Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

lo.st: [RESOLU]...Merci à Falkra!


kartofen
 Share

Messages recommandés

B'soir, je suis à l'agonie. J'ai choppé ce foutu Lo.st. Je lutte depuis des heures. Voilà un message sous forme de bouteille à la mer (l'amer aussi).

Bref...Help...

J'ai bien lu tout le topic, seulement voilà, je suis sous XP (pas vista) et j'aimerai une solution adapté à ce cas précis. J'ai tenté plein d'astuces déjà et rien ne va :P

Merci d'avance (je vais me coucher là).

Modifié par kartofen
Lien vers le commentaire
Partager sur d’autres sites

Bonjour, j'ai déplacé ton sujet, chaque cas est traité séparément.

 

Messages : 1

Si jamais tu as besoin de quelques infos :

Comment participer à un forum

Retrouver ses messages

 

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

  • Double-clique maintenant sur le fichier téléchargé.
  • Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  • Choisis maintenant l'option (Recherche). Patiente jusqu'à la fin de la recherche.
  • Poste le rapport généré. (C:\TB.txt)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Déjà merci pour les infos et désolé d'avoir posté au "petit bonheur la chance"...

 

Sinon voilà le rapport:

 

-----------\\ ToolBar S&D 1.2.4 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Pentium® 4 CPU 3.00GHz )

BIOS : Phoenix ROM BIOS PLUS Version 1.10 A03

USER : Stéph ( Administrator )

BOOT : Normal boot

Antivirus : avast! antivirus 4.7.1098 [VPS 080902-0] 4.7.1098 (Activated)

C:\ (Local Disk) - NTFS - Total:228 Go (Free:203 Go)

D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)

E:\ (USB)

F:\ (USB)

G:\ (USB)

H:\ (USB) - FAT32 - Total:119 Mo (Free:0 Go)

 

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )

Option : [1] ( 04/11/2008|13:11 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ Extensions

 

(Stph) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://www.neufportail.fr/"

"Search Page"="http://www.google.com"

"Search Bar"="http://www.google.com/ie"'>http://www.google.com/ie"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.google.com/ie"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

 

 

--------------------\\ Recherche d'autres infections

 

C:\Program Files\InternetGameBox

C:\Program Files\InternetGameBox\InternetGameBox.exe

C:\Program Files\InternetGameBox\language

C:\Program Files\InternetGameBox\ressources

C:\Program Files\InternetGameBox\skins

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\InternetGameBox

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\InternetGameBox\Conditions gnrales.url

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\InternetGameBox\Confidentialit.url

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\InternetGameBox\Dsinstaller.lnk

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\InternetGameBox\InternetGameBox.lnk

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\InternetGameBox\Website.url

C:\WINDOWS\System32\nvs2.inf

==> EGDACCESS <==

 

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 04/11/2008|13:12 - Option : [1]

 

-----------\\ Fin du rapport a 13:12:25,23

Modifié par kartofen
Lien vers le commentaire
Partager sur d’autres sites

  • Clique sur ce lien de navilog1 de IL-MAFIOSO :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  • Enregistre le fichier sur ton bureau.
  • Ensuite double clique sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, navilog1 s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  • Laisse-toi guider. Au menu principal, choisis 1 et valide.
    (ne fais pas le choix 2,3 ou 4 sans accord)
  • Cela dure un moment, attends le message :
    *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  • Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.

 

Note :

Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

 

-+------------------

 

  • Ouvre le bloc notes. Copie-colle dedans le contenu de la boite code qui suit, sans ligne blanche vide au début, ça doit commencer par Windows Registry Editor Version 5.00 comme ci dessous :

 

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"

  • Sauvegarde cela sur le bureau en donnant comme nom lib.reg (pas d'extension texte donc).
  • Le fichier va être créé avec une icône de base de registre, double clique dessus et confirme pour l'ajouter au registre.

 

-+-----------------------

 

 

Affiche les fichiers cachés et ceux du système :

http://www.libellules.ch/afficher_fichiers.php

 

Va dans ton profli Firefox, et localise les fichiers prefs.js et session.rdf

Infos pour localiser le profil :

http://www.geckozone.org/articles/2005/08/...derbird-mozilla

 

Ouvre ces fichiers avec le bloc-notes (clic droit, ouvrir avec, ou clic droit, modifier). Fais une recherche de "eo.st" et remplace chaque occurrence par "http://www.google.fr".

 

A faire Firefox étant fermé.

Lien vers le commentaire
Partager sur d’autres sites

Voilà le rapport, je m'occupe de faire la suite

 

Search Navipromo version 3.6.8 commencé le 04/11/2008 à 17:29:08,71

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Stéph"

 

Mise à jour le 03.11.2008 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.5512

Système de fichiers : NTFS

 

Recherche executé en mode normal

 

*** Recherche Programmes installés ***

 

InternetGameBox

 

*** Recherche dossiers dans "C:\WINDOWS" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

...\InternetGameBox trouvé !

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

...\InternetGameBox trouvé !

 

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Stéph\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Stéph\locals~1\applic~1" ***

 

 

*** Recherche dossiers dans "C:\Documents and Settings\Stéph\menudm~1\progra~1" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\WINDOWS\system32" *

 

* Recherche dans "C:\Documents and Settings\Stéph\locals~1\applic~1" *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\system32\nvs2.inf trouvé !

 

*** Recherche clés spécifiques dans le Registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_CURRENT_USER\Software\mc trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\WINDOWS\system32" :

 

 

* Dans "C:\Documents and Settings\Stéph\locals~1\applic~1" :

 

 

3)Recherche Certificats :

 

Certificat Egroup trouvé !

Certificat Electronic-Group trouvé !

Certificat Montorgueil absent !

Certificat OOO-Favorit trouvé !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche fichiers connus :

 

 

 

*** Analyse terminée le 04/11/2008 à 17:35:07,71 ***

Lien vers le commentaire
Partager sur d’autres sites

Ok, fais les autres manips, et en attendant, voilà un autre rapport à fournir, qui va faire du bien, tu as installé InternetGameBox, un logiciel/infection. Ne le réinstalle pas. Ce qui suit va nettoyer comme il faut.

 

  • Double-clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
  • Au menu principal, choisis 2 et valide.
  • Le programme va t'informer qu'il va alors redémarrer ton PC.
  • Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
  • Appuie sur une touche comme demandé. Le pc va redémarrer.
  • Au redémarrage de ton PC, choisis ta session habituelle. Attends le message :
    *** Nettoyage Termine le ..... ***
  • Le Bloc-notes va s'ouvrir : sauvegarde le rapport de manière à le retrouver.
  • Referme le Bloc-notes. Ton bureau va réapparaitre

 

PS: Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer.exe et valide. Cela fera revenir ton bureau.

 

Note:

Si tu ne trouves pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

Lien vers le commentaire
Partager sur d’autres sites

Va dans ton profli Firefox, et localise les fichiers prefs.js et session.rdf

Infos pour localiser le profil :

http://www.geckozone.org/articles/2005/08/...derbird-mozilla

 

Ouvre ces fichiers avec le bloc-notes (clic droit, ouvrir avec, ou clic droit, modifier). Fais une recherche de "eo.st" et remplace chaque occurrence par "http://www.google.fr".

 

A faire Firefox étant fermé.

 

Voilà à l'heure qu'il est, j'en suis là. Mais...

 

1 - Recherche "eo.st" dans fichier "prefs.js" = impossible de trouver "eo.st"

 

2- J'ai pas trouvé de fichiers "session.rdf"... :P

 

3- En cherchant le profil Firefox, j'ai trouvé ça sur la route: C:\Documents and Settings\Stéph\Application Data\EoRezo = vide... :P

 

Bon je laisse comme ça pour l'instant et je m'occupe du logiciel/infection.

Lien vers le commentaire
Partager sur d’autres sites

Erreur de ma part, c'est lo.st qu'il faut rechercher dans prefs.js.

 

@ toute pour le rapport Navilog.

Lien vers le commentaire
Partager sur d’autres sites

I- Voici le dernier rapport, après nettoyage:

 

Clean Navipromo version 3.6.8 commencé le 04/11/2008 à 18:53:43,48

 

Outil exécuté depuis C:\Program Files\navilog1

Session actuelle : "Stéph"

 

Mise à jour le 03.11.2008 à 18h00 par IL-MAFIOSO

 

 

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.5512

Système de fichiers : NTFS

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\WINDOWS\System32" *

 

 

* Suppression dans "C:\Documents and Settings\Stéph\locals~1\applic~1" *

 

 

 

*** Suppression dossiers dans "C:\WINDOWS" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

...\InternetGamebox ...suppression...

...\InternetGamebox supprimé !

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

 

...\InternetGamebox ...suppression...

...\InternetGamebox supprimé !

 

 

*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

 

 

*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Stéph\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Stéph\locals~1\applic~1" ***

 

 

*** Suppression dossiers dans "C:\Documents and Settings\Stéph\menudm~1\progra~1" ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\Stph\locals~1\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\WINDOWS\system32" *

 

 

* Dans "C:\Documents and Settings\Stéph\locals~1\applic~1" *

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup supprimé !

Certificat Electronic-Group supprimé !

Certificat Montorgueil absent !

Certificat OOO-Favorit supprimé !

Certificat Sunny-Day-Design-Ltdt absent !

 

*** Nettoyage terminé le 04/11/2008 à 18:57:07,25 ***

 

II- Sinon...

 

1 - Recherche "lo.st" dans fichier "prefs.js" = impossible de trouver "lo.st"

 

2- J'ai pas trouvé de fichiers "session.rdf"...

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...