Sujet de F2B

[Gof]

Salut à tous,

 

Je ne voulais pas pas créer un autre sujet de pop up intempestif donc je continue dans la foulée de viruSick.

J'ai un windows vista EFP et firefox. J'ai constament des fenêtres de pubs qui apparaissent quand je navigue.

Je ne sais pas quel malware j'ai pu contracter...

 

Voici le rapport main.txt de Desckard's System Scanner (DSS) :

 

Si vous pouvez m'aider, merci d'avance !!

 

 

Deckard's System Scanner v20071014.68

Run by Ophélie on 2008-07-29 18:46:06

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- Last 5 Restore Point(s) --

16: 2008-07-29 16:10:00 UTC - RP90 - Removed BitDefender Total Security 2008

15: 2008-07-29 16:03:15 UTC - RP89 - Removed BitDefender Total Security 2008

14: 2008-07-29 15:48:22 UTC - RP88 - Installed BitDefender Total Security 2008

13: 2008-07-29 15:13:20 UTC - RP87 - Windows Update

12: 2008-07-28 09:56:02 UTC - RP86 - Installed MyDSC2

 

 

-- First Restore Point --

1: 2008-07-18 18:14:50 UTC - RP71 - Windows Update

 

 

Backed up registry hives.

Performed disk cleanup.

 

Total Physical Memory: 1022 MiB (1024 MiB recommended).

 

 

-- HijackThis Clone ------------------------------------------------------------

 

 

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2008-07-29 18:49:14

Platform: Windows Vista (6.00.6000)

MSIE: Internet Explorer (7.00.6000.16386)

Boot mode: Normal

 

Running processes:

C:\Windows\System32\dwm.exe

C:\Windows\explorer.exe

C:\Windows\System32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Users\Ophélie\AppData\Local\waaewmm.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Users\Ophélie\Documents\Progr divers\dss.exe

C:\Windows\System32\conime.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\GoogleToolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\GoogleToolbar2.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [waaewmm] c:\users\ophélie\appdata\local\waaewmm.exe waaewmm

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETWORK SERVICE')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Common Files\microsoft shared\Web Components\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Common Files\microsoft shared\Web Components\11\OWC11.DLL

O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\microsoft shared\OFFICE11\MSOXMLMF.DLL

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\Windows\System32\drivers\Pclepci.sys

 

 

--

End of file - 6148 bytes

 

-- File Associations -----------------------------------------------------------

 

All associations okay.

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

All drivers whitelisted.

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

 

S2 PCLEPCI - c:\windows\system32\drivers\pclepci.sys <Not Verified; Pinnacle Systems GmbH; PCLEPCI>

 

 

-- Device Manager: Disabled ----------------------------------------------------

 

No disabled devices found.

 

 

-- Files created between 2008-06-29 and 2008-07-29 -----------------------------

 

2008-07-29 18:12:01 81984 --a------ C:\Windows\system32\bdod.bin

2008-07-29 17:56:51 0 d-------- C:\Windows\BDOSCAN8

2008-07-29 17:49:08 0 d-------- C:\Program Files\BitDefender

2008-07-29 17:47:21 0 d-------- C:\Program Files\Common Files\BitDefender

2008-07-28 12:36:19 0 d-------- C:\Program Files\CCleaner

2008-07-25 18:40:43 212480 --a------ C:\Windows\pcdlib32.dll <Not Verified; Eastman Kodak; Kodak Photo CD Access Developer Toolkit>

2008-07-25 18:34:51 33890 --a------ C:\Windows\system32\drivers\Capt905c.sys <Not Verified; Service & Quality Technology.; SQ905c>

2008-07-25 18:34:51 24605 --a------ C:\Windows\system32\drivers\Camd905c.sys <Not Verified; Service & Quality Technology.; SQ905c>

2008-07-20 14:53:25 0 d-------- C:\Users\All Users\WinZip

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-07-29 18:22:41 690832 --a------ C:\Windows\system32\perfh00C.dat

2008-07-29 18:22:41 117572 --a------ C:\Windows\system32\perfc00C.dat

2008-07-29 18:01:05 0 d-------- C:\Program Files\Google

2008-07-29 17:47:21 0 d-------- C:\Program Files\Common Files

2008-07-28 11:56:44 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-07-26 22:34:01 0 d-------- C:\Program Files\DivX

2008-07-26 22:26:17 0 d-------- C:\Program Files\Common Files\InstallShield

2008-07-19 10:34:38 174 --ahs---- C:\Program Files\desktop.ini

2008-07-19 10:32:24 0 d-------- C:\Program Files\Windows Mail

2008-07-18 15:36:54 0 d-------- C:\Users\Ophélie\AppData\Roaming\Google

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [03/12/2007 22:09]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [01/05/2008 12:59]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 22:16]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 04:25]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [30/01/2008 21:55]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [29/07/2008 17:54]

"waaewmm"="c:\users\ophélie\appdata\local\waaewmm.exe" []

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}]

@="IEEE 1394 Bus host controllers"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}]

@="SBP2 IEEE 1394 Devices"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}]

@="SecurityDevices"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalSystemNetworkRestricted hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bb221ec-9848-11dc-a86f-00030d551c42}]

¶}±Ò(&O)\command- RECYCLER\UcHelp.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8c533c0-8d6b-11dc-8728-806e6f6e6963}]

AutoRun\command- E:\autorun.exe

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

C:\Windows\system32\unregmp2.exe /ShowWMP

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]

%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI

 

 

 

-- End of Deckard's System Scanner: finished at 2008-07-29 18:50:37 ------------

[Gof]

Bonsoir F2B,

 

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

 

Installation :

 

Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).

• Démarrer > Panneau de Configuration
  
• Double clique sur l'icône Comptes d'utilisateurs
  
• Clique ensuite sur Désactiver et valide.
   
  
• Télécharge maintenant Navilog1 depuis-ce lien :
   
  http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
   
  
• Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau.
  
• Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer.
  
• Attends la fin de l'installation.
  

 

 

Option #1 :

 

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé.

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

• Sur le menu principal, choisis 1.
  
• Suis les instructions et patiente.
  
• Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps).
  
• Appuie sur une touche ainsi que demandé.
  
• Un document du Bloc-notes est créé : fixnavi.txt.
  
• Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
  
• Referme le Bloc-notes.
  

Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

 

 

A bientôt.

[F2B]

Merci Gof de suivre le problème.

 

J'ai donc suivi tles instructions à la lettre, mais pour info, au téléchargement et à l'installation de Navilog1, Antivir m'a alerté plusieurs fois au sujet d'une infection par DR/Tool.Reboot.F.108, tu sais ce que c'est ??

 

Voici le rapport fixnavi.txt :

 

Search Navipromo version 3.6.1 commencé le 29/07/2008 à 20:20:59,01

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Ophélie"

 

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6000

Internet Explorer : 7.0.6000.16681

Système de fichiers : NTFS

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

 

*** Recherche dossiers dans "C:\Windows" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Recherche dossiers dans "C:\ProgramData" ***

 

 

*** Recherche dossiers dans "c:\users\ophlie~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\Users\Oph‚lie\AppData\Local\virtualstore\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Users\Oph‚lie\AppData\Roaming" ***

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun Fichier Navipromo trouvé

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\Windows\system32" *

 

* Recherche dans "C:\Users\Oph‚lie\AppData\Local\Microsoft" *

 

* Recherche dans "C:\Users\Oph‚lie\AppData\Local" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\Windows\system32" :

 

 

* Dans "C:\Users\Oph‚lie\AppData\Local\Microsoft" :

 

 

* Dans "C:\Users\Oph‚lie\AppData\Local" :

 

waaewmm.dat trouvé !

waaewmm_nav.dat trouvé !

waaewmm_navps.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 29/07/2008 à 20:29:03,05 ***

[Gof]

Bonsoir F2B,

 

Bien.

J'ai donc suivi tles instructions à la lettre, mais pour info, au téléchargement et à l'installation de Navilog1, Antivir m'a alerté plusieurs fois au sujet d'une infection par DR/Tool.Reboot.F.108, tu sais ce que c'est ??

Oui, ignore les alertes. Il s'agit d'une détection sur Navilog à propos d'un de ses modules. Les outils de désinfection se doivent d'utiliser certaines méthodes qui sont aussi parfois utilisées par certains malwares. Alors les antivirus s'emmêlent souvent les pinceaux.

 

Option #2 :

 

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé.

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

• Sur le menu principal, choisis 2.
  
• Suis les instructions et patiente.
  
• L'outil va t'informer qu'il redémarrera ton ordinateur.
  
• Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres.
  
• Appuie sur une touche ainsi que demandé.
  
• Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement.
  
• Choisis ta session habituelle si nécessaire.
  
• Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps).
  
• Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver.
  
• Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
  
• Referme le Bloc-notes.
  
• Ton Bureau va réapparaître.
  

Réactive le contrôle des comptes utilisateurs (UAC-User Account Control).

 

Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

[F2B]

Voilà Gof :

 

Clean Navipromo version 3.6.1 commencé le 30/07/2008 à 12:41:00,35

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Ophélie"

 

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6000

Internet Explorer : 7.0.6000.16681

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\Windows\System32" *

 

 

* Suppression dans "C:\Users\Oph‚lie\AppData\Local\Microsoft" *

 

 

* Suppression dans "C:\Users\Oph‚lie\AppData\Local" *

 

 

 

*** Suppression dossiers dans "C:\Windows" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Suppression dossiers dans "C:\ProgramData" ***

 

 

*** Suppression dossiers dans c:\users\ophlie~1\appdata\roaming\micros~1\windows\startm~1\programs ***

 

 

*** Suppression dossiers dans "C:\Users\Oph‚lie\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\Oph‚lie\AppData\Roaming" ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\Windows\Temp effectué !

Nettoyage contenu C:\Users\OPHLIE~1\AppData\Local\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\Windows\system32" *

 

 

* Dans "C:\Users\Oph‚lie\AppData\Local\Microsoft" *

 

 

* Dans "C:\Users\Oph‚lie\AppData\Local" *

 

 

waaewmm.exe trouvé !

Copie waaewmm.exe réalisée avec succès !

waaewmm.exe supprimé !

 

waaewmm.dat trouvé !

Copie waaewmm.dat réalisée avec succès !

waaewmm.dat supprimé !

 

waaewmm_nav.dat trouvé !

Copie waaewmm_nav.dat réalisée avec succès !

waaewmm_nav.dat supprimé !

 

waaewmm_navps.dat trouvé !

Copie waaewmm_navps.dat réalisée avec succès !

waaewmm_navps.dat supprimé !

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

 

*** Nettoyage terminé le 30/07/2008 à 12:44:56,88 ***

[Gof]

Bonjour F2B

 

Bien, bon travail. Tes pop-ups ont normalement complètement disparus, tu me le confirmes ?

 

Tu peux désinstaller Navilog1 via ton Panneau de configuration>Ajout/Suppression de programmes. Je vais te faire effectuer une petite analyse de confirmation.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Fais un clic-droit et sélectionne "Exécuter en tant qu'administrateur" pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

A bientôt.

[F2B]

et voilà :

 

Malwarebytes' Anti-Malware 1.23

Version de la base de données: 1008

Windows 6.0.6000

 

13:21:10 30/07/2008

mbam-log-7-30-2008 (13-21-10).txt

 

Type de recherche: Examen rapide

Eléments examinés: 33643

Temps écoulé: 3 minute(s), 13 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

Ca semble régler en effet, je te remercie de ton aide Gof !

[Gof]

Re F2B

 

Bon boulot .

 

Cette infection ne s'installe pas à l'insu des utilisateurs, mais toujours en complément d'un autre logiciel, tels que :

- go-astro

- Instant Access

- InternetGameBox

- GoRecord

- HotTVPlayer

- Live-Player

- MailSkinner

- Messenger Skinner

- sudoplanet

- Webmediaplayer (hormis le Webmediaplayer "légitime" issu de http://www.azertysite.new.fr/ )

Je t'invite à rester prudent sur l'internet.

 

 

A mon tour je vais te demander un service, je vais te demander de rapporter ton infection sur Malware Complaints.

 

Malware Complaints est une coopération entre beaucoup d’assistants anti-malware et d’experts de partout dans le monde. De tous les coins du monde, ces gens se sont unis pour faire en sorte que les utilisateurs, peu importe de quelle partie du monde ils sont originaires, puissent déposer une plainte contre le malware et leurs auteurs.

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être le plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5

- Après t'être enregistré à l'aide du bouton en haut register

Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age

Si tu as moins, clique sur : I Agree to these terms and am under 13 years of age

 

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections conforme au règle du forum (age, ville, département etc..)

---> http://www.malwarecomplaints.info/viewforum.php?f=10

 

Plus d'info sur MalwareComplaints ici : http://forum.zebulon.fr/index.php?showtopic=88688

canned de Malekal_morte : http://www.malekal.com/

 

Dans ton cas, le sujet "NaviPromo / Magic.Control / EgdAccess" sera le plus approprié. Tu as été infecté par une infection de type Navipromo (publicités intempestives).

 

 

Enfin, quelques suggestions. Les conseils qui suivent sont volontairement génériques, de sorte qu'ils puissent servir à un maximum de personnes. Je t'invite à prendre le temps de bien lire tout cela, de t'informer, d'essayer.

 

***

 

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)

- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

- un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour

Pour en savoir plus sur la sécurité pc, consulte les pages suivantes:

Ipl_001 : Lutte antimalware-Prévention

Malekal_Morte : Pourquoi et comment je me fais infecter ?

 

 

Pense à changer le titre et y rajouter " Résolu" stp. Pour cela, clique sur "Editer" à la gauche de " Citer " et "Répondre " sur le tout premier post du sujet, puis sélectionne "édition complète". Tu pourras alors changer le titre et y rajouter " Résolu".

 

 

As-tu des questions ?