NeufBox4. J'ai exécuté le test de sécurité en ligne sur Zebulon.fr, il n'a détecté aucune faille.

Cordialement

Eric

chrifleur · le 22 juillet 2007

Il semble qu'il y ait des choses louches dont  le programme qaephazpmg.exe qui me génère des tonnes d'alertes spybot,  au point que je me suis résigné, pour l'instant, à le laisser faire.

ceci va être supprimé par Navilog!! infection Navipromo, edgaccess etc..

WebMediaPlayer

source et une des causes de ton infection

Malwares qui installent navipromo et instant access

Go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
Internet GameBox
Sudoplanet

Maintenant on nettoie!

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC

Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :

*** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.

Sauvegarde le rapport de manière à le retrouver

Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Fermez Internet explorer puis Démarrer/panneau de configuration/options Internet

- onglet "Contenu" puis onglet "Certificats" et si vous trouvez ceci, en particulier dans « éditeurs approuvés » :

electronic-group

egroup

Montorgueil

VIP

"Sunny Day Design Ltd"

poste moi les rapports obtenus avec un nouvel HijackThis

Modifié le 22 juillet 2007 par chrifleur

TAM38 · le 23 juillet 2007

Il semble qu'il y ait des choses louches dont  le programme qaephazpmg.exe qui me génère des tonnes d'alertes spybot,  au point que je me suis résigné, pour l'instant, à le laisser faire.
ceci va être supprimé par Navilog!! infection Navipromo, edgaccess etc..
WebMediaPlayer
source et une des causes de ton infection

Malwares qui installent navipromo et instant access

Go-astro

GoRecord

HotTVPlayer

MailSkinner

Messenger Skinner

Instant Access

Internet GameBox

Sudoplanet

Maintenant on nettoie!

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC

Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :

*** Nettoyage Termine le ..... ***

Le blocnote va s'ouvrir.

Sauvegarde le rapport de manière à le retrouver

Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Fermez Internet explorer puis Démarrer/panneau de configuration/options Internet

- onglet "Contenu" puis onglet "Certificats" et si vous trouvez ceci, en particulier dans « éditeurs approuvés » :

electronic-group

egroup

Montorgueil

VIP

"Sunny Day Design Ltd"

poste moi les rapports obtenus avec un nouvel HijackThis

Bonjour,

J'ai réalisé le nettoyage, en voici le rapport :

Clean Navipromo version 2.0.5 commencé le 23/07/2007 à 18:53:08,94

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight

*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

*** Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\qaephazpmg.dat supprimé !

C:\windows\system32\qaephazpmg.exe supprimé !

c:\WINDOWS\system32\qaephazpmg_nav.dat supprimé !

c:\WINDOWS\system32\qaephazpmg_navps.dat supprimé !

** 2ème passage **

C:\WINDOWS\system32\qaephazpmg.exe absent !

C:\WINDOWS\system32\qaephazpmg.dat absent !

C:\WINDOWS\system32\qaephazpmg_nav.dat absent !

C:\WINDOWS\system32\qaephazpmg_navps.dat absent !

C:\WINDOWS\system32\qaephazpmg_navup.dat absent !

C:\WINDOWS\system32\qaephazpmg_navtmp.dat absent !

C:\WINDOWS\system32\qaephazpmg_m2s.xml absent !

C:\WINDOWS\prefetch\qaephazpmg*.pf absent !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression...

C:\Program Files\WebMediaPlayer supprimé !

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Eric\Application Data ***

*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Eric\Local Settings\Temp effectué !

*** Sauvegarde du registre vers dossier Backupnavi***

sauvegarde du registre réalise avec succes !

*** Nettoyage registre ***

Nettoyage registre Ok

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche et Suppression Heuristique :

*

**

***

****

*****

******

*******

********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 23/07/2007 à 18:57:27,80 ***

Mais il reste un certificat de "Sunny Day Design Ltd". J'ai relancé une analyse HiJack dont voici le compte-rendu :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:08:53, on 23/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

P:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html