infecté par malware adware.navipromo.gen.1

[rony2]

Bonjour j'ai lanvé bitdefender qui m'a détecté le fichier suivant adware.navipromo.gen.1

comment se débarrasser de cet individus?

merci pour vos conseil

[oGu]

Salut Rony2!

 

 

HIJACKTHIS

 

Télécharge et installe la dernière version d' HIJACKTHIS [v2.0.2] en cliquant sur l'image:

• Enregistre HJTInstall.exe sur ton bureau
  
• Double-clique sur HJTInstall.exe pour lancer le programme
  Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
  • Accepte la licence en cliquant sur le bouton "I Accept"
    
  • Choisis l'option "Do a system scan and save a log file"
    
  • Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    
  • Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    
  • Colle le rapport que tu viens de copier sur ce forum
    
  • Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
    

 

Pour une aide détaillée en image, clique sur cette icône:

 

 

 

EDIT: c'est la deuxième fois en trois mois que tu chopes l'adware NaviPromo !!

 

http://forum.zebulon.fr/spyware-secure-t146910.html

 

T'en fais la collection ?

Modifié le 5 octobre 2008 par oGu

[rony2]

Salut

merci beaucoup

je crois que je la premiere fois que je l'ai choppé il a pas du se virer je ne me suis plus inquiété pendant quelques temps je m'achete bitdefender 2009 et voilà que je me le retrouve ca a l'air d'etre une saloperie bon je fais ce que tu me demande dans le prochain message

en tout cas merci

[rony2]

voici le rapport

mais il ne m'apas demander save log il s'est ouvert tout seul...

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:59:34, on 05/10/2008

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Softex\OmniPass\scureapp.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\ATK0100\HControl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe

C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\ATK0100\ATKOSD.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\Patty\Desktop\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O1 - Hosts: ::1 localhost

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [OmniPass] C:\Program Files\Softex\OmniPass\scureapp.exe

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [HControl] C:\Windows\ATK0100\HControl.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"

O4 - HKLM\..\Run: [igfxTray] C:\Windows\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [bitDefender Security Center] "C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe" /init

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"

O4 - HKLM\..\Run: [bitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Bluetooth Manager.lnk = ?

O8 - Extra context menu item: Abrir con Wordperfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: BitDefender Arrakis Server (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Common Files\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\OmniServ.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

 

--

End of file - 7166 bytes

[oGu]

Ok, merci. Ton PC est-il en langue espagnole?

 

Je ne vois rien de méchant dans ton rapport: on va bricoler deux-trois trucs, puis on passera un outil plus précis.

 

 

Commence par désinstaller la Yahoo! Toolbar, puis:

 

 

DESACTIVER TEMPORAIREMENT L'UAC

En suivant cette méthode:

 

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

 

 

 

 

HIJACKTHIS

 

• Relance HijackThis avec un clic droit sur le fichier C:\Users\Patty\Desktop\HiJackThis.exe et en sélectionnant "exécuter en tant qu'administrateur"
  
• Sélectionne "Do a system scan only"
  
• Coche les lignes suivantes si elles existent:
   

  R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
   
  O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)

   
   
  
• Ferme tes navigateurs internet (ex: Firefox et Internet Explorer)
  
• Clique en bas sur "Fix checked"
  
• Redémarre
  

 

 

 

NAVILOG1

 

• Désactive ton antivirus
  
• Télécharge NaviLog1 de IL-MAFIOSO sur ton bureau
  
• Lance-le en cliquant droit sur le fichier téléchargé et en sélectionnant: "exécuter en tant qu'administrateur"
  
• Une fenêtre noire apparaît: tape F puis Entrée
  
  
• Un avertissement s'affiche: clique sur n'importe quelle touche du clavier.
  
• Le fix vérifie son installation: tape à nouveau sur une touche quelconque pour passer à l'autre étape
  
• Le menu du fix s'ouvre: choisis l'option 1 en tapant sur la touche 1 du clavier, puis appuis sur la touche Entrée.
   
  
  
• La vérification du système s'effectue alors: cela peut prendre plusieurs minutes (de 5 à 10min), sois patient et ne touche à rien.
  
• Le rapport s'ouvre à la fin de la procédure: enregistre-le sur ton bureau
  
• Copie le contenu du rapport et poste-le dans ta réponse
  
  

Modifié le 5 octobre 2008 par oGu

[rony2]

Salut

en faite il s'agit de l'ordi de ma femme qui est bien en langue espagnol, par contre dans le programme de désinstallation windows je ne trouve pas la yahoo toolbar

je viens de désactiver l'uac et pour le moment l'ordi redémarre,la suite dans quelques instants

[oGu]

Ok, on verra plus tard pour la toolbar Yahoo: peut-être la ligne que je vois dans le rapport ne correspond-elle qu'à une trace. Y'a-t-il un dossier Yahoo dans C:\Program Files ?

 

Je regarde tes rapports demain, bonne soirée!

Modifié le 5 octobre 2008 par oGu

[rony2]

Bonne soirée

[rony2]

Voici le rapport

bonne soirée

 

 

Search Navipromo version 3.6.6 commencé le 05/10/2008 à 22:03:03,60

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Patty"

 

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

 

Microsoft Windows Vista 6.0.6001

Internet Explorer : 7.0.6001.18000

Système de fichiers : NTFS

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

 

*** Recherche dossiers dans "C:\Windows" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Recherche dossiers dans "C:\ProgramData" ***

 

 

*** Recherche dossiers dans "c:\users\patty\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\Users\Patty\AppData\Local\virtualstore\Program Files" ***

 

 

*** Recherche dossiers dans "C:\Users\Patty\AppData\Roaming" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\Windows\system32" *

 

* Recherche dans "C:\Users\Patty\AppData\Local\Microsoft" *

 

* Recherche dans "C:\Users\Patty\AppData\Local\virtualstore\windows\system32" *

 

* Recherche dans "C:\Users\Patty\AppData\Local" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\Windows\system32" :

 

 

* Dans "C:\Users\Patty\AppData\Local\Microsoft" :

 

 

* Dans "C:\Users\Patty\AppData\Local\virtualstore\windows\system32" :

 

 

* Dans "C:\Users\Patty\AppData\Local" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 05/10/2008 à 22:17:42,32 ***

[rony2]

je viens de relancer l'analyse complete et je trouve la détection de ce virus

adware.fakeantivirus.m

 

c'est vraiment très bizarre