Résolu : Spam émanant soit-disant du centre de Sécu Windows

[liraz]

Bonjour liraz

 

Hé, ne t'échappe pas On n'a pas fini

 

Génère un nouveau rapport en option 1. Si les fichiers récalcitrants sont toujours là, il est probable que d'ici quelques temps tes soucis se génèrent à nouveau, à l'identique.

 

A bientôt.

[liraz]

Bonsoir Gof,

 

Excuse moi de répondre tardivement, mais j'étais en déplacement.

Je viens de refaire la manip en validant 1, ci joint, le rapport.

Par contre, lorsque j'ai lancé l'application de ton programme, avast a détécté un cheval de troie, dont je n'ai pas le nom, car dans la précipitation, j'ai suivi la procédure pour le supprimer, sans le mettre en quarantaine, et je ne retouve pas son nom. Je ne sais pas si cela aurait pu être utile pour ton analyse.. Je l'ai supprimé trop vite !!

 

Voilà le rapport, je reste à dispo pour la suite,

Bonne soirée.

 

Liraz

 

 

 

Search Navipromo version 3.4.0 commencé le 18/01/2008 à 17:26:45,17

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.13

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\LVP Buro\application data" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\LVP Buro\MENUDM~1\PROGRA~1" ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Fichier(s) caché(s) :

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd.dat

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd.exe

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd_navps.dat

C:\Program Files\Navilog1\Backupnavi\tagsrelbgd.dat

C:\Program Files\Navilog1\Backupnavi\tagsrelbgd.exe

C:\Program Files\Navilog1\Backupnavi\tagsrelbgd_nav.dat

C:\Program Files\Navilog1\Backupnavi\tagsrelbgd_navps.dat

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans "C:\Documents and Settings\LVP Buro\local settings\application data" *

 

Fichiers trouvés :

 

tagsrelbgd.exe trouvé !

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings\LVP Buro\local settings\application data" :

 

tagsrelbgd.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 18/01/2008 à 17:33:22,29 ***

[Gof]

Bonsoir liraz

 

Excuse moi de répondre tardivement, mais j'étais en déplacement.

Pas de soucis, tu réponds suivant tes disponibilités, comme moi

 

L'infection s'est regénérée, comme prévue. Elle n'était que partiellement traitée. Désactive Avast le temps de passage de l'outil, il risque de nous gêner. On va profiter pour nettoyer de manière ordinaire en plus du passage de l'outil spécifique Navilog1.

 

• Télécharge AVG AS - Mets le à jour.
  Ferme AVG AS. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php
  

• Télécharge ATF Cleaner par Atribune.
  

-Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

• Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

• Clique Exit, du menu prinicipal, afin de fermer le programme.
  

• Exécute à nouveau Navilog1, mais en option 2.
  
• Poste à l'issue le rapport associé.
  

• Lance AVG AS et clique sur Analyse
  
• Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  
• Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  
• Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  
• Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  

• Redémarre en mode normal et poste :
  
• le rapport AVG AS
  
• un nouveau log hijackthis
  
• Le rapport Navilog1 en option 2
  

A bientôt.

[liraz]

Bonjour,

 

les rapports ci joints:

 

1/

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 13:56:58 19/01/2008

 

+ Résultat de l'analyse:

 

 

 

Rien à signaler.

 

 

 

Fin du rapport

 

 

 

 

 

2/

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 14:05:55, on 19/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\Microsoft LifeCam\MSCamS32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\Program Files\Windows Desktop Search\WindowsSearchIndexer.exe

C:\Program Files\hijackthis_199\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.touslesdrivers.com/fichiers/har...ion_2_0_4_9.cab

O16 - DPF: {B7D07999-2ADB-4AEB-997E-F61CB7B2E2CD} (TSEasyInstallX Control) - http://www.trendsecure.com/easy_install/_a...asyInstallX.CAB

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photobox.fr/discount/clients/up...er_v2.2.0.6.cab

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - c:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 9369 bytes

 

 

 

 

 

3/

 

Clean Navipromo version 3.4.0 commencé le 19/01/2008 à 14:00:56,53

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.13

Système de fichiers : NTFS

 

Mode suppression automatique

 

 

*** Creation backups fichiers trouvés par Catchme ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

Copie C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd.dat réalisée avec succès !

Copie C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd.exe réalisée avec succès !

Copie C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd_navps.dat réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd.dat réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd.exe réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd_nav.dat réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd_navps.dat réalisée avec succès !

 

*** Suppression des fichiers trouvés avec Catchme ***

 

 

** 2ème passage avec résultats Catchme **

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\LVP Buro\local settings\application data" *

 

 

tagsrelbgd.exe trouvé !

Copie tagsrelbgd.exe réalisée avec succès !

tagsrelbgd.exe supprimé !

 

tagsrelbgd_navps.dat trouvé !

Copie tagsrelbgd_navps.dat réalisée avec succès !

tagsrelbgd_navps.dat supprimé !

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans "C:\Documents and Settings\LVP Buro\local settings\application data" *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

[Gof]

Bonjour liraz

 

Le dernier rapport (de Navilog1 en option 2) n'est pas complet. Il a été tronqué. Peux tu le reposter ? (il se trouve à la racine de ton disque, sous le nom fixnavi.txt).

[liraz]

le dernier rapport:

 

Clean Navipromo version 3.4.0 commencé le 19/01/2008 à 14:00:56,53

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.13

Système de fichiers : NTFS

 

Mode suppression automatique

 

 

*** Creation backups fichiers trouvés par Catchme ***

 

Copie vers "C:\Program Files\navilog1\Backupnavi"

 

Copie C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd.dat réalisée avec succès !

Copie C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd.exe réalisée avec succès !

Copie C:\Documents and Settings\LVP Buro\Local Settings\Application Data\tagsrelbgd_navps.dat réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd.dat réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd.exe réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd_nav.dat réalisée avec succès !

Copie C:\Program Files\Navilog1\Backupnavi\tagsrelbgd_navps.dat réalisée avec succès !

 

*** Suppression des fichiers trouvés avec Catchme ***

 

 

** 2ème passage avec résultats Catchme **

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\LVP Buro\local settings\application data" *

 

 

tagsrelbgd.exe trouvé !

Copie tagsrelbgd.exe réalisée avec succès !

tagsrelbgd.exe supprimé !

 

tagsrelbgd_navps.dat trouvé !

Copie tagsrelbgd_navps.dat réalisée avec succès !

tagsrelbgd_navps.dat supprimé !

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans "C:\Documents and Settings\LVP Buro\local settings\application data" *

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\LVP Buro\application data" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\LVP Buro\MENUDM~1\PROGRA~1" ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\LVP Buro\local settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\LVP Buro\local settings\application data" *

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup absent !

 

*** Nettoyage terminé le 19/01/2008 à 14:04:04,04 ***

[Gof]

Bonjour liraz

 

Bon travail, cette fois-ci tu l'as eue

 

Je vais te demander d'effectuer une analyse en ligne afin de confirmer que tout va bien. Comment se porte le pc ? Profites en pour me le dire en postant le résultat de l'analyse en ligne.

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse sur le forum.

Aide en cas de problème :Cybersécurité

NOTE: Le scan est à faire avec Internet Explorer.

 

A bientôt.

[liraz]

Bonjour Gof,

 

Ca y est, le scan est fait, et à priori, il reste encore des infections.

J'ai enregistré le rapport, sans toutefois supprimer les infections, c'est bien cela ?

 

Mon pc a l'air de bien fonctionner depuis la semaine dernière, je n'ai plus du tout de page de pub intempestive, c'est déjà ca !!

 

ci joint, le rapport de ce matin:

 

Bonne journée.

 

Liraz

 

KASPERSKY ONLINE SCANNER REPORT

Monday, January 21, 2008 1:09:10 PM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 21/01/2008

Kaspersky Anti-Virus database records: 525479

 

 

Scan Settings

Scan using the following antivirus database extended

Scan Archives true

Scan Mail Bases true

 

Scan Target My Computer

A:\

C:\

D:\

E:\

F:\

G:\

H:\

 

Scan Statistics

Total number of scanned objects 76881

Number of viruses found 1

Number of infected objects 6

Number of suspicious objects 0

Duration of the scan process 02:32:29

 

Infected Object Name Virus Name Last Action

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Bureau\zebulon 1\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

 

C:\Documents and Settings\LVP Buro\Bureau\zebulon 1\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

 

C:\Documents and Settings\LVP Buro\Bureau\zebulon 1\SmitfraudFix.zip ZIP: infected - 1 skipped

 

C:\Documents and Settings\LVP Buro\Bureau\ZEBULON 3\Navilog1.exe/file09 Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

 

C:\Documents and Settings\LVP Buro\Bureau\ZEBULON 3\Navilog1.exe Inno: infected - 1 skipped

 

C:\Documents and Settings\LVP Buro\Cookies\index.dat Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\GatherLogs\MyIndex\MyIndex.307.Crwl Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\GatherLogs\MyIndex\MyIndex.307.gthr Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\Build\Indexer\CiFiles010018.ci Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\Build\Indexer\CiFiles\CiPT0000.000 Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\Build\Indexer\CiFiles\INDEX.000 Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\Build\Indexer\NlFiles\CiST0000.000 Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\Build\Indexer\NlFiles\DocId.Map Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\MyIndex.chk1.gthr Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\MyIndex.chk2.gthr Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Projects\MyIndex\MyIndex.Ntfy9463.gthr Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Properties\MSS.log Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Properties\MSStmp.log Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Properties\RSApp.edb Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Applications\RSApp\Properties\tmp.edb Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Logs\MAPI.txt Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Temp\rssgthrsvc\Ntf1.tmp Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Temp\rssgthrsvc\Ntf2.tmp Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Desktop Search\Temp\rssgthrsvc\Perflib_Perfdata_b8.dat Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LVP Buro\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

 

C:\Documents and Settings\LVP Buro\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\LVP Buro\ntuser.dat.LOG Object is locked skipped

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

 

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

 

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped

 

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped

 

C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int Object is locked skipped

 

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked skipped

 

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked skipped

 

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped

 

C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped

 

C:\Program Files\Navilog1\reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

 

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

 

C:\System Volume Information\_restore{A5451BF9-1227-48C4-94EA-C8CBF55261C1}\RP388\change.log Object is locked skipped

 

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

 

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

 

C:\WINDOWS\Sti_Trace.log Object is locked skipped

 

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

 

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

 

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\default Object is locked skipped

 

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

 

C:\WINDOWS\system32\config\SAM Object is locked skipped

 

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

 

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\software Object is locked skipped

 

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

 

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

 

C:\WINDOWS\system32\config\system Object is locked skipped

 

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

 

C:\WINDOWS\system32\h323log.txt Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

 

C:\WINDOWS\Temp\Perflib_Perfdata_5e8.dat Object is locked skipped

 

C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked skipped

 

C:\WINDOWS\wiadebug.log Object is locked skipped

 

C:\WINDOWS\wiaservc.log Object is locked skipped

 

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

 

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

 

D:\System Volume Information\_restore{A5451BF9-1227-48C4-94EA-C8CBF55261C1}\RP388\change.log Object is locked skipped

 

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

 

E:\System Volume Information\_restore{A5451BF9-1227-48C4-94EA-C8CBF55261C1}\RP388\change.log Object is locked skipped

 

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

 

F:\System Volume Information\_restore{A5451BF9-1227-48C4-94EA-C8CBF55261C1}\RP388\change.log Object is locked skipped

 

Scan process completed.

[Gof]

Re liraz

 

Le rapport de ton analyse en ligne n'est pas inquiétant, il a révélé ses doutes sur la présence d'outils que l'on a utilisés, rien de grave.

 

Désinstalle par ton Panneau de configuration>Ajout/suppression de programmes : Navilog1.

Supprime les éléments suivants si toujours présens :

• C:\Documents and Settings\LVP Buro\Bureau\zebulon 1\SmitfraudFix <- le répertoire
  C:\Documents and Settings\LVP Buro\Bureau\zebulon 1\SmitfraudFix.zip <- le fichier
  C:\Documents and Settings\LVP Buro\Bureau\ZEBULON 3\Navilog1.exe <-le fichier
  C:\Program Files\Navilog1 <-le répertoire
  

Vide ta corbeille.

 

Tu as téléchargé et installé Atf-cleaner et AVG AS suite à ma demande. Je te suggère de les conserver ; le premier pour des opérations de nettoyage de temps en temps, et le deuxième très efficace en analyse en mode sans échec. Tu perdras la gratuité du résident (le "guard") au bout du trentième jour suite à son installation, mais tu pourras toujours le mettre à jour et l'utiliser en analyse ponctuelle. Sinon, il te suffit de supprimer l'exécutable d'Atf-cleaner et de désinstaller AVG AS.

 

Dis moi si tu as pu faire tout ça sans soucis, et si tout va bien.

[liraz]

Bonsoir Gof,

 

Ca y est ! tout est ok !

Je garde les 2 logiciels comme tu me le conseilles, et concernant mon antivirus, j'ai actuellement avast, et après avoir lu pas mal de sujets plutôt négatifs, je voulais avoir ton avis? Je le garde ou tu me conseilles fortement d'en télécharger un autre?

Pour info, sur ce pc, il n'y a aucun logiciel pear to pear, pas de visite sur des sites de hackers.... Pas de surf vraiment dangereux... mais bon ! je n'ai pas envie de tenter le diable?

 

Je tiens à te remercier encore une fois pour ton aide si précieuse qui m'a évité un "Xième" formatage, qui m'aurait pris encore des heures, et qui aurait encore été inutile....

Chapeau pour ta patience !!

Bonne soirée.

 

Liraz