ADW NAVIPROMO.B

[pioukaya]

Désolé du petit délai, et merci pour ces rapports

 

Ton dernier rapport HijackThis! semble provenir du mode Sans Échec, mais tout semble propre.

 

Peux-tu nous poster un nouveau rapport HijackThis! fait en Normal, et nous dire si tu as toujours des dysfonctionnements avec le PC ? Merci

 

 

Bonjour et voici le rapport HijackThis fait en mode normal.

Logfile of HijackThis v1.99.1

Scan saved at 08:05:13, on 02/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Ginie musique\bin\btwdins.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe

C:\Program Files\Trend Micro\Internet Security\tmproxy.exe

C:\Program Files\Trend Micro\Internet Security\PccPfw.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Trend Micro\Internet Security\pccguide.exe

C:\Program Files\Trend Micro\Internet Security\PCClient.exe

C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Labtec\Desktop\V5.1\moffice.exe

C:\Program Files\Labtec\Desktop\V5.1\MOUSE32A.EXE

C:\Program Files\Labtec\Desktop\V5.1\kbdap32a.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

D:\Ginie musique\BTTray.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

D:\GINIEM~1\BTSTAC~1.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HJT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cegetel.net/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe"

O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe"

O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Labtec\Desktop\V5.1\moffice.exe

O4 - HKLM\..\Run: [OFFICEKB] C:\Program Files\Labtec\Desktop\V5.1\kbdap32a.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Ginie musique\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Ginie musique\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1127582898512

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B26C4E16-1C2E-491A-926C-E3664210738B}: NameServer = 217.19.192.132 217.19.192.131

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Ginie musique\bin\btwdins.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\PccPfw.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\Tmntsrv.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Program Files\Trend Micro\Internet Security\tmproxy.exe

 

Les différents scans effectués avec trendmicro ne m'indiquent plus la présence du virus.

Mais l'image d'alerte m'informant que mon pc est toujours infecté apparaît toujours!!!

En attendant ta réponse, bon dimanche...

[regis56]

Bonsoir pioukaya !

 

Peut tu faire ceci STP ?

 

Peux-tu faire s'il te plait un scan en ligne?=>

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrives pas : tutorial

 

A plus !

[bruce lee]

bonsoir tout le monde,

 

je me permets une petite incruste

 

pioukaya fais aussi ceci:

 

1/Télécharger http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

2/ Dézipper la totalité de l'archive sur ton bureau.

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.

sauvegarde ce rapport et poste le

[Mark]

Bonjour tout le monde

 

ActiveScan de Panda est une excellente idée !

 

SmitfraudFix aussi !

 

Je crois que le Tea Timer de SpyBot nous empêche de tout voir, mais ces deux scans vont nous éclairer.

 

Bonne continuation

Modifié le 3 avril 2006 par Qc001

[pioukaya]

Bonjour tout le monde

 

ActiveScan de Panda est une excellente idée !

 

SmitfraudFix aussi !

 

Je crois que le Tea Timer de SpyBot nous empêche de tout voir, mais ces deux scans vont nous éclairer.

 

Bonne continuation

 

 

Bonjour!

Voici les deux rapports de panda et SmitFraudFix

 

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté C:\WINDOWS\SYSTEM32\nplxmiea_nav.dat

Spyware:application/bestoffer No Désinfecté C:\PROGRAM FILES\SmileySource

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Virginie\Cookies\virginie@atdmt[2].txt

Spyware:Cookie/HotLog No Désinfecté C:\Documents and Settings\Virginie\Cookies\virginie@hotlog[2].txt

Spyware:Cookie/MetriWeb No Désinfecté C:\Documents and Settings\Virginie\Cookies\virginie@metriweb[1].txt

Spyware:Cookie/Tradedoubler No Désinfecté C:\Documents and Settings\Virginie\Cookies\virginie@tradedoubler[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Virginie\Cookies\virginie@weborama[2].txt

Outil indésirable:Application/RealSpy No Désinfecté C:\WINDOWS\system32\actskn45.ocx

Virus:W32/Sdbot.ftp Désinfecté C:\WINDOWS\system32\ii

 

SmitFraudFix v2.27

 

Rapport fait à 10:14:44,14, 03/04/2006

Executé à partir de C:\DOCUME~1\Cathy\LOCALS~1\Temp\QZTEMP

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cathy\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cathy\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

 

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]

@="%SystemRoot%\System32\browseui.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Voilà...

[regis56]

Bonjour pioukaya !

 

Bon le scan Panda montre qu'il y a encore un peu de ménage à faire

 

Adware:adware/navipromo No Désinfecté C:\WINDOWS\SYSTEM32\nplxmiea_nav.dat

Spyware:application/bestoffer No Désinfecté C:\PROGRAM FILES\SmileySource

Outil indésirable:Application/RealSpy No Désinfecté C:\WINDOWS\system32\actskn45.ocx

Virus:W32/Sdbot.ftp Désinfecté C:\WINDOWS\system32\ii

 

Peut tu faire ceci

 

-Redémarrer en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

Faire démarrer/panneau de configuration/ajout-supression de programmes

Regarder dans la liste si présent

SmileySource (désinstaller)

Sinon faire démarrer/tous mes programmes/SmileySource

puis désinstaller

 

Maintenant on va supprimer manuellement les fichiers infectieux !

Clique sur démarrer/executer/

Copie/colle

Rentre le chemin indiqué en rouge C:\WINDOWS\SYSTEM32\

Le dossier va s'ouvrir

Supprime le(s) fichier(s) indiqué en gras:

nplxmiea_nav.dat(clique droit /supprimer)

actskn45.ocx<= le fichier

ii <= le dossier

 

Répète l'opération pour celui là si présent

C:\PROGRAM FILES\

SmileySource<= le dossier

 

-Exécuter EasyCleaner (Utiliser le raccourci sur le bureau):

(Utilitaire qui va supprimer les dossiers temporaires/inutiles et nettoyer la base de registre)

Utiliser les fonctions "Inutiles" et "Registre" seulement. Ne pas toucher à la fonction "doublons".

*Remarque:

-Dans "Inutiles", coche les cases suivantes=>"Normal Types" - "Temp Directories" - "Temp Internet Files" -

"Browser Cookies" puis clique sur "Find".

Lorsque le scan est terminé,clique sur "Delete all".

 

-Redémarrer en mode normal :

 

Refais un rapport Panda STP

 

A plus !

[gaelle 34]

bonjour Régis !

j'ai moi aussi le disque dur infecté par le virus ADW NAVIPROMO. B. Il se promène dans mes fichiers :

_ C:\WINDOWS\System32\mscoclock32.dill

_C:\System volume information\_restore{F5548A15-E44E-4CE4-AE7A-9AF5B1363AF6}\RP200\A0024622.dll

je ne m'y connais pas encore en matière d'ordinateur, je possède un PC xp familial.

comment faire ? Je ne peux plus me servir de mon ordi, malgré mon antivirus Micro application sécurité internet 2006

[pioukaya]

bonjour Régis !

j'ai moi aussi le disque dur infecté par le virus ADW NAVIPROMO. B. Il se promène dans mes fichiers :

_ C:\WINDOWS\System32\mscoclock32.dill

_C:\System volume information\_restore{F5548A15-E44E-4CE4-AE7A-9AF5B1363AF6}\RP200\A0024622.dll

je ne m'y connais pas encore en matière d'ordinateur, je possède un PC xp familial.

comment faire ? Je ne peux plus me servir de mon ordi, malgré mon antivirus Micro application sécurité internet 2006

 

 

Bonsoir Gaëlle

Merci d'écrire tes messages sur ta propre session!

Pioukaya

[pioukaya]

Bonsoir Gaëlle

Merci d'écrire tes messages sur ta propre session!

Pioukaya

 

 

Bonsoir à tous!

Régis, j'ai essayé de suivre tes instructions...

J'ai supprimé SmileySource et actskn45.ocx mais je n'ai pas osé supprimer nplxmiea_nav car je ne sais pas si c'est le même que nplxmiea_nav.dat??? Excuse mon ignorance...

Impossible d'exécuter EasyCleaner!!! error code 6002... mais je vais réessayer!

 

Résultats de trendmicro:

Fichiers infectés: A0034066.dll (RP204) ADW STARWARE B.

A0044554.dll (RP225) ADW NAVIPROMO.B

A0044530.dll (RP225) ADW NAVIPROMO.B

A0044702.dll (RP225) ADW NAVIPROMO.B

Emplacement initial:

C:\System Volume Information\_restore {365F6FF3-8FA9-4770-ABED-DBZF9941A9CE}

Mis en quarantaine, état inconnu.

 

Voici le second rapport de panda:

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté C:\WINDOWS\SYSTEM32\nplxmiea_nav.dat

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Cathy\Bureau\SmitfraudFix.zip[Process.exe]

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

Bonne soirée! A +++

[bruce lee]

bonsoir,

 

je me permet de répondre vu que regis n'est pas en ligne et que toi tu l'es.

 

désactive ta restauration de systeme:

 

http://www.libellules.ch/desactiver_restauration.php

 

 

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

C:\WINDOWS\SYSTEM32\nplxmiea_nav.dat

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

normalement tu es en mode normal

 

supprimer ce dossier ensuite C:\ !KillBox

 

refais un scan avec panda et poste le rapport je te prie