rapoort hijackthis PC3

[wong]

RE killius,

 

 

WinAntiVirus Pro 2006 est un rogue ( faux anti-spyware ).

 

 

Il est toujours là car il doit être réinstallé par une tâche planifiée.

 

 

On va s'en occuper après l'infection Lop.

 

 

Cordialement

[killius]

Ok wrong alors j'ai un autre problème j'utilise bit defender est ce que je peut instalé antivir j'ai vu que 2 antivirus cetai po bon

[wong]

Bonjour killius,

 

Oui tu peux installer Antivir car il faut le passer en mode sans échec.

 

En mode sans échec, BitDefender n'est pas actif.

 

Si pendant le téléchargement tu as un problème, désactive la protection en temps réel de BitDefender :

• Clique droit sur l'icone rouge dans la barre de lancement rapide.
  
• Dans le menu déroulant, passe le pointeur de ta souris sur Antivirus.
  
• Dans le menu qui s'ouvre Clique sur protection en temps réel activée pour la désactiver.
  

Je te fais passer Antivir qui a une puissante base de donnée pour lop et Cidhelp

 

Cordialement

[killius]

salut wrong,

 

 

AntiVir PersonalEdition Classic

Report file date: mercredi 22 août 2007 14:12

 

Scanning for 740715 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: aurelie

Computer name: Aurélie

 

Version information:

BUILD.DAT : 248 14437 Bytes 31/05/2007 16:59:00

AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14

AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54

LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04

LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59

ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58

ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23/02/2007 13:09:01

ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 12/04/2007 13:09:02

ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16/04/2007 13:09:02

AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 13/04/2007 13:04:24

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.3.0.8 360488 Bytes 27/03/2007 07:48:28

AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08

AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05

AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18

RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: D:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: I:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: mercredi 22 août 2007 14:12

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

12 processes with 12 modules were scanned

 

Start scanning boot sectors:

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'F:\'

[NOTE] In the drive 'F:\' no data medium is inserted!

Boot sector 'G:\'

[NOTE] In the drive 'G:\' no data medium is inserted!

Boot sector 'H:\'

[NOTE] In the drive 'H:\' no data medium is inserted!

Boot sector 'I:\'

[NOTE] In the drive 'I:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( '41' files ).

 

 

Starting the file scan:

 

Begin scan in 'A:\'

Search path A:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'C:\' <HDD>

C:\pagefile.sys

[WARNING] The file could not be opened!

Begin scan in 'D:\' <DATA>

Begin scan in 'E:\'

Search path E:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'F:\'

Search path F:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'G:\'

Search path G:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'H:\'

Search path H:\ could not be opened!

Le périphérique n'est pas prêt.

 

Begin scan in 'I:\'

Search path I:\ could not be opened!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: mercredi 22 août 2007 17:45

Used time: 3:32:34 min

 

The scan has been done completely.

 

7679 Scanning directories

302955 Files were scanned

0 viruses and/or unwanted programs were found

0 classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

302955 Files not concerned

7453 Archives were scanned

1 Warnings

0 Notes

0 Hidden objects were found

[wong]

Bonsoir killius,

 

Antivir n'est pas à jour :

BUILD.DAT : 248 14437 Bytes 31/05/2007 16:59:00

ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16/04/2007 13:09:02

 

Et, mal configuré :

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

File heuristic...................: medium

 

Voila ce que tu devrais avoir :

Search for rootkits..............: on

Scan all files...................: All files

 

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Essaye de bien le configurer pour la suite. On essayer autrement :

 

 

Télécharge Navilog1 ( de IL-MAFIOSO et lazzzi ) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip

• Place Navilog1.zip sur le bureau, puis fais un clic droit : Extraire tout ou Extraire ici afin de décompresser les fichiers.
  
• Double-cliquez sur le fichier Navilog1.bat ( il se peut que ".bat" n'apparaisse pas et que tu n'ais que Navilog1 ).
  
• Ferme toutes les fenêtres y compris celle de ton navigateur
  
• Une fenêtre noire va s'ouvrir.
  
• Appuie sur une touche pour passer à l'étape suivante.
  
• Appuie sur une touche pour passer à l'étape suivante.
  
• L'étape suivante va vérifier que tu as bien décompressé l'archive. Si ce n'est pas le cas, l'exécution va se terminer ici.
  
• Vérifie que tu as bien décompressé Navilog1.zip ENTIEREMENT sur ton bureau.
  
• Appuie sur une touche pour passer à l'étape suivante.
  
• Choisis l'Option 1, pour cela, tape sur la touche 1 de ton clavier, puis appuie sur la touche Entrée du clavier.
  
• La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes (de 5 à 10min), sois patient et ne touche à rien.
  
• Le rapport fixnavi.txt s'ouvre alors..
  
• Si ce dernier ne s'ouvre pas : Ouvre le Poste de travail puis Disque C: et enfin double-clique sur fixnavi.txt
  
• Copie/colle le contenu complet de ce rapport dans ta prochaine réponse
  

Copie/Colle un nouveau rapport HijackThis dans ta prochaine réponse

 

@ +

[killius]

Salut wrong, tu pourais m'expliquez comment bien configurer anti-vir merci

[wong]

Bonjour killius,

 

Tu as raison de poser des questions, et j'essaye toujours d'y répondre.

 

Pour ta demande sur la configuration d'Antivir tu as la réponse dans mon message #19

C'est le même lien que celui indiqué dans la procédure de Pré-Nettoyage d'un PC infecté de ce forum.

 

Antivir devrait te debarrasser de Lop - CidHelp et MessingerSkinner.

Ensuite on passera à la désinstallation, et aux suppressions de fichiers/dossiers.

 

Fais un effort pour réaliser la procédure calmement.

 

Cordialement

[killius]

Salut wrong

 

Search Navipromo version 2.0.9 commencé le 30/08/2007 à 21:01:14,76

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

C:\Program Files\MessengerSkinner trouvé !

 

 

*** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans D:\Documents and Settings\aurelie\Application Data ***

 

 

...\Application Data\MessengerSkinner trouvé !

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\mgohobie.dat

C:\windows\system32\mgohobie.exe

c:\WINDOWS\system32\mgohobie_nav.dat

c:\WINDOWS\system32\mgohobie_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\mgohobie.exe

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés :

 

Aucun Fichier trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\dpeerbvqe.dat trouvé !

C:\WINDOWS\system32\mgohobie.dat trouvé !

**

C:\WINDOWS\system32\dpeerbvqe.dat trouvé !

C:\WINDOWS\system32\mgohobie.dat trouvé !

***

****

C:\WINDOWS\system32\mgohobie_navps.dat trouvé !

*****

******

*******

********

C:\WINDOWS\system32\amzprokl.exe trouvé !

C:\WINDOWS\system32\gvnblpmdu.exe trouvé !

C:\WINDOWS\system32\lpgtiy.exe trouvé !

C:\WINDOWS\system32\lvkqaj.exe trouvé !

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse Terminé le 30/08/2007 à 21:10:57,34 ***

[wong]

Bonsoir killius

 

Redémarre en mode sans échec

 

Lance Navilog1

• Ferme toutes les fenêtres y compris votre navigateur
  
• Double clique sur le raccourci navilog1 sur ton bureau.
  
• Une fenêtre noire va s'ouvrir.
  
• Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.
  
• Dans la fenêtre de choix qui s'ouvre : Choisis l'option 2 ( Désinfection automatique avec prise en charge des résultats de Blacklight ), pour celà Tape sur la touche 2 de ton clavier et Valide en appuyant sur Entrée
  
• Laisse le fix faire son travail cela peut durer un certain temps.
  
• Ton bureau va disparaître, c'est normal !
  
• Patiente jusqu'à l'apparition de ce message : "*** Nettoyage Termine le ..... ***"
  
• Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  
• Sauvegarde le rapport de manière à le retrouver en mode normal ( sur ton bureau par exemple ).
  
• Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
  
• Redémarre normalement.
  
• Copie/Colle ce rapport dans ta prochaine réponse
  

NOTE :

Le rapport se trouve également ici : C\cleannavi.txt

 

Si ton Bureau ne réapparaît pas, fais ceci :

• Clique simultanément sur Ctrl + Alt + Suppr : le Gestionnaire de tâches va s'ouvrir.
  
• Dans la barre des menus, Clique sur Fichier, et dans le menu déroulant Clique sur Nouvelle tâche ( Exécuter.. )
  
• Dns la fenêtre qui s'ouvre, Tape Explorer puis valide.
  

 

Suppression des certificats

• Cliques sur Démarrer
  
• Cliques sur Panneau de configuration
  
• Cliques sur Options internet
  
• Cliques sur Onglet "Contenu"
  
• Cliques sur Onglet "Certificats"
  
• Si tu trouves ceci, en particulier dans "éditeurs approuvés":
  
  
• electronic-group
  
• egroup
  
• Montorgueil
  
• VIP
  
• Sunny Day Design Ltd
  
  
• Supprimes les
  

 

 

Essaye stp de mettre à jour et de bien configurer Antivir ( comme indiqué au-dessus ) afin de faire un scan en mode sans échec pour commencer à traiter Lop.com.

 

J'attends ton rapport Navilog1.

 

Cordialement.