[résolu] Encore un rapport HijakThis

[mumu_sw]

Désolé j'ai bêtement essayé d'installer messenger skinner.

J'ai des fenêtres intempestives qui s'ouvrent sous Firefox et ni mon antivirus (AVG) ni Ad-Aware et Spybot S&D ne peuvent l'enlever.

 

Scan effectué après la procédure décrite en post-it.

 

Merci d'avance

 

--------------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 23:07:11, on 13/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\acer\epm\epm-dm.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Acer\eManager\anbmServ.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmail.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.fr/s/v/17.16/uploader2.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1180714757218

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Modifié le 21 septembre 2007 par mumu_sw

[wong]

Bonjour mumu sw et bienvenue,

 

 

Télécharge Navilog1 ( de IL-MAFIOSO et lazzzi ) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

• Enregistre la cible ( du lien ) sous... et enregistre-le sur ton bureau.
  
• Ferme toutes les fenêtres y compris celle de ton navigateur.
  
• Double-clique sur le fichier Navilog1.exe ( il se peut que ".exe" n'apparaisse pas et que tu n'ais que Navilog1 ) pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement ( Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau ).
  
• Après le choix de la langue et les messages, tu arrives au menu principal.
  
• Choisis l'Option 1, pour cela, tape sur la touche 1 de ton clavier, puis appuie sur la touche Entrée du clavier ( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ).
  
• La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes ( de 5 à 10min ), ne touche à rien.
  
• Patiente jusqu'au message : *** Analyse Terminé le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir avec le rapport.
  
• Si ce dernier ne s'ouvre pas : Ouvre le Poste de travail, puis Disque C: et enfin double-clique sur fixnavi.txt
  
• Copie/Colle le contenu complet de ce rapport dans ta prochaine réponse
  

Pour t'aider voici un tuto en images : http://www.malekal.com/Adware.Magic_Control.html

 

Pour la première étape > "Téléchargement et installation de navilog1". Ne lance pas d'autre option pour le moment.

 

@ +

[mumu_sw]

ok, voilà

 

 

Search Navipromo version 3.0.3 commencé le 14/09/2007 à 18:47:47,15

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 14.09.2007 a 13h00 by IL-MAFIOSO

 

 

Microsoft Windows XP [Version 5.1.2600]

Internet Explorer : 7.0.5730.11

 

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

C:\Program Files\MessengerSkinner trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\Emeric\Application Data ***

 

...\Application Data\MessengerSkinner trouvé !

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\gasmgyrlew.exe

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

* Scan C:\WINDOWS\system32 *

 

Fichiers trouvés :

 

gasmgyrlew.exe trouvé !

onceggcks.exe trouvé !

 

Fichiers suspects :

 

Aucun Fichier suspect trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

2)Recherche Heuristique :

 

C:\WINDOWS\system32\gasmgyrlew.dat trouvé !

C:\WINDOWS\system32\gasmgyrlew_navps.dat trouvé !

 

 

 

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

 

*** Analyse Terminé le 14/09/2007 à 18:49:35,84 ***

[wong]

RE mumu sw

 

 

1°) Lance Navilg1

• Double clique sur le raccourci navilog1 sur ton bureau.
  
• Une fenêtre noire va s'ouvrir.
  
• Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.
  
• Dans la fenêtre de choix qui s'ouvre : Choisis l'option 2 ( Désinfection automatique avec prise en charge des résultats de Blacklight ), pour celà Tape sur la touche 2 de ton clavier et Valide en appuyant sur Entrée
  
• Laisse le fix faire son travail cela peut durer un certain temps.
  
• Le fix va t'informer qu'il va alors redémarrer ton PC ( Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts ).
  
• Appuie sur une touche de ton clavier comme demandé ( si ton Pc ne redémarre pas automatiquement, fais le toi même ).
  
• Au redémarrage de ton PC, choisis ta session habituelle. Navilog1 terminera la désinfection.
  
• Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
  
• Le bloc-note va s'ouvrir. Sauvegarde le rapport ( sur ton bureau par exemple ) de manière à le retrouver.
  
• Referme le bloc-note. Ton bureau va réapparaitre
  
• Copie/Colle ce rapport dans ta prochaine réponse
  

NOTE :

Le rapport se trouve également ici : C\cleannavi.txt

 

Si ton Bureau ne réapparaît pas, fais ceci :

• Clique simultanément sur Ctrl + Alt + Suppr : le Gestionnaire de tâches va s'ouvrir.
  
• Rends-toi à l'onglet "processus".
  
• Dans la barre des menus, Clique sur Fichier, et dans le menu déroulant Clique sur Nouvelle tâche ( Exécuter.. )
  
• Dns la fenêtre qui s'ouvre, TapeExplorer puis valide.
  

 

2°) Suppression des certificats

• Cliques sur Démarrer
  
• Cliques sur Panneau de configuration
  
• Cliques sur Options internet
  
• Cliques sur Onglet "Contenu"
  
• Cliques sur Onglet "Certificats"
  
• Si tu trouves ceci, en particulier dans "éditeurs approuvés":
  
  
• electronic-group
  
• egroup
  
• Montorgueil
  
• VIP
  
• Sunny Day Design Ltd
  
  
• Supprimes les
  

Cordialement

[mumu_sw]

salut Wong et merci de ton aide,

 

J'ai lancé ce que tu m'a demandé, le rapport Navilog suit, et il n'y avait aucun certificats anormaux.

Une chose étrange cependant: lorsque j'ai voulu enregistrer le rapport navilog sur le bureau, le bloc note s'est bloqué et à bloqué tout le système, j'ai donc du éteindre manuellement (en appuyant sur le coupe circuit). Le redemarrage après un scan disque s'est passé sans problème apparent, j'äi donc pu terminer l'operation.

 

amicalement

 

--------------------------------------------

Clean Navipromo version 3.0.3 commencé le 14/09/2007 à 23:33:11,10

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 14.09.2007 a 13h00 by IL-MAFIOSO

 

 

Microsoft Windows XP [Version 5.1.2600]

Internet Explorer : 7.0.5730.11

 

Mode suppression automatique

 

 

*** Creation backups fichiers trouvés par Blacklight ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

 

*** Suppression des fichiers trouvés avec Blacklight ***

 

 

** 2ème passage **

 

C:\WINDOWS\system32\gasmgyrlew_navup.dat absent !

C:\WINDOWS\system32\gasmgyrlew_navtmp.dat absent !

C:\WINDOWS\system32\gasmgyrlew_m2s.xml absent !

 

 

C:\WINDOWS\system32\gasmgyrlew.dat trouvé !

Copie C:\WINDOWS\system32\gasmgyrlew.dat réalise avec succes !

C:\WINDOWS\system32\gasmgyrlew.dat supprimé !

 

C:\WINDOWS\system32\gasmgyrlew_nav.dat trouvé !

Copie C:\WINDOWS\system32\gasmgyrlew_nav.dat réalise avec succes !

C:\WINDOWS\system32\gasmgyrlew_nav.dat supprimé !

 

C:\WINDOWS\system32\gasmgyrlew_navps.dat trouvé !

Copie C:\WINDOWS\system32\gasmgyrlew_navps.dat réalise avec succes !

C:\WINDOWS\system32\gasmgyrlew_navps.dat supprimé !

 

C:\WINDOWS\prefetch\gasmgyrlew*.pf trouvé !

Copie C:\WINDOWS\prefetch\gasmgyrlew*.pf réalise avec succes !

C:\WINDOWS\prefetch\gasmgyrlew*.pf supprimé !

 

C:\WINDOWS\system32\gasmgyrlew.exe trouvé !

Copie C:\WINDOWS\system32\gasmgyrlew.exe réalise avec succes !

C:\WINDOWS\system32\gasmgyrlew.exe supprimé !

 

*** Suppression avec Backups résultats GenericNaviSearch ***

 

* Scan C:\WINDOWS\system32 *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\MessengerSkinner ...suppression...

C:\Program Files\MessengerSkinner supprimé !

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Emeric\Application Data ***

 

...\Application Data\MessengerSkinner ...suppression...

...\Application Data\MessengerSkinner supprimé !

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Emeric\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

 

 

 

2)Recherche et Suppression Heuristique :

 

 

*** Sauvegarde du registre vers dossier Backupnavi ***

 

sauvegarde du registre réalise avec succes !

 

*** Nettoyage registre ***

 

Nettoyage registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Fichiers suspects non supprimés par Navilog1 ***

!! Fichiers légitimes possibles, à contrôler avant suppression !!

 

C:\WINDOWS\system32\onceggcks.exe trouvé !

 

*** Nettoyage termine le 14/09/2007 à 23:35:28,60 ***

Modifié le 14 septembre 2007 par mumu_sw

[wong]

Bonjour mumu sw,

 

 

Un fichier n'a pas été supprimé.

 

1°) Supprime le fichier cleannavi.txt que tu as placé sur ton bureau ( ou avec le nom que tu lui a donné ).

 

2°) Repasse "Navilog1" Option2 comme tu viens de la faire. Laisse le rapport s'enregistrer dans C\cleannavi.txt

 

Copie/Colle ce rapport dans ta prochaine réponse

 

@ +

[mumu_sw]

salut,

 

J'ai eu un comportement bizarre pour lancer Navilog1: Je l'ai lancé en mode 2, mais il me répondais qqch comme: "vous n'avez pas encore realiser de scan, veuillez realiser un passage en mode 1 et le copier coller sur le forumpour vous faire aider par un helper, cette fenêtre doit maintenant être fermé."

Donc je referme la fenêtre et je relance Navilog1 pour l'utiliser en mode 1. Il se bloque en disant "fichier spécifié non trouvé" et effectivement, le fichier pointé par le lien: Navilog1.bat n'apparaissait pas dans le dossier en question. Je redemarre et là le rapport de navilog apparait tout seul. Je ne suis pas sûr que ce soit ce que tu avais demandé, mais je te copie-colle le-dit rapport.

 

---------------------------------------------------------------------------------------------------------------------------------------

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec Backups résultats GenericNaviSearch ***

 

* Scan C:\WINDOWS\system32 *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\Emeric\Application Data ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Emeric\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

 

 

 

2)Recherche et Suppression Heuristique :

 

 

*** Sauvegarde du registre vers dossier Backupnavi ***

 

sauvegarde du registre réalise avec succes !

 

*** Nettoyage registre ***

 

Nettoyage registre Ok

 

 

*** Certificats ***

 

Certificat Egroup absent !

 

*** Fichiers suspects non supprimés par Navilog1 ***

!! Fichiers légitimes possibles, à contrôler avant suppression !!

 

C:\WINDOWS\system32\onceggcks.exe trouvé !

 

*** Nettoyage termine le 16/09/2007 à 10:50:03,10 ***

[wong]

Bonjour mumu sw,

 

 

Pour moi, onceggcks.exe est un fichier infectieux. On va vérifier :

 

C:\WINDOWS\system32\onceggcks.exe

 

Clique sur cette adresse => http://www.virustotal.com/en/indexf.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre => parcours ton disque dur , et recherche le fichier onceggcks.exe que tu trouveras en allant dans le dossier C:\WINDOWS\system32

 

Tu cliques une fois sur le fichier onceggcks.exe (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .

Le scan de ce fichier va débuter, patiente jusqu'à la fin du scan.

Tu n'as plus qu'à sélectionner puis Copier/Coller l'analyse dans ta prochaine réponse ( dans le cas où aucun malware n'est trouvé, tu me l'indique simplement ).

 

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Analyse aussi le fichier chez Jotti : http://virusscan.jotti.org/

 

 

@ +

[mumu_sw]

salut Wong,

 

désolé, ca m'a pris du temps pour comprendre qu'il fallait activer les javascript. Je l'ai passé dans les deux scanners: rien chez Jotti, mais virustotal trouve un trojan avec Symantec:

 

Fichier onceggcks.exe reçu le 2007.09.17 00:56:29 (CET)

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2007.9.14.0 2007.09.14 -

AntiVir 7.6.0.10 2007.09.16 -

Authentium 4.93.8 2007.09.16 -

Avast 4.7.1043.0 2007.09.16 -

AVG 7.5.0.485 2007.09.16 -

BitDefender 7.2 2007.09.17 -

CAT-QuickHeal 9.00 2007.09.15 -

ClamAV 0.91.2 2007.09.16 -

DrWeb 4.33 2007.09.16 -

eSafe 7.0.15.0 2007.09.16 -

eTrust-Vet 31.1.5136 2007.09.14 -

Ewido 4.0 2007.09.16 -

FileAdvisor 1 2007.09.17 -

Fortinet 3.11.0.0 2007.09.16 -

F-Prot 4.3.2.48 2007.09.16 -

F-Secure 6.70.13030.0 2007.09.16 -

Ikarus T3.1.1.12 2007.09.16 -

Kaspersky 4.0.2.24 2007.09.17 -

McAfee 5120 2007.09.14 -

Microsoft 1.2803 2007.09.16 -

NOD32v2 2533 2007.09.16 -

Norman 5.80.02 2007.09.16 -

Panda 9.0.0.4 2007.09.16 -

Prevx1 V2 2007.09.17 -

Rising 19.40.62.00 2007.09.16 -

Sophos 4.21.0 2007.09.17 -

Sunbelt 2.2.907.0 2007.09.15 -

Symantec 10 2007.09.16 Trojan.Skintrim

TheHacker 6.2.5.060 2007.09.14 -

VBA32 3.12.2.4 2007.09.16 -

VirusBuster 4.3.26:9 2007.09.16 -

Webwasher-Gateway 6.0.1 2007.09.16 -

Information additionnelle

File size: 278528 bytes

MD5: 78ef0cae9954c2ba2bb639bb78e5e73c

SHA1: fb06b2f32e37727cc8b114cbce6f317243fb084c

[wong]

Bonjour mumu sw,

 

 

Je ne sais pas si dans AVG7 que tu as sur ton PC, est inclus AVG Anti-spyware. Si oui, tu as simplement à le mettre à jour et suivre la procédure.

 

 

1°) Téléchargement d'utilitaires :

 

 

1°) Télécharge ATF Cleaner par Atribune : http://www.atribune.org/ccount/click.php?id=1

 

 

2°) Télécharge AVG Anti-Spyware de ewido/grisoft : http://www.ewido.net/en/download/

• Lance le depuis l'icône presente sur ton bureau.
  
• Clique sur modifier l'état du bouclier résident et mise à jour automatique, pour désactiver ces deux fonctions.
  
• Clique sur mise à jour, commencer la mise à jour.
  
• Clique sur analyse puis sur paramètres.
  
• Clique sur actions recommandées puis sur quarantaine.
  
• Ferme le programme.
  

 

 

2°) Nettoyage

• Lance HijackThis
  
• Clique sur Do a system scan only
  
• coche les lignes ci-dessous :
   
  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
  O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
  O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
  O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
   
  
• Ferme toutes les fenêtres, sauf le logiciel Hijackthis.
  
• Clique sur Fix checked puis ferme HijackThis.
  

 

3°) Redémarre en mode sans échec

 

 

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer ( ou, événtuellement, d'enregistrer ) la procédure.

• Clique sur Démarrer
  
• Clique sur Arrêter l'ordinateur
  
• Dans la fenêtre qui s'ouvre : clique sur " Redémarrer "
  
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
  
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ( " mode sans échec " seul )
  
• Appui dur la touche " ENTRÉE "
  
• Attend la fenêtre avec le choix des sessions ( noms d'administrateurs ).
  
• Clique sur ta session normale : ton nom (Administrateur )
  
• Une nouvelle fenêtre s'affiche " Bureau " : clique sur OUI
  

Pour éventuellement t'aider voici un tuto en images : http://www.malekal.com/modesansechec.php

 

 

 

4°) AVG Anti-Spyware

 

 

4.1 - Nettoyage pour utiliser AVG Anti-Spyware

 

Procedure préalable à l'utilisation d'AVG Anti-Spyware : Très important pour bien supprimer les fichiers tmp ,cookies et autres, pour une meilleure lecture du rapport d'AVG Anti-Spyware.

 

Double-clique ATF Cleaner.exe afin de lancer le programme.

• Main correspond à IE
  
• Sous l'onglet Main, choisis : Select All
  
• Clique sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  
• Clique le bouton Empty Selected
  
• NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

 

 

4.2 - Lance AVG Anti-Spyware

 

Clique sur scanner, puis sur scan complet du système.

 

 

Si des fichiers malveillants sont trouvés :

• Clique sur Appliquer toutes les actions
  
• Clique sur enregistrer le rapport d'analyse.
  
• Colle le rapport dans ton prochain message
  

Pour t'aider tu as deux tutos à ta disposition:

• ATFCleaner: http://pitcatsite.ovh.org/html/ATFCleaner.html
  
• AVG Anti-Spyware: http://pitcatsite.ovh.org/html/avg_a-s.html
  

 

5°) Redémarre en mode normal

 

Copie/Colle un nouveau rapport HijackThis dans ta prochaine réponse

 

 

 

@ +