Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ADW NAVIPROMO.B

pioukaya

Par pioukaya
dans Analyses et éradication malwares

 Partager

Messages recommandés

pioukaya Member

pioukaya

Posté(e)
  • Auteur
Posté(e)

Re

 

Bon je pense que Qc001 nous laisse la procédure à faire :P !

 

- redémarre l'ordinateur en mode sans échec

 

- lance Pocket Killbox

--- choisis l'option Delete on Reboot

--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\Windows\System32\nplxmiea.exe

C:\Windows\System32\nplxmiea.dat

C:\Windows\System32\nplxmiea_nav.dat

C:\Windows\System32\nplxmiea_navps.dat

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.

Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.

--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"

 

 

 

 

--- clique sur la croix blanche sur fond rouge (Delete File) :

 

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

 

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.

 

Tu pourras trouver un tutorial complet et détaillé par Jesses : http://perso.wanadoo.fr/jesses/Docs/Logiciels/KillBox.htm

 

A plus !

 

Bonsoir à tous!

Killbox a bien supprimé

C:\Windows\System32\nplxmiea.exe

C:\Windows\System32\nplxmiea.dat

C:\Windows\System32\nplxmiea_navps.dat

mais pas: C:\Windows\System32\nplxmiea_nav.dat!!! "Pending File Rename Operations Registry Data has been removed by external process!"

 

Scan panda:

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté Registre Windows

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@ad.yieldmanager[2].txt

Spyware:Cookie/BurstNet No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@burstnet[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Spyware:Cookie/YieldManager No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@ad.yieldmanager[2].txt

Spyware:Cookie/BurstNet No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@burstnet[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Virginie\Cookies\virginie@atdmt[2].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Virginie\Cookies\virginie@weborama[2].txt

Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe

 

Je commence à me décourager... pas vous???

Merci pour votre aide! A +++

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Bonsoir pioukaya !

 

Non te décourage pas !

 

Je pense que la manoeuvre de bruce lee avait marchée et supprimer le fameux fichier !

 

Les autres ont été supprimés cette fois ci !

tu as bien travaillé :P

 

Panda montre juste ceci

Adware:adware/navipromo No Désinfecté Registre Windows

 

Je me renseigne dessus à plus !

regis56 Godlike Member

regis56

Posté(e)
Posté(e) (modifié)

Re

 

Avant tout attend la confirmation d'un conseiller en sécurité !

 

Télécharge Zeb-utility ici

http://telechargement.zebulon.fr/204-zeb-utility.html

Installe le dans son répertoire

Lance zeb-utility la première chose qu'il demande c'est de faire une sauvegarde du registre accepte et ferme le programme

 

source pour le fichier ici

http://securityresponse.symantec.com/avcen...re.slagent.html

 

- Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent" =-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent" =-

[-HKEY_CLASSES_ROOT\CLSID\{4A6FA2EB-F381-4503-87D0-BE4CC57DEB8E}]

[-HKEY_CLASSES_ROOT\CLSID\{75A603E7-8BB7-4272-ABBE-9846FF1241C1}]

[-HKEY_CLASSES_ROOT\CLSID\{DE614603-6320-4046-A7A7-6A69CEC26F14}]

[-HKEY_CLASSES_ROOT\CLSID\{D7A82A12-05F5-42D8-B30D-6EF995075D2D}]

[-HKEY_CLASSES_ROOT\Interface\{1EF28CC5-8D97-4310-B71B-CA34EE15B897}]

[-HKEY_CLASSES_ROOT\Interface\{43CDAD65-AA0D-4701-8108-117F86613B69}]

[-HKEY_CLASSES_ROOT\Interface\{510C3373-4842-4944-8729-0AFF6725A132}]

[-HKEY_CLASSES_ROOT\Interface\{6D3F48F4-B40A-4C3F-A95C-85E23C3A8A91}]

[-HKEY_CLASSES_ROOT\TypeLib\{5630B768-1C09-4105-9E03-E35985E36B0B}]

[-HKEY_CLASSES_ROOT\TypeLib\{82C0673C-F1D1-47BA-B904-AB0DE82300BC}]

[-HKEY_CLASSES_ROOT\TypeLib\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}]

[-HKEY_CLASSES_ROOT\TypeLib\{CA72BD3D-6044-4429-8C9A-76D90F4B29A8}]

[-HKEY_CLASSES_ROOT\MagicControl.MagicComponent]

[-HKEY_CLASSES_ROOT\MagicControl.MagicComponent.1]

[-HKEY_CLASSES_ROOT\mslagent.3]

[-HKEY_CLASSES_ROOT\mslagent.3.1]

[-HKEY_CLASSES_ROOT\NaviHelper.NaviHelperObject]

[-HKEY_CLASSES_ROOT\NaviHelper.NaviHelperObject.1]

[-HKEY_CLASSES_ROOT\NaviPromo.EGNaviScoring]

[-HKEY_CLASSES_ROOT\NaviPromo.EGNaviScoring.1]

[-HKEY_LOCAL_MACHINE\Software\mc]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Uninstall\mslagent]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Uninstall\navmpc]

 

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove.

 

- Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Redémarre en mode normal

refais un scan Panda et colle le rapport ici STP

 

A plus !

Modifié par regis56
pioukaya Member

pioukaya

Posté(e)
  • Auteur
Posté(e)

Re

 

Avant tout attend la confirmation d'un conseiller en sécurité !

 

Télécharge Zeb-utility ici

http://telechargement.zebulon.fr/204-zeb-utility.html

Installe le dans son répertoire

Lance zeb-utility la première chose qu'il demande c'est de faire une sauvegarde du registre accepte et ferme le programme

 

source pour le fichier ici

http://securityresponse.symantec.com/avcen...re.slagent.html

 

- Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent" =-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent" =-

[-HKEY_CLASSES_ROOT\CLSID\{4A6FA2EB-F381-4503-87D0-BE4CC57DEB8E}]

[-HKEY_CLASSES_ROOT\CLSID\{75A603E7-8BB7-4272-ABBE-9846FF1241C1}]

[-HKEY_CLASSES_ROOT\CLSID\{DE614603-6320-4046-A7A7-6A69CEC26F14}]

[-HKEY_CLASSES_ROOT\CLSID\{D7A82A12-05F5-42D8-B30D-6EF995075D2D}]

[-HKEY_CLASSES_ROOT\Interface\{1EF28CC5-8D97-4310-B71B-CA34EE15B897}]

[-HKEY_CLASSES_ROOT\Interface\{43CDAD65-AA0D-4701-8108-117F86613B69}]

[-HKEY_CLASSES_ROOT\Interface\{510C3373-4842-4944-8729-0AFF6725A132}]

[-HKEY_CLASSES_ROOT\Interface\{6D3F48F4-B40A-4C3F-A95C-85E23C3A8A91}]

[-HKEY_CLASSES_ROOT\TypeLib\{5630B768-1C09-4105-9E03-E35985E36B0B}]

[-HKEY_CLASSES_ROOT\TypeLib\{82C0673C-F1D1-47BA-B904-AB0DE82300BC}]

[-HKEY_CLASSES_ROOT\TypeLib\{BA49BD6A-039C-428E-AF33-8C1288D75A7B}]

[-HKEY_CLASSES_ROOT\TypeLib\{CA72BD3D-6044-4429-8C9A-76D90F4B29A8}]

[-HKEY_CLASSES_ROOT\MagicControl.MagicComponent]

[-HKEY_CLASSES_ROOT\MagicControl.MagicComponent.1]

[-HKEY_CLASSES_ROOT\mslagent.3]

[-HKEY_CLASSES_ROOT\mslagent.3.1]

[-HKEY_CLASSES_ROOT\NaviHelper.NaviHelperObject]

[-HKEY_CLASSES_ROOT\NaviHelper.NaviHelperObject.1]

[-HKEY_CLASSES_ROOT\NaviPromo.EGNaviScoring]

[-HKEY_CLASSES_ROOT\NaviPromo.EGNaviScoring.1]

[-HKEY_LOCAL_MACHINE\Software\mc]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Uninstall\mslagent]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Uninstall\navmpc]

 

-Enregistre ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes: ne clique pas sur le fichier maintenant!

 

Sur le bureau tu dois avoir ce remove.

 

- Redémarre le PC, impérativement en mode sans échec,(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

- Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

Redémarre en mode normal

refais un scan Panda et colle le rapport ici STP

 

A plus !

 

Salut Régis,

Tu me dis d'attendre la confirmation d'un conseiller en sécurité, alors que dois-je faire? Je suis la procédure que tu m'as indiquée ou je dois attendre???

Merci pour ta réponse...

pioukaya Member

pioukaya

Posté(e)
  • Auteur
Posté(e)

salut pioukaya

 

Tu peux appliquer la procédure de regis :P

 

@+

 

ok

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté Registre Windows

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Snif il est toujours là!!!

A très vite...

regis56 Godlike Member

regis56

Posté(e)
Posté(e)

Bonsoir pioukaya !

 

Effectivement il est encore là !

 

mais je remarque qu'il y a une petite erreur dans le ficher reg que je t'ai fais faire

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent" =-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent" =-

 

On va en refaire un autre mais je suis pas sur que cela va marcher mais bon on verra bien !

Peut tu refaire la procédure avec seulement ces deux valeurs de registre STP ?

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent"=-

 

Tiens nous au courant à plus !

Invité Kimberly

Invité Kimberly

Posté(e)
Posté(e)

Bonsoir pioukaya,

 

Excuse moi regis56 pour cette intervention, je me permets de rectifier un petit peu le fix.

 

pioukaya, corrige le fix avec les lignes ci-dessous svp.

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mslagent]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\navmpc]

pioukaya Member

pioukaya

Posté(e)
  • Auteur
Posté(e)

Bonsoir pioukaya,

 

Excuse moi regis56 pour cette intervention, je me permets de rectifier un petit peu le fix.

 

pioukaya, corrige le fix avec les lignes ci-dessous svp.

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mslagent"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\mslagent]

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\navmpc]

ok je l'ai fait.

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté Registre Windows

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@weborama[2].txt

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Cathy\Cookies\cathy@xiti[1].txt

Toujours présent!!! Mais que faire???

Bonne soirée à tous...

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut pioukaya, et bonjour à toutes/tous ;

 

Je vais te refaire passer le BFU avec script Egdaccess.BFU, car il cible plusieurs clés de registre associées à cette infection ; avec un peu de chance, il éliminera ce que Panda voit :

=====================================================

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Sous Scriptline to execute copie/colle cette ligne :

 

c:\bfu\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

================================

 

Redémarre en mode Normal. Refais un scan chez Panda, puis poste son rapport, avec un tout nouveau log HijackThis! s.t.p.

 

@+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...