Infecté par Webmédiaplayer

[danieldes]

Bonjour,

 

J'ai été infecté suite à l'installation de webmediaplayer. J'ai supprimé depuis ce logiciel et j'ai fait un première passe avec Antivir. Mais les fenêtres intempestives sont toujours là, en plus planté systématique en sortie d'Outlook Express plus quelques autres bizarreries

 

 

Je suis sous xp sp2 (IE7 & Firefox)

 

Ci-dessous mon rapport HijackThis et à la suite, celui de Navilog1

 

 

Pouvez-vous m'aider ?

 

Merci d'avance.

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 19:05:19, on 05/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\vpnneo.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\svcl32\svcl32.exe

C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe

C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HHH.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.copernic.com/explorer17/?l=FRA&e=

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-8FB0-B921F5DBF922} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sysVContoller32] C:\WINDOWS\system32\svcl32\svcl32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [mRouterConfig] "C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe"

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour.fr/

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - http://site.ebrary.com/lib/clf/support/plugins/ebraryRdr.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {13510606-30FA-11D2-B383-444553540000} (WebClient Class) - http://195.6.93.177/ommaxie.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Virtual Com Port Service (vpnneoSvc) - NetScreen - C:\WINDOWS\System32\vpnneo.exe

 

 

_________________________________________________________________________________

 

Et pour Navilog1 :

 

 

Search Navipromo version 2.0.9 commencé le 05/09/2007 à 19:32:03,81

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Patricia et Daniel\Application Data ***

 

 

...\Application Data\MessengerSkinner trouvé !

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

 

F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR

======================================

 

Copyright 2005-2006 F-Secure Corporation. All rights reserved.

This is a beta version. It will expire on 1st of October, 2007.

Version information: 2.2.1064.

 

[+] Started on 09/05/07 at 19:32:05.

[-] ERROR: F-Secure BlackLight could not acquire debug privileges.

[+] Exited on 09/05/07 at 19:32:05 (return code = 3).

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés :

 

C:\WINDOWS\system32\utsrfgfesr.exe trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\dheieafbrv.dat trouvé !

C:\WINDOWS\system32\utsrfgfesr.dat trouvé !

**

C:\WINDOWS\system32\dheieafbrv.dat trouvé !

C:\WINDOWS\system32\utsrfgfesr.dat trouvé !

***

****

C:\WINDOWS\system32\dheieafbrv_navps.dat trouvé !

C:\WINDOWS\system32\utsrfgfesr_navps.dat trouvé !

*****

C:\WINDOWS\system32\dheieafbrv_nav.dat trouvé !

C:\WINDOWS\system32\utsrfgfesr_nav.dat trouvé !

******

*******

********

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse Terminé le 05/09/2007 à 19:32:28,35 ***

Modifié le 5 septembre 2007 par danieldes

[Lien Rag]

Bonsoir

 

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

Au menu principal, choisis 2 et valide.

 

Le fix va t'informer qu'il va alors redémarrer ton PC

Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

Appuie sur une touche comme demandé.

(si ton Pc ne redémarre pas automatiquement, fais le toi même)

Au redémarrage de ton PC, choisis ta session habituelle.

 

Patiente jusqu'au message :

"*** Nettoyage Termine le ..... ***"

Le bloc-notes va s'ouvrir.

Sauvegarde le rapport de manière à le retrouver

Referme le bloc-notes. Ton bureau va réapparaitre

 

Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

 

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

 

=> Supprime-les tous

 

Post le rapport cleannavi sauvegardé auparavant.

 

NOTES :

[*] Le rapport se trouve également ici : %root%\cleannavi.txt

[*]Si ton Bureau ne réapparaît pas, fais ceci :

-> Clique simultanément sur Ctrl + Alt + Suppr.

Clique sur l'onglet Fichier puis choisis Nouvelle tâche.

Tape Explorer puis valide.

-> Choisis Exécuter..., tape Explorer puis valide.

Modifié le 5 septembre 2007 par Lien Rag

[danieldes]

Re-bonjour et surtout merci... pour le moment je ne vois plus les fenêtres de pub

 

Ca me paraît donc pas mal du tout comme remise en état.

 

Ci-dessous, mon compte-rendu Navilog.

 

J'ai regardé pour les certificats. Il n'y avait rien d'annoncé mais j'ai quand même fait un sérieux ménage, au cas où.

 

 

 

 

Les seules choses qui m'embêtaient un peu tout à l'heure :

 

1°)

 

[+] Started on 09/05/07 at 19:32:05.

[-] ERROR: F-Secure BlackLight could not acquire debug privileges.

[+] Exited on 09/05/07 at 19:32:05 (return code = 3).

 

Je me demandais pourquoi, dans mon cas, F-Secure BlackLight n'avait pas pu travailler normalement, alors que j'ai les droits administrateur sur mon user.

 

 

2°)

 

Et puis sinon j'ai toujours un planté systématique dans msimn.exe (problème read mémoire en 0x76c441b1) lors de la sortie d'Outlook Express. Et l'apparition de ce planté coïncide avec le début de mes problèmes de fenêtre intempestive.

 

Mais ça a peut-être rien à voir...

 

 

 

 

Enfin, bon, tout ceci n'est pas très grave, du moment qu'il n'y a plus les pubs.

 

Merci beaucoup

 

 

 

_____________________________

 

 

 

Clean Navipromo version 2.0.9 commencé le 05/09/2007 à 22:36:37,57

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

 

Mode suppression automatique avec prise en charge résultats Blacklight

 

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

Fichiers trouvés supprimés avec backups :

 

C:\WINDOWS\System32\utsrfgfesr.exe trouvé !

Copie C:\WINDOWS\system32\utsrfgfesr.exe réalise avec succes !

C:\WINDOWS\system32\utsrfgfesr.exe supprimé !

 

C:\WINDOWS\System32\utsrfgfesr.dat trouvé !

Copie C:\WINDOWS\system32\utsrfgfesr.dat réalise avec succes !

C:\WINDOWS\system32\utsrfgfesr.dat supprimé !

 

C:\WINDOWS\System32\utsrfgfesr_nav.dat trouvé !

Copie C:\WINDOWS\system32\utsrfgfesr_nav.dat réalise avec succes !

C:\WINDOWS\system32\utsrfgfesr_nav.dat supprimé !

 

C:\WINDOWS\System32\utsrfgfesr_navps.dat trouvé !

Copie C:\WINDOWS\system32\utsrfgfesr_navps.dat réalise avec succes !

C:\WINDOWS\system32\utsrfgfesr_navps.dat supprimé !

 

C:\WINDOWS\prefetch\utsrfgfesr*.pf trouvé !

Copie C:\WINDOWS\prefetch\utsrfgfesr*.pf réalise avec succes !

C:\WINDOWS\prefetch\utsrfgfesr*.pf supprimé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Patricia et Daniel\Application Data ***

 

...\Application Data\MessengerSkinner ...suppression...

...\Application Data\MessengerSkinner supprimé !

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Patricia et Daniel\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

C:\WINDOWS\System32\dheieafbrv.dat trouvé !

Copie C:\WINDOWS\system32\dheieafbrv.dat réalise avec succes !

C:\WINDOWS\system32\dheieafbrv.dat supprimé !

 

**

***

****

C:\WINDOWS\System32\dheieafbrv_navps.dat trouvé !

Copie C:\WINDOWS\system32\dheieafbrv_navps.dat réalise avec succes !

C:\WINDOWS\system32\dheieafbrv_navps.dat supprimé !

 

*****

C:\WINDOWS\System32\dheieafbrv_nav.dat trouvé !

Copie C:\WINDOWS\system32\dheieafbrv_nav.dat réalise avec succes !

C:\WINDOWS\system32\dheieafbrv_nav.dat supprimé !

 

******

*******

********

 

3)Certificats :

 

Certificat Egroup supprimé !

 

*** Sauvegarde du registre vers dossier Backupnavi ***

 

sauvegarde du registre réalise avec succes !

 

 

*** Nettoyage registre ***

 

Nettoyage registre Ok

 

 

*** Nettoyage termine le 05/09/2007 à 22:40:41,89 ***

[Lien Rag]

Fais aussi ceci stp

 

scan panda en ligne

 

préalablement , desactive antivirus actuel

 

Une fois sur le site Panda

décoche la case "me tenir au courant des dernières nouvelles ..." avant de lancer le scan, pour ne pas reçevoir de mails de leur part.

accepte de renseigner les champs, effectue le scan , poste le rapport de scan dans prochain message

 

details Panda use:

"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup

[danieldes]

Ca a été un peu long, parce que pas mal d'objets...

 

Mais voici le compte-rendu de Panda !

 

Il y a quelques petits trucs qui traînent (surtout les derniers) :

 

Que faut-il faire ?

 

 

 

 

 

Incident Statut Analyse

 

Adware:adware/ncase No Désinfecté c:\windows\didduid.ini

Adware:adware/savenow No Désinfecté Registre Windows

Adware:adware/webhancer No Désinfecté Registre Windows

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Internet\Cookies\internet@xiti[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Patricia et Daniel\Application Data\Mozilla\Firefox\Profiles\vkh1yqkk.default\cookies.txt[.xiti.com/]

Spyware:Cookie/Atwola No Désinfecté C:\Documents and Settings\Patricia et Daniel\Application Data\Mozilla\Profiles\default\75sjpjes.slt\cookies.txt[.atwola.com/]

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Patricia et Daniel\Application Data\Mozilla\Profiles\default\75sjpjes.slt\cookies.txt[.xiti.com/]

Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@advertising[1].txt

Spyware:Cookie/Adviva No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@adviva[2].txt

Spyware:Cookie/Apmebf No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@apmebf[2].txt

Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@bluestreak[2].txt

Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@doubleclick[1].txt

Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@mediaplex[1].txt

Spyware:Cookie/Overture No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@overture[1].txt

Spyware:Cookie/Smartadserver No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@smartadserver[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@tradedoubler[1].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Patricia et Daniel\Cookies\patricia_et_daniel@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\Program Files\Navilog1\Process.exe

Virus:Generic Malware No Désinfecté C:\WINDOWS\Downloaded Installations\{38B83FD2-06C3-44C3-A7DB-0B4653FB6BDF}\NMapWin.msi[unk_0052][nmapserv.exe]

Hacktool:Hacktool/NMap No Désinfecté C:\WINDOWS\Downloaded Installations\{38B83FD2-06C3-44C3-A7DB-0B4653FB6BDF}\NMapWin.msi[unk_0052][CCGNU32.dll1]