PopUpS et SpywareSecure [Résolu]

[bastof]

Salut a tous,

 

Je vous explique mon probleme ; depuis 2,3 jours j'ai des PopUp qui n'arretent pas de s'aficher et ce depuis que j'en ai un imitant le centre de securite en me disant que je suis infecté et de telecharger SpywareSecure

 

Ce matin j'ai desactivé la restauration et demarer en mode sans echec pour faire different scans : AVG, Nod32, Spybot, a2squared et meme trend micro en ligne. Bien sur j'ai viré tous ce qu'ils ont trouvés.

 

Je pensais etre tranquile mais voila en surfant ce soir rebelote

 

Je suis tombe sur ce post Trojan skintrim et spywaresecure qui renvoyait là : Suppression d'Adaware.NaviPromo

 

J'ai voulu apliquer la methode courte et j'en suis au rapport apres analyse mais avant de faire de co...rie je prefere avoir vos avis, je vous joint le rapport

 

Search Navipromo version 3.3.8 commencé le 27/12/2007 à 22:27:19,39

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Christophe\application data" ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Fichier(s) caché(s) :

 

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti.dat

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti.exe

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti_nav.dat

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti_navps.dat

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans "C:\Documents and Settings\Christophe\local settings\application data" *

 

Fichiers trouvés :

 

lguwlvcti.exe trouvé !

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings\Christophe\local settings\application data" :

 

lguwlvcti.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 27/12/2007 à 22:31:59,45 ***

 

 

 

 

 

Ce que je voudrai savoir c'est si je suis la suite Supprimer Magic.Control a la lettre ou ...

 

Merci de votre aide

Modifié le 29 décembre 2007 par bastof

[WawaSeb]

Bonsoir bastof,

 

*** Bienvenue sur le forum sécurité de Zebulon !! ***

 

1) Double-clique sur le raccourci de Navilog1 !

• Choisis ta langue...
  
• Presse une touche lorsque le programme t'affiche "Appuyez sur une touche pour continuer..."
  
• Choisis maintenant l'option 2 (Désinfection automatique)
  
• Ton PC va redémarrer (ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts)
  ----> S'il ne le fait pas, redémarre manuellement...
  ----> Choisis ta session habituelle
  
• Poste le rapport cleanavi.txt créé sur ton bureau en fin de procédure (il faudra attendre un peu)...
  

Si ton bureau reste vide après le redémarrage :

--> Appuie sur les touches CTRL + ALT + DEL

• Clique sur Fichier, puis sur Nouvelle tâche
  
• Clique sur Parcourir
  
• Rends-toi dans le dossier C:\Windows\
  
• Clique sur explorer.exe, puis sur Ouvrir
  

--> Ensuite ferme Internet explorer s'il est ouvert.

* Rend toi dans ton Menu démarrer, Paramètres, Panneau de configuration, Options Internet

* Clique sur l'onglet Contenu, puis Certificats.

* Dans tous les onglets, Personnel, Autres personnes, etc. cherche et supprime (si tu les trouves) :

• electronic-group
  
• egroup
  
• Montorgueil
  
• VIP
  
• "Sunny Day Design Ltd"
  

 

2) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

Tutoriaux : http://pagesperso-orange.fr/rginformatique.../demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

Bonne soirée !

[bastof]

merci WawaSeb

 

Mon rapport hijack

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:55:04, on 28/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Nero\InCD\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\WFXSVC.EXE

C:\Program Files\DelFax\WFXMOD32.EXE

C:\Program Files\Drive Image 7.0\Agent\PQV2iSvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\notepad.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\OmniPageSE4.0\OpwareSE4.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Nero\InCD\InCD\InCD.exe

C:\Program Files\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\Eset\nod32kui.exe

C:\PROGRA~1\DelFax\WFXSWTCH.exe

C:\WINDOWS\system32\wfxsnt40.exe

C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\PowerDesk\pddlghlp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Nero\InCD\InCD\InCD.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\DelFax\WFXSWTCH.exe

O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Dialog Helper.lnk = C:\Program Files\PowerDesk\pddlghlp.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3307C230-D1B3-48CA-B596-158DCCED0958}: NameServer = 80.10.246.129,80.10.246.2

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\InCD\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\persfw.exe

O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\Drive Image 7.0\Agent\PQV2iSvc.exe

O23 - Service: DelrinaFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

 

--

End of file - 11252 bytes

 

 

et la pour moi ce sera bonne nuit

 

@+

[WawaSeb]

Bonsoir bastof,

 

*** Ton rapport ne montre aucun signe d'infection, mais nous avions à faire avec un rootkit ! ***

 

Attention, je constate qu'il y a deux antispyware's installés sur ta machine !

--> C'est une mauvaise idée, comme ils possèdent chacun un module résident, ils peuvent entrer en conflit et poser des problèmes ou se détecter mutuellement comme menaces potentielles :

 

 

1) Clique sur Démarrer, puis sur Panneau de configration et va dans l'Ajout /Suppression de programmes :

• Désinstalle AVG Anti-Spyware 7.5 ou a-squared Free
  

2) Je te demanderais également de poster le second rapport de Navilog1 afin de vérifier que tout est rentré dans l'ordre à ce niveau-là...

 

 

3) Relance HijackThis, ferme toutes les autres fenêtres et fixe les lignes suivantes :

 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) <-- Le fichier est absent, la clef est devenue obsolète !

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k <-- Cette clef a sûrement été ajoutée suite à un plantage !

 

-------> Afin de récupérer de l'espace sur ton disque et générer un rapport Kaspersky suffisamment court, je te demande ceci :

4) Télécharge ATF Cleaner de Atribune sur ton bureau. Ce programme sert à nettoyer les fichiers inutiles !

 

- Double-clique sur ATF-Cleaner.exe

 

Coche ceci :

• Windows Temp
  
• Current User Temp
  
• All Users Temp
  
• Cookies
  
• Temporary Internet Files
  
• Prefetch
  
• Java Cache
  
• Recycle Bin
  

- Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

 

5) Nous allons maintenant pouvoir vérifier plus facilement qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Démarrer Online scanner".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

 

--> As-tu volontairement installé la barre d'outils Google ?

--> Souvent ces "toolbars" s'installent par d'autres logiciels via une case pré-cochée...

 

Bonne fin de nuit à toi !

 

 

Edit : Correction orthographique

Modifié le 28 décembre 2007 par WawaSeb

[bastof]

Bonsoir,

 

 

Pour ce qui est de a2squared c'est une version free il n'a donc pas de module résident

 

La google toolbar c'est volontaire

 

 

 

 

Rapport Navilog1 :

 

Clean Navipromo version 3.3.8 commencé le 28/12/2007 à 0:39:04,00

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

Système de fichiers : NTFS

 

Mode suppression automatique

 

 

*** Creation backups fichiers trouvés par Catchme ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

Copie C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti.dat réalisée avec succès !

Copie C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti.exe réalisée avec succès !

Copie C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti_nav.dat réalisée avec succès !

Copie C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti_navps.dat réalisée avec succès !

 

*** Suppression des fichiers trouvés avec Catchme ***

 

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti.dat supprimé !

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti.exe supprimé !

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti_nav.dat supprimé !

C:\Documents and Settings\Christophe\Local Settings\Application Data\lguwlvcti_navps.dat supprimé !

 

** 2ème passage avec résultats Catchme **

 

* Dans C:\WINDOWS\system32 *

 

 

C:\WINDOWS\prefetch\lguwlvcti*.pf trouvé !

Copie C:\WINDOWS\prefetch\lguwlvcti*.pf réalisée avec succès !

C:\WINDOWS\prefetch\lguwlvcti*.pf supprimé !

 

* Dans "C:\Documents and Settings\Christophe\local settings\application data" *

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans "C:\Documents and Settings\Christophe\local settings\application data" *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Christophe\application data" ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Christophe\local settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\Christophe\local settings\application data" *

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Nettoyage terminé le 28/12/2007 à 0:44:59,96 ***

 

 

 

 

 

 

 

Rapport KAV

 

 

KASPERSKY ON-LINE SCANNER REPORT

Friday, December 28, 2007 5:34:30 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 28/12/2007

Enregistrements dans la base antivirus Kaspersky : 466272

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Dossiers:

C:\

 

Statistiques de l'analyse:

Total d'objets analysés: 63846

Nombre de virus trouvés: 2

Nombre d'objets infectés: 3 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 01:01:25

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\Dc211.exe.bac_a00536 Infecté : P2P-Worm.Win32.Kapucen.b ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Local Settings\Historique\History.IE5\MSHist012007122820071229\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Local Settings\Temp\WCESLog.log L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Christophe\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status.WFD L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status.WFF L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status.WFG L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status.WFR L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status.WFX L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status2.WFD L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status2.WFG L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status2.WFX L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status3.WFD L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status3.WFG L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\Status3.WFX L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\StatusS.WFD L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\StatusS.WFG L'objet est verrouillé ignoré

C:\Program Files\DelFax\Donnees\StatusS.WFX L'objet est verrouillé ignoré

C:\Program Files\ESET\cache\CACHE.NDB L'objet est verrouillé ignoré

C:\Program Files\ESET\infected\AWF1TXBA.NQF Infecté : Backdoor.Win32.Agent.aou ignoré

C:\Program Files\ESET\infected\JICUSTDA.NQF Infecté : P2P-Worm.Win32.Kapucen.b ignoré

C:\Program Files\ESET\logs\virlog.dat L'objet est verrouillé ignoré

C:\Program Files\ESET\logs\warnlog.dat L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acgenral.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclayers.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\aclua.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acspecfc.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acverfyr.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\acxtrnal.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\apphelp.sdb L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\apps.chm L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\drvmain.sdb L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\msimain.sdb L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\sysmain.sdb L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\udfs.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallApplication Compatibility Update$\vbscript.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ308677$\userenv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ312370$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ312370$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ312370$\usbhub.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ312370$\usbport.sys L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ314862$\qmgr.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ314862$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ315000$\upnp.dll L'objet est verrouillé ignoré

C:\WINDOWS\$NtUninstallQ318966$\spuninst\Q318966.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\ModemLog_Creatix V.9X DSP Data Fax Modem.txt L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\atapi.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

Modifié le 28 décembre 2007 par bastof

[WawaSeb]

Bonsoir bastof,

 

*** Tout roule, tu as fait de l'excellent travail !!! ***

 

 

Pour ce qui est de a2squared c'est une version free il n'a donc pas de module résident

--> a-squared Free a quand même un processus qui tourne en arrière-plan et qui peut entrer en conflit avec celui de AVG Anti-Spyware 7.5 !

==> C:\Program Files\AVG Anti-Spyware 7.5\guard.exe et C:\Program Files\a-squared Free\a2service.exe

 

--> En ce qui concerne les infections trouvées par le scan en ligne, tu n'as aucun souci à te faire, ils sont dans la quarantaine de tes outils de sécurité !

 

 

# Supprime le contenu des dossiers suivants :

 

-------------- Assure-toi d'avoir accès aux fichiers cachés/protégés du système -------------- Comment ?

• C:\Program Files\ESET\infected\ <-- tout le contenu
  
• C:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\ <-- tout le contenu
  

 

# Rencontres-tu encore des problèmes avec ton PC ?

 

Passe une excellente nuit !

[bastof]

Bonsoir WawaSeb,

 

*** Tout roule.... mais TU as fait de l'excellent travail !!! ***

 

J'ai pas un grand merite a avoir suivi tes instructions a la lettre

 

 

En tout cas je te remercie de ton aide

[WawaSeb]

Bonsoir bastof,

 

Je suis ravi d'avoir pu t'aider... mais c'est le résultat du travail de plusieurs experts (IL-MAFIOSO, Merijn, Atribune ... pour ne citer qu'eux !)

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

1) Voici une liste de recommandations personnelles pour éviter de te faire infecter :

1. Garde une version de Windows légale et à jour
   
2. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
   
3. Evite les sites douteux, illégaux, pornographiques, ...
   
4. Méfie-toi des programmes gratuits (financés par...)
   
5. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
   
6. Garde un Antivirus à jour !
   
7. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
   
8. N'ouvre jamais de pièce jointe non prévue dans un mail !
   

 

2) Tu peux dénoncer ton infection :

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

 

********************************************************************************

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

Ton infection principale : NaviPromo

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

 

Plus d'info sur le topic d'Ipl_001 ici (merci à Kimberly!!) =>

http://forum.zebulon.fr/index.php?showtopic=88688

 

 

3) Tu peux également éditer le titre de ton topic et lui ajouter la mention "[Résolu]" (sans les guillemets)

 

#

Ouvre ton premier po

s

t

#

Clique

s

ur le bouton

Editer

--->

Edition compl

è

te

#

Ajoute [R

é

s

olu] au titre de ton

s

ujet

 

En espérant de tout coeur que tu ne te feras plus infecter...

 

 

P.S. : Tu peux limiter énormément les risques d'infections en passant sur un compte limité ! Nous pouvons t'y aider si tu veux...