RÉSOLU

[lmmau]

Bonjour,

 

J'ai un problème depuis que j'ai téléchargé le logiciel web media player je l'ai désinstalé depuis...

 

Mais voilà que j'ai des fenêtres pornos qui s'ouvrent seules, et d'autres messages de sécurité...

 

Vraiment j'ai essayé avg anti root kit qui m'a permis d'effacer 2 choses mais ça n'a rien réglé du problème...

 

Que dois-je faire?

 

Merci pour vos précieux conseils.

 

lmmau

Modifié le 12 mars 2008 par lmmau

[toutoune]

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

• Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
   
  ***

http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
 
Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
   
  Suis la liste des instructions ci-dessous :
  

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  

[lmmau]

Merci d'être venue à mon secour, c'est gentil!

 

Voilà j'ai téléchargé le logiciel que vous m'avez proposé. En mode sans échec ... après avoir indiqué Y dans la fenêtre noire j'ai attendu plus d'une heure trente mis il ne semblait rien se produire c'est pourquoi je suis ici pour vous demander combien de temps je dois attendre avant que ne s'affiche la demande de redémarrer mon ordi.

 

Peut-être ne suis-je assez patient!!!

 

Merci!

[Thanos]

salut @ vous deux ,

 

lmmau, on va utiliser un programme dédié à cette infection >

 

Télécharge navilog1 de IL-MAFIOSO

• Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
  
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valides.
  (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  
• Patiente jusqu'au message :

  *** Analyse Termine le ..... ***

• Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
  
• Copie-colle l'intégralité dans une réponse. Referme le bloc note.
  
• Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
  

[lmmau]

Merci à vous aussi pour le coup de main!

 

Je ne sais pas si ce spyware ou je ne sais quoi sait que je le cherche mais il se déchaîne depuis quelques heures...ahhaahah!

 

Voici le rapport:

 

Search Navipromo version 3.4.8 commencé le 2008-02-27 à 20:37:12,59

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Système de fichiers : NTFS

 

Executé en mode normal

 

*** Recherche Programmes installés ***

 

 

Instant Access

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

C:\Program Files\Instant Access trouvé !

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***

 

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" ***

 

 

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

!! Fichier(s)/processus caché(s) différent(s) !!

!! Résultat Catchme non pris en compte par Navilog1 !!

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans C:\WINDOWS\system32 *

 

Fichiers suspects :

 

C:\WINDOWS\system32\nsinet.exe trouvé !

 

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

 

Fichiers trouvés :

 

faslmxbl.exe trouvé !

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf trouvé !

C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-33B0F5F9.pf trouvé !

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

C:\WINDOWS\system32\nsinet.exe trouvé !

 

2)Recherche Heuristique :

 

* Dans C:\WINDOWS\system32 :

 

 

* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 2008-02-27 à 20:38:27,26 ***

 

Merci encore un efois!

 

lmmau

[Thanos]

salut

 

Continue comme ceci >

 

1) Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

• Au menu principal, choisis 2 et valide.
  
• Le fix va t'informer qu'il va alors redémarrer ton PC
  
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
  
• Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même)
  
• Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :

  *** Nettoyage Termine le ..... ***

• Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
  
• Referme le bloc note. Ton bureau va réapparaitre
  

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Si tu ne trouve pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

2) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

1. Enregistre HJTInstall.exe sur ton bureau
   
2. Double-clique sur HJTInstall.exe pour lancer le programme
   
3. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
   
4. Accepte la license en cliquant sur le bouton "I Accept"
   
5. Choisis l'option "Do a system scan and save a log file"
   
6. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
   
7. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
   
8. Colle le rapport que tu viens de copier sur ce forum
   
9. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
   

Tutoriel > > http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

@+

[lmmau]

Bonjour,

 

Merci pour votre patience!

 

Je le fais en mode sans échec ou normal pour la première étape?

 

Bonne journée!

 

lmmau

[lmmau]

Rebonjour,

 

Voilà je ne l'ai pas fait en mode sans échec si c'est pas bon je recommencerai...

 

Clean Navipromo version 3.4.8 commencé le 2008-02-28 à 10:20:31,60

 

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 25.02.2008 à 20h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 7.0.5730.11

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans C:\WINDOWS\System32 *

 

 

* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

 

faslmxbl.exe trouvé !

Copie faslmxbl.exe réalisée avec succès !

faslmxbl.exe supprimé !

 

faslmxbl.dat trouvé !

Copie faslmxbl.dat réalisée avec succès !

faslmxbl.dat supprimé !

 

faslmxbl_nav.dat trouvé !

Copie faslmxbl_nav.dat réalisée avec succès !

faslmxbl_nav.dat supprimé !

 

faslmxbl_navps.dat trouvé !

Copie faslmxbl_navps.dat réalisée avec succès !

faslmxbl_navps.dat supprimé !

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\Instant Access ...suppression...

C:\Program Files\Instant Access supprimé !

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\MENUDM~1\PROGRA~1" ***

 

 

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\Downloaded Program Files\IaLdr32.inf supprimé !

C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-33B0F5F9.pf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

C:\WINDOWS\system32\nsinet.exe trouvé !

Copie C:\WINDOWS\system32\nsinet.exe réalisée avec succès !

C:\WINDOWS\system32\nsinet.exe supprimé !

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans C:\WINDOWS\system32 *

 

 

* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *

 

 

*** Sauvegarde du Registre vers dossier Backupnavi ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

 

*** Nettoyage terminé le 2008-02-28 à 10:23:57,01 ***

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:25:11, on 2008-02-28

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\NOTEPAD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

 

http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

 

http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

 

http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up -

 

{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

 

Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program

 

Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE

 

LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE

 

RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

 

Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

 

Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

 

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -

 

http://a1540.g.akamai.net/7/1540/52/200705...ex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

 

http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) -

 

http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cab

O16 - DPF: {2E4A92AB-F2C0-456A-9935-B715439790D7} (Setup Class) -

 

https://www.opinionsquare.com/Config/CSetup_xp.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) -

 

http://cdn.scan.onecare.live.com/resource/...lscbase4009.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

 

http://update.microsoft.com/microsoftupdat...b?1173469537203

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -

 

http://www.adobe.com/products/acrobat/nos/gp.cab

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program

 

Files\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -

 

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -

 

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program

 

Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. -

 

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O24 - Desktop Component 0: (no name) -

 

file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msoclip1/01/clip_image001.jpg

O24 - Desktop Component 1: (no name) -

 

file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg

 

--

End of file - 5673 bytes

 

Merci! Merci! Merci!

[Thanos]

salut

 

Non, il est inutile de faire le scan en mode sans échec, donc c'est bon.

L'infection a bien été éliminée.

Tu peux à présent passer par le Panneau de Configuration > Ajouter/Supprimer des Programmes > désinstalle navilog

 

Fais un scan en ligne avec Panda > http://www.nanoscan.com/as/v1/principal.aspx?Lang=en

En images ici > http://www.malekal.com/scan_Av_en_ligne.php#mozTocId131054

• Il faut choisir Full Scan (et pas QuickScan) >
  
• Poste le rapport qu'il t'affichera à la fin.
  
• Note : Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index
  
• Si ca ne fonctionne pas,assure toi que Internet Explorer est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
  

Ca va nous permettre de voir si tout est bon

[lmmau]

Pfiou!!!

 

J'ai bien tenté à quatre reprises et plusieurs heures d'attente de télécharger Total Nano Panda mais chaque fois à 66% le téléchargement s'arrête.

 

Jusqu'à présent le bug ne s'est plus manifesté...

 

Y a-t'il quelque chose d'autre que je puisse faire?

 

Merci encore...

 

lmmau