[Résolu] Fenêtres publicitaires et ralentissement général de mon PC

[stef167]

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Wednesday, February 06, 2008 6:42:08 AM

Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 5/02/2008

Kaspersky Anti-Virus database records: 550073

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - My Computer:

A:\

C:\

D:\

E:\

 

Scan Statistics:

Total number of scanned objects: 124291

Number of viruses found: 9

Number of infected objects: 18

Number of suspicious objects: 2

Duration of the scan process: 01:41:07

 

Infected Object Name / Virus Name / Last Action

C:\autorun.MSNFix\lpt3.This folder was created by Flash_Disinfector Object is locked skipped

C:\clean\clean\pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k skipped

C:\Documents and Settings\Admin\Application Data\Creative\Media Database\PCML_1.dpm Object is locked skipped

C:\Documents and Settings\Admin\Application Data\Creative\Media Database\PCML_1.ldb Object is locked skipped

C:\Documents and Settings\Admin\Cookies\index.dat Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\CardSpace\CardSpace.db.shadow Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Historique\History.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Historique\History.IE5\MSHist012008020520080206\index.dat Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Temp\IH178A.tmp Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Temp\JET9D59.tmp Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\2D4Q2CVJ\Soldes_2D_728x90[1].swf Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\FSDRH6DC\ZwinkySetup2.2.60.11-2[1].exe/mwsSetup.Zwinky.exe Infected: not-a-virus:AdTool.Win32.MyWebSearch.bc skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\FSDRH6DC\ZwinkySetup2.2.60.11-2[1].exe CAB: infected - 1 skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\OUJP0PJC\clean[1].zip/clean/pskill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\OUJP0PJC\clean[1].zip ZIP: infected - 1 skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\QE0XAH2Z\Navilog1[1].exe/file09 Infected: not-a-virus:RiskTool.Win32.Reboot.f skipped

C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\QE0XAH2Z\Navilog1[1].exe Inno: infected - 1 skipped

C:\Documents and Settings\Admin\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\Admin\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys\6c0df73924a3d939b4fa1bf04842484f_119d2cba-fbf9-4afe-be86-1fba952d7987 Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure25.zip/Launcher.exe Suspicious: Password-protected-EXE skipped

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SpywareSecure25.zip ZIP: suspicious - 1 skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped

C:\Program Files\Eset\cache\CACHE.NDB Object is locked skipped

C:\Program Files\Eset\infected\IBK03VBA.NQF Infected: Trojan.Win32.Inject.mf skipped

C:\Program Files\Eset\logs\virlog.dat Object is locked skipped

C:\Program Files\Eset\logs\warnlog.dat Object is locked skipped

C:\Program Files\Navilog1\Backupnavi\ugdjyjxk.exe Infected: not-a-virus:AdWare.Win32.NaviPromo.gen skipped

C:\Program Files\RealVNC\VNC4\vncconfig.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped

C:\Program Files\RealVNC\VNC4\vncviewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped

C:\Program Files\RealVNC\VNC4\winvnc4.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped

C:\Program Files\RealVNC\VNC4\wm_hooks.dll Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

C:\upload_moi_XPSP2-988680013.tar.gz/upload_moi.tar/_OTMoveIt/MovedFiles/02012008_172203/WINDOWS/System32/141B19171D1A18.exe Infected: Trojan-Downloader.Win32.VB.chy skipped

C:\upload_moi_XPSP2-988680013.tar.gz/upload_moi.tar Infected: Trojan-Downloader.Win32.VB.chy skipped

C:\upload_moi_XPSP2-988680013.tar.gz GZIP: infected - 2 skipped

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{6AF972B0-1002-48C8-80D4-761B0B7AF106}.bin Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\h323log.txt Object is locked skipped

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\system32\wzjckp.exe Infected: not-a-virus:AdWare.Win32.NaviPromo.gen skipped

C:\WINDOWS\Temp\Perflib_Perfdata_5f8.dat Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

 

Scan process completed.

[Gof]

Bonjour stef167

 

Ok, je vos pour tes popups. Il ne s'agit pas d'une infection, ces popups sont là très certainement parce que tu as installé des fonctionnalités eoRezo. Dans ton panneau Ajout/Suppression de programmes, tu as les entrées suivantes :

• eoEngine 4.9
  EoWeather 4.6
  

C'est bien toi qui les as installé, non ? Peut-être en même temps qu'une autre application, mais l'installation a été volontaire, cela ne s'installe pas à l'insu des internautes.

 

L'analyse en ligne a révélé les quarantaines des divers outils que l'on a utilisés, des outils déja présents, et de quelques fichiers suspects.

 

C:\WINDOWS\system32\cmdow.exe

cmdow.exe est détecté comme un hacking tool par Panda, il permet de cacher des fenetres Windows (par exemple un programme qui se connecte à des serveurs pour controler ta machine peut-être à l'aide de ce programme).

Il peut aussi etre utilisé dans des autorun ou autre.

Si tu n'en as pas d'utilité personnelle, je te suggère de le supprimer.

 

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
  
• Rends toi jusque sur ce fichier si tu le trouves :
  

• C:\WINDOWS\system32\wzjckp.exe
  

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

[stef167]

Bonjour,

 

J'ai fait ce qu'il fallait pour e0.st et supprimer le fichier indiqué.

 

Pour virus total, pour l'instant le site ne reagit pas.

 

Merci

[Gof]

Re

 

Oui, le site est inaccessible pour l'instant.

 

Une alternative, sur le lien suivant : http://virusscan.jotti.org/.

 

Mais il risque aussi d'être surchargé.

[stef167]

Fichier wzjckp.exe reçu le 2008.02.06 22:24:45 (CET)Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.2.6.10 2008.02.05 -

AntiVir 7.6.0.62 2008.02.06 ADSPY/NaviPromo.LH.5

Authentium 4.93.8 2008.02.05 -

Avast 4.7.1098.0 2008.02.06 -

AVG 7.5.0.516 2008.02.06 -

BitDefender 7.2 2008.02.06 -

CAT-QuickHeal 9.00 2008.02.04 -

ClamAV 0.92 2008.02.06 -

DrWeb 4.44.0.09170 2008.02.06 -

eSafe 7.0.15.0 2008.01.28 -

eTrust-Vet 31.3.5512 2008.02.05 -

Ewido 4.0 2008.02.06 -

FileAdvisor 1 2008.02.06 -

Fortinet 3.14.0.0 2008.02.06 -

F-Prot 4.4.2.54 2008.02.06 -

F-Secure 6.70.13260.0 2008.02.06 -

Ikarus T3.1.1.20 2008.02.06 not-a-virus:AdWare.Win32.NaviPromo

Kaspersky 7.0.0.125 2008.02.06 not-a-virus:AdWare.Win32.NaviPromo.gen

McAfee 5224 2008.02.06 -

Microsoft 1.3204 2008.02.06 Adware:Win32/Slagent

NOD32v2 2854 2008.02.06 -

Norman 5.80.02 2008.02.06 -

Panda 9.0.0.4 2008.02.06 Adware/NaviPromo

Prevx1 V2 2008.02.06 Heuristic: Suspicious Self Modifying File

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.06 -

Sunbelt 2.2.907.0 2008.02.05 -

Symantec 10 2008.02.06 -

TheHacker 6.2.9.210 2008.02.06 -

VBA32 3.12.6.0 2008.02.06 -

VirusBuster 4.3.26:9 2008.02.06 -

Webwasher-Gateway 6.6.2 2008.02.06 Ad-Spyware.NaviPromo.LH.5

 

Information additionnelle

File size: 441856 bytes

MD5: 66322447a69005f4fa7150cbbcccb910

SHA1: a01f5775444b1a46e6fcc79d87ae9f5a8a4a1063

PEiD: UPX v1.03 - v1.04

Prevx info: http://info.prevx.com/aboutprogramtext.asp...CAD2500CF37FA47

 

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 2008.2.6.10 2008.02.05 -

AntiVir 7.6.0.62 2008.02.06 ADSPY/NaviPromo.LH.5

Authentium 4.93.8 2008.02.05 -

Avast 4.7.1098.0 2008.02.06 -

AVG 7.5.0.516 2008.02.06 -

BitDefender 7.2 2008.02.06 -

CAT-QuickHeal 9.00 2008.02.04 -

ClamAV 0.92 2008.02.06 -

DrWeb 4.44.0.09170 2008.02.06 -

eSafe 7.0.15.0 2008.01.28 -

eTrust-Vet 31.3.5512 2008.02.05 -

Ewido 4.0 2008.02.06 -

FileAdvisor 1 2008.02.06 -

Fortinet 3.14.0.0 2008.02.06 -

F-Prot 4.4.2.54 2008.02.06 -

F-Secure 6.70.13260.0 2008.02.06 -

Ikarus T3.1.1.20 2008.02.06 not-a-virus:AdWare.Win32.NaviPromo

Kaspersky 7.0.0.125 2008.02.06 not-a-virus:AdWare.Win32.NaviPromo.gen

McAfee 5224 2008.02.06 -

Microsoft 1.3204 2008.02.06 Adware:Win32/Slagent

NOD32v2 2854 2008.02.06 -

Norman 5.80.02 2008.02.06 -

Panda 9.0.0.4 2008.02.06 Adware/NaviPromo

Prevx1 V2 2008.02.06 Heuristic: Suspicious Self Modifying File

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.06 -

Sunbelt 2.2.907.0 2008.02.05 -

Symantec 10 2008.02.06 -

TheHacker 6.2.9.210 2008.02.06 -

VBA32 3.12.6.0 2008.02.06 -

VirusBuster 4.3.26:9 2008.02.06 -

Webwasher-Gateway 6.6.2 2008.02.06 Ad-Spyware.NaviPromo.LH.5

 

Information additionnelle

File size: 441856 bytes

MD5: 66322447a69005f4fa7150cbbcccb910

SHA1: a01f5775444b1a46e6fcc79d87ae9f5a8a4a1063

PEiD: UPX v1.03 - v1.04

Prevx info: http://info.prevx.com/aboutprogramtext.asp...CAD2500CF37FA47

[Gof]

Bonjour stef167

 

Bien pour l'analyse en ligne, c'est ce à quoi je pensais.

 

Désinstalle le Navilog1 présent sur ton système, via le panneau Ajout/Suppression de programmes de ton Panneau de configuration.

 

Puis réinstalle le (afin d'avoir une version à jour) comme indiqué :

 

Télécharge Navilog1 de Il-Mafioso et enregistre-le sur ton bureau.

• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  Patiente jusqu'au message : *** Analyse Termine le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
  Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
  

[stef167]

Search Navipromo version 3.4.3 commencé le 08/02/2008 à 8:01:42,21

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 06.02.2008 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Admin\application data" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Admin\local settings\application data" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Admin\MENUDM~1\PROGRA~1" ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier trouvé

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

* Recherche dans "C:\Documents and Settings\Admin\local settings\application data" *

 

 

 

*** Recherche fichiers ***

 

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings\Admin\local settings\application data" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 08/02/2008 à 8:10:56,34 ***

[Gof]

Bonsoir stef167

 

Je vais te demander de faire parvenir le fichier au développeur de l'outil Navilog1.

 

Rends toi sur le lien suivant : http://www.bleepingcomputer.com/submit-mal....php?channel=35

• Dans Link to topic where this file was requested, copie-colle le lien suivant :
  

• http://forum.zebulon.fr/index.php?showtopic=138366&st=0entry1173776
  

• Dans Browse to the file you want to submit, clique sur Parcourir et navigue jusqu'au fichier suivant :
  

• C:\WINDOWS\system32\wzjckp.exe
  

• Dans Leave any comments, further information about this file, or contact information, copie-colle la remarque suivante :
  

• Win32.NaviPromo Non détecté par Navilog1.
  

• Clique sur Send file, le fichier va être Uploadé, patiente sans actualiser jusqu'à la confirmation de bonne réception.
  

Dis moi si tout s'est bien passé.

[stef167]

Ok, j'ai fait ce que tu m'as dit. Tout c'est bien passé !!

[Gof]

Bien, merci pour la remontée du fichier.

 

Supprime à présent ce fichier, et indique moi si tu as pu le supprimer sans problèmes.

 

Indique moi également ce que tu as fait à propose de ce fichier : cmdow.exe.

 

L'as tu supprimé comme je te l'avais suggéré ? Ou l'as tu conservé ?

 

Vide ta corbeille. Qu'en est-il de tes soucis à présent ?