Aide demandée

[MARIE CHRISTINE]

Tout d'abord, Bonjour à tous

Je viens demander de l'aide, non pour moi mais pour ma belle soeur.

A part surfer où écrire des mails elle ne connait pas grand chose, c'est donc moi , par téléphone qui lui indique la marche à suivre.

Elle a des alertes récurentes d'Avast à chaque ouverture, du style, msplock32, agent_re, navipromo.

Elle met en quarantaine , elle ne peut pas supprimer et ça revient toujours apparemment.

Je lui ai donc fait faire (non sans mal) la première procédure en mode sans échec.

Ensuite j'ai pris la main sur son PC via msn et c'est moi qui est donc lancé HijackThis, je vous le précise au cas où il y aurait des interférences sur le rapport.

je vous le poste et j'éspère que si il y a d'autres procédures à suivre elles ne seront pas trop complquées.

 

Logfile of HijackThis v1.99.1

Scan saved at 23:31:51, on 12/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\system32\hphmon03.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\system32\HPHipm09.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\RDSHOST.exe

C:\WINDOWS\system32\sessmgr.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://193.252.122.103/( écrit en bleu)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://resultsmaster.com/SmartOffers/Servi...omeLeftPane.htm (écrit en bleu)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -

C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Program Files\Yahoo!\Companion\Installs\cpn0\ycomp5_6_2_0.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility]

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe"

/background

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: ShopperReports - Compare travel rates -

{946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/msnmesse...pdownloader.cab(écrit en bleu)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil

Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe

Modifié le 13 mai 2006 par MARIE CHRISTINE

[Malekal_morte]

Bonjour MARIE CHRISTINE,

 

Navipromo utilise des fichiers "cachés" qu'Avast ne doit pas voir, la procédure pour le supprimer risque d'etre un peu longue et en plus il va falloir aller en mode sans échec ça risque d'être difficile à distance.

 

Tu peux commencer par cette manipulation, je continuerai avec toi ou quelqu'un d'autre prendra la relève.

 

Télécharge F-Secure Blacklight : http://www.f-secure.com/blacklight/try.shtml

 

Lance-le en double-cliquant sur le fichier blbeta.exe

Accepte la licence, et clique enfin sur "Scan"

- Poste le rapport qui a été créé dans le fichier fsbl-bxxxx.log en l'ouvrant avec le bloc-note.

Tu peux consulter le tutorial de F-Secure BlackLight

[Zonk]

Allo Marie Christine

Bienvenue sur le forum....

Normalement la méthode préconisée est cell-ci

http://forum.zebulon.fr/index.php?showtopic=83986

méthode efficace!

Bye

edit:Grillé par Malekal Morte!

suit ses conseils!

Modifié le 13 mai 2006 par Zonk

[MARIE CHRISTINE]

Allo Marie Christine

Bienvenue sur le forum....

Normalement la méthode préconisée est cell-ci

http://forum.zebulon.fr/index.php?showtopic=83986

méthode efficace!

Bye

edit:Grillé par Malekal Morte!

suit ses conseils!

Merci Zonc

Cette procédure je l'ai déjà appliquée

[Zonk]

Merci Zonc

Cette procédure je l'ai déjà appliquée

Ok...je ne croyais pas que tu parlais de cette procédure en particulier

http://forum.zebulon.fr/index.php?showtopic=83986

...mais de la procédure qui consiste à scanner en mode sans échec....

Désolé

Bye

Modifié le 13 mai 2006 par Zonk

[MARIE CHRISTINE]

Voila le rapport de F-Secure blacklight

05/13/06 12:49:08 [info]: BlackLight Engine 1.0.36 initialized

05/13/06 12:49:08 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/13/06 12:49:08 [Note]: 7019 4

05/13/06 12:49:08 [Note]: 7005 0

05/13/06 12:49:25 [Note]: 7006 0

05/13/06 12:49:25 [Note]: 7011 1532

05/13/06 12:49:25 [Note]: 7026 0

05/13/06 12:49:26 [Note]: 7026 0

05/13/06 12:49:26 [Note]: 7024 3

05/13/06 12:49:26 [info]: Hidden process: C:\windows\system32\yodtcknsi.exe

05/13/06 12:49:26 [Note]: FSRAW library version 1.7.1015

05/13/06 12:55:22 [info]: Hidden file:

c:\WINDOWS\Prefetch\YODTCKNSI.EXE-1D0D6C34.pf

05/13/06 12:55:22 [Note]: 10002 1

05/13/06 12:56:15 [info]: Hidden file: c:\WINDOWS\system32\yodtcknsi.dat

05/13/06 12:56:15 [Note]: 10002 1

05/13/06 12:56:16 [info]: Hidden file: C:\windows\system32\yodtcknsi.exe

05/13/06 12:56:16 [Note]: 10002 1

05/13/06 12:56:16 [info]: Hidden file: c:\WINDOWS\system32\yodtcknsi_nav.dat

05/13/06 12:56:16 [Note]: 10002 1

05/13/06 12:56:17 [info]: Hidden file: c:\WINDOWS\system32\yodtcknsi_navps.dat

05/13/06 12:56:17 [Note]: 10002 1

05/13/06 13:00:35 [Note]: 7007 0

[Malekal_morte]

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

 

Sur HijackThis, refais un scan et coches les lignes suivantes :

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

http://resultsmaster.com/SmartOffers/Servi...omeLeftPane.htm

 

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

 

Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

- Télécharge et installe ewido

- Mets le à jour à partir du bouton Update, ne scan pas maintenant avec.

 

- Ouvre le bloc-note et copie/colle ceci dedans :

 

cd %windir%

cd SYSTEM32

attrib -s -r -h yodtcknsi.exe

del yodtcknsi.exe

attrib -s -r -h msclock32.dll

del msclock32.dll

attrib -s -r -h msplock32.dll

del msplock32.dll

attrib -s -r -h yodtcknsi_navps.dat

del yodtcknsi_navps.dat

attrib -s -r -h yodtcknsi.dat

del yodtcknsi.dat

attrib -s -r -h __delete_on_reboot__msclock32.dll

del __delete_on_reboot__msclock32.dll

del attrib -s -r -h

del %windir%\Prefetch\*

 

Toujours sur bloc-note / Fichier / enregistre-sous / nomme le fix.bat et place le sur ton bureau

 

_________

 

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

 

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.

Clique Exit pour fermer le programme BFU.

 

 

-- Double clic sur fix.bat qui se trouve sur ton bureau, une fenetre noire va s'ouvrir et se refermer.

 

 

- Démarre ewido et clique "Complete System Scan"

- Laisse le scan se faire et touche à rien, s'il te propose de supprimer des malwares, dis oui, quand le scan est terminé, clique sur "Save Report" pour enregistrer le rapport et colle le ici

N'hésite pas à consulter l'Aide ewido pour tout problème.

- Tu peux consulter l'Aide ewido

 

 

____

 

 

-- Redémarre en mode normal

-- Démarre Internet Explorer : Démarrer / executer / tape iexplore.exe et clic sur OK

Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

 

 

-- Copie/Colle ici les rapports :

- du scan Kaspersky

- Relance un scan sur BlackLight et copie/colle le rapport ici

- ainsi qu'un nouveau log HijackThis

Modifié le 13 mai 2006 par Malekal_morte

[MARIE CHRISTINE]

le dossier clean en mode sans echec il ressemble à quoi, j'ai pas ça sur le bureau

De plus ce n'est pas internet explorer mais Mozilla Firefox

Modifié le 13 mai 2006 par MARIE CHRISTINE

[Zonk]

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

 

Allo

Est ce que le scan de Kaspersky nettoie ou fait seulement étalage des pestes??

Merci

edit:j'ai été voir ton lien...si je comprends bien,il n'y a pas de nettoyage....mais avec celui de Secuser,il y a possibilité de nettoyage(Trend Micro)

http://secuser.com/outils/antivirus.htm

Avec celui-ci aussi

http://www.bitdefender.com/scan8/ie.html

Modifié le 13 mai 2006 par Zonk

[Apollo]

Hello,

 

Le Webscanner ne fait que détecter mais pas définfecter.

 

Bon week-end.