Ouverture de page intempestive lors de la recherche sur le net

[Pat67]

Bonjour,

Voilà mon problème :

lors de le recherche d'un sujet sur le net sous le moteur google, au moment de cliquer le choix du site, c'est une autre fenêtre, non désirée qui apparaît en premier. Généralement des pages de pubs.

Ci-dessous le rapport du scan avec HijackThis v2.0.2

Avec tous mes remerciements pour votre aide

Cordialement

Pat67

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:58:23, on 11/05/2009

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16830)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\PDF Suite\PDFServiceEngine.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe

E:\CorelIOMonitor.exe

C:\Program Files\Siber Systems\AI RoboForm\robotaskbaricon.exe

C:\Users\PEYRE\AppData\Local\ygqwo.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

E:\Program Files\Larousse\Petit Larousse 2009\bin\Hyperappel.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\MSI\Common\RaUI.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

C:\Windows\system32\WTablet\Pen_TabletUser.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Users\PEYRE\Downloads\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [PDFServiceEngine] C:\Program Files\PDF Suite\PDFServiceEngine.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"

O4 - HKLM\..\Run: [indexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"

O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup

O4 - HKLM\..\Run: [Corel File Shell Monitor] E:\CorelIOMonitor.exe

O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"

O4 - HKCU\..\Run: [iSUSPM Startup] c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKCU\..\Run: [ygqwo] "c:\users\peyre\appdata\local\ygqwo.exe" ygqwo

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-21-1877036829-2229629224-805377643-1000\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User '?')

O4 - HKUS\S-1-5-21-1877036829-2229629224-805377643-1000\..\Run: [iSUSPM Startup] c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup (User '?')

O4 - HKUS\S-1-5-21-1877036829-2229629224-805377643-1000\..\Run: [ygqwo] "c:\users\peyre\appdata\local\ygqwo.exe" ygqwo (User '?')

O4 - HKUS\S-1-5-21-1877036829-2229629224-805377643-1000\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User '?')

O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')

O4 - S-1-5-21-1877036829-2229629224-805377643-1000 Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe (User '?')

O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe

O4 - Global Startup: Hyperappel du Petit Larousse 2009.lnk = E:\Program Files\Larousse\Petit Larousse 2009\bin\Hyperappel.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O4 - Global Startup: MSI Wireless Utility.lnk = C:\Program Files\MSI\Common\RaUI.exe

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - (no file)

O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - E:\Druide\Antidote\Internet Explorer\7\Antidote K - IE 7.htm (HKCU)

O9 - Extra button: Dictionnaires - {F9B969E8-58D0-4dd9-AC8A-EE2336FF8F65} - E:\Druide\Antidote\Internet Explorer\7\Antidote D - IE 7.htm (HKCU)

O9 - Extra button: Guides - {FA089E36-3F1B-4c51-9A1A-C4E7012483AF} - E:\Druide\Antidote\Internet Explorer\7\Antidote G - IE 7.htm (HKCU)

O13 - Gopher Prefix:

O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Jewels%20of%20Cleopatra/Images/stg_drm.ocx

O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Jewels%20of%20Cleopatra/Images/armhelper.ocx

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Windows\system32\Pen_Tablet.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

 

--

End of file - 12630 bytes

[Thanos]

Salut et bienvenue sur le forum

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

*********

Ton pc est infecté par L'adware navipromo: il est véhiculé par des logiciels qu'il faut fuir absolument!! en voici une liste non exhaustive pour ne pas tomber dans le piège à nouveau >

• Funky Emoticons
  
• Games-AttacK
  
• Original-Solitaire
  
• go-astro
  
• Live-Player
  
• GoRecord
  
• HotTVPlayer
  
• MailSkinner
  
• Messenger Skinner
  
• Instant Access
  
• InternetGameBox
  
• sudoplanet
  
• Webmediaplayer sauf celui provenant du site suivant > http://www.azertysite.new.fr/
  

D'une manière générale, méfie toi des utilitaires que tu télécharges!!Utilise Google pour voir si c'e n'est pas un logiciel qui installe un spyware : une simple recherche de quelques minutes te permettra de te faire une idée.

Par exemple : fais une recherche sur MessengerSkinner et tu verras le nombre de discussion ou les gens se plaignent de publicité intempestives ....

Plus d'infos sur le site de Malekal Morte dont les infos sont tirées > http://www.malekal.com/popupsintempestives.php

 

Voilà une autre liste (chez Assiste.com) que tu peux consulter avant d'installer un antispyware si tu es amené à le faire : elle recense tout un tas de faux utilitaires qui n'ont aucune efficacité, et qui peuvent même être dangereux car pas fiables : http://assiste.com.free.fr/p/craptheque/craptheque.html

D'autres apparaissent chaque jour (ou presque) ! aussi une recherche encore une fois avant d'installer quoique ce soit!!

*********

 

On va te débarrasser de cette infection à l'aide du programme suivant =>

 

1°) Avant de commencer, on va désactiver l'UAC le temps des différents scans.Une fois la désinfection terminée, tu pourras le remettre en route. Pour désactiver l'UAC, suis les indications données dans ce sujet >>

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

2°) Télécharge navilog1 de IL-MAFIOSO

• Choisis Enregistrer la cible (du lien) sous et enregistre-le fichier sur ton bureau.
  
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valides.
  (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  
• Patiente jusqu'au message :

  *** Analyse Termine le ..... ***

• Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
  
• Copie-colle l'intégralité dans une réponse. Referme le bloc note.
  
• Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
  

[Pat67]

Salut Thanos

Je te remercie pour ton aide et ta réactivité

Ci-dessous le rapport Navilog

J'ai aussi désactivé ma protection internet sécurity kaspersky

Cordialement

Pat67

 

 

Search Navipromo version 3.7.6 commencé le 11/05/2009 à 18:08:11,62

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

 

 

( : )

 

USER : PEYRE ( Administrator )

 

 

 

 

 

 

 

Recherche executé en mode normal

 

 

*** Recherche dossiers dans "C:\Windows" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Recherche dossiers dans "C:\ProgramData" ***

 

 

*** Recherche dossiers dans "c:\users\peyre\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\Users\PEYRE\AppData\Local\virtualstore\Program Files" ***

 

 

 

*** Recherche dossiers dans "C:\Users\PEYRE\AppData\Local" ***

 

 

 

 

*** Recherche dossiers dans "C:\Users\PEYRE\AppData\Roaming" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\Windows\system32" *

 

* Recherche dans "C:\Users\PEYRE\AppData\Local\Microsoft" *

 

* Recherche dans "C:\Users\PEYRE\AppData\Local\virtualstore\windows\system32" *

 

* Recherche dans "C:\Users\PEYRE\AppData\Local" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ygqwo"="\"c:\\users\\peyre\\appdata\\local\\ygqwo.exe\" ygqwo"

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\Windows\system32" :

 

 

* Dans "C:\Users\PEYRE\AppData\Local\Microsoft" :

 

 

* Dans "C:\Users\PEYRE\AppData\Local\virtualstore\windows\system32" :

 

 

* Dans "C:\Users\PEYRE\AppData\Local" :

 

ygqwo.exe trouvé !

ygqwo.dat trouvé !

ygqwo_nav.dat trouvé !

ygqwo_navps.dat trouvé !

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

 

 

*** Analyse terminée le 11/05/2009 à 18:20:15,92 ***

[Thanos]

très bien! voilà la suite pour nettoyer l'infection:

1°) Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.

• Au menu principal, choisis 2 et valide.
  
• Le fix va t'informer qu'il va alors redémarrer ton PC
  
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
  
• Appuie sur une touche comme demandé.(si ton Pc ne redémarre pas automatiquement, fais le toi même)
  
• Au redémarrage de ton PC, choisis ta session habituelle.Patiente jusqu'au message :

  *** Nettoyage Termine le ..... ***

• Le bloc note va s'ouvrir: sauvegarde le rapport de manière à le retrouver.
  
• Referme le bloc note. Ton bureau va réapparaitre
  

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"

Tape explorer et valide. Celà te fera apparaitre ton bureau.

Si tu ne trouve pas le rapport, il se nomme cleannavi.txt et se trouve dans C:\

2°) Un petit scan supplémentaire avec un programme que tu vas pouvoir conserver: si tu le possède déjà, passe l'étape de l'installation et va directement à la mise à jour >>

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Poste les deux rapports stp: après ça, ça ira beaucoup mieux

 

Note: Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton .

(celui qui a un petit +, pas celui avec les guillemets)

 

Le bouton ne sert que pour créer le sujet, la première fois uniquement, tu n'en as plus besoin.

Modifié le 11 mai 2009 par Thanos

[Pat67]

Salut Thanos

Tu trouves ci-après les deux rapports demandés ( Navilog 1 et MBAM )

Je te remercie encore pour ta patience et ton aide

Cordialement

Pat67

 

Clean Navipromo version 3.7.6 commencé le 12/05/2009 à 10:30:56,09

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

 

 

( : )

 

USER : PEYRE ( Administrator )

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\Windows\System32" *

 

 

* Suppression dans "C:\Users\PEYRE\AppData\Local\Microsoft" *

 

 

* Suppression dans "C:\Users\PEYRE\AppData\Local\virtualstore\windows\system32" *

 

 

* Suppression dans "C:\Users\PEYRE\AppData\Local" *

 

 

 

*** Suppression dossiers dans "C:\Windows" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Suppression dossiers dans "C:\ProgramData" ***

 

 

*** Suppression dossiers dans c:\users\peyre\appdata\roaming\micros~1\windows\startm~1\programs ***

 

 

*** Suppression dossiers dans "C:\Users\PEYRE\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\PEYRE\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\PEYRE\AppData\Roaming" ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\Windows\Temp effectué !

Nettoyage contenu C:\Users\PEYRE\AppData\Local\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\Windows\system32" *

 

 

 

* Dans "C:\Users\PEYRE\AppData\Local\Microsoft" *

 

 

 

* Dans "C:\Users\PEYRE\AppData\Local\virtualstore\windows\system32" *

 

 

 

* Dans "C:\Users\PEYRE\AppData\Local" *

 

 

ygqwo.exe trouvé !

Copie ygqwo.exe réalisée avec succès !

ygqwo.exe supprimé !

 

ygqwo.dat trouvé !

Copie ygqwo.dat réalisée avec succès !

ygqwo.dat supprimé !

 

ygqwo_nav.dat trouvé !

Copie ygqwo_nav.dat réalisée avec succès !

ygqwo_nav.dat supprimé !

 

ygqwo_navps.dat trouvé !

Copie ygqwo_navps.dat réalisée avec succès !

ygqwo_navps.dat supprimé !

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltdt absent !

 

 

*** Recherche autres dossiers et fichiers connus ***

 

 

 

*** Nettoyage terminé le 12/05/2009 à 10:36:13,19 ***

 

 

 

 

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 2114

Windows 6.0.6000

 

12/05/2009 10:58:30

mbam-log-2009-05-12 (10-58-30).txt

 

Type de recherche: Examen rapide

Eléments examinés: 72040

Temps écoulé: 2 minute(s), 19 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Thanos]

salut

 

Ok pour le rapport de navilog Il a supprimé l'infection et tu ne devrait plus voir ces pubs s'afficher lorsque tu surfes.

Tu peux à présent désinstaller Navilog 3.7.6 et supprimer le dossier C:\Program Files\navilog1

 

Je vois ceci dans la configuration de MBAM =>

Type de recherche: Examen rapide

En fait je te demandais ceci =>

Sélectionne "Exécuter un examen complet"

L'examen est plus long (selon la taille du disque dur), mais ca permet entre autres de détecter des infections sur les supports dits amovibles (clés usb/ disque dur externe/ carte mémoire d'APN etc...)

Branche tes supports si tu en as et refais le scan complet puis poste le rapport

 

avec cela, fais ce scan rapide >>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

Modifié le 12 mai 2009 par Thanos

[Pat67]

Oups, j'ai loupé le type d'examen, voilà c'est réparé

 

Malwarebytes' Anti-Malware 1.36

Version de la base de données: 2114

Windows 6.0.6000

 

12/05/2009 12:01:13

mbam-log-2009-05-12 (12-01-13).txt

 

Type de recherche: Examen complet (C:\|E:\|J:\|M:\|)

Eléments examinés: 212622

Temps écoulé: 50 minute(s), 40 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

[Thanos]

ok! poste à présent les rapports RSIT stp: j'ai édité mon précédent message et ajouté un petit scan rapide

Modifié le 12 mai 2009 par Thanos

[Pat67]

Impossible de lancer RSIT

le message suivant s'affiche dans la fenêtre AutoIt Error

" Line - 1 :

Error : The requested action with this object has failed "

[Thanos]

ok on va utiliser un autre programme alors!

 

Télécharge OTScanIt2.exe sur le Bureau, et fais un double clic dessus pour extraire les fichiers.

Un dossier nommé OTScanIt va se créer sur le Bureau.

 

Notes :

 

-Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTscanIT2 peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.

 

-Tu dois avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.

• Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme
  
• Sous "File Age" en haut, clique sur le menu déroulant et sélectionne "60 days".
  
• Sous "Additional Scans" clique sur le bouton "Extras" puis coche la case située devant les éléments suivants afin de les sélectionner :
  Reg - ColumnHandlers,
  Reg - Disabled MS Config Items,
  Reg - NetSvcs,
  Reg - Session Manager Settings,
  Reg - Shell Spawning,
  Reg - Security Center Settings,
  Reg - Tcpip Persistent Routes
  Reg - Uninstall List
  
• Sous "Rootkit search", sélectionne "Yes".
  
• Ensuite, coche la case Scan All Users puis clique sur le bouton Run Scan dans la barre d'outils.
  
• Laisse le programme tourner sans intervenir.
  
• Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.
  
• Clique sur le menu Format et vérifie que Retour automatique à la ligne n'est pas coché. S'il l'est, clique dessus afin de le décocher.
  
• Poste le rapport obtenu dans ta prochaine réponse.
  

Le rapport risque d'être long: tu peux le faire héberger ici >> http://www.cijoint.fr/

Enregistre le rapport sur le Bureau pour le retrouver, reviens sur la page internet (cijoint) et clique sur le bouton Parcourir=> une fenêtre s'ouvre qui va te permettre de naviguer sur ton disque dur : recherche le rapport sur le Bureau (il se nomme OTScanIt.Txt) puis clique sur le bouton "ouvrir" en bas de la fenêtre.

Pour expédier le fichier il faut ensuite cliquer sur le bouton Cliquez ici pour déposer le fichier

Une fois ceci fait, un lien va s'afficher en bas de page: ca ressemble à ça >>

Le dépôt du fichier OTScanIt.Txt a été réalisé avec succès !

 

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.

C'est ce même lien que vous devrez transmettre à vos correspondants

http://www.cijoint.fr/cjlink.php?file=cj20.../cij9ga7SZP.txt

donne ce lien dans ta prochaine réponse stp

 

Note: Pat67, il va falloir penser à mettre ton système à jour! Le service Pack 1 pour Vista en l'occurence . Depuis le site de Crosoft ici => http://www.microsoft.com/downloads/details...;DisplayLang=fr

ou depuis Windows Update sur ton pc: ce que je te conseille plutôt car la version du Service Pack est une version personnalisée et beaucoup plus légère (adaptée à ton pc).

Modifié le 12 mai 2009 par Thanos