High-Tech Santé Médecine Droit-Finances

Bien choisir

son ordinateur portable

Rechercher : dans
Par :

Malwares :drive cleaner, spyware-secure,

Dernière réponse le 27 mar 2009 à 12:40:06 dlewin, le 2 avr 2007 à 10:33:20 
 Signaler ce message aux modérateurs

salut les gens,

pour faire original j'ai un malware du genre :
drive cleaner, spyware-secure, casino etc- ce sujet existe déjà largement, j'en ait lu pleins. Seulement je ne suis pas sur que ce soit
toujours le même cas pour moi.
En gros : publicité intenpestives et régulières sous Firefox.


J'ai déjà fait en profondeur (scan total + archives) :
- Ad aware
- Avast
-Ccleaner
AVG plante, et le PC est franchement lent malgrè une défragmentation.

Help please !

Configuration: Windows XP
Firefox 2.0.0.3

Posez votre question Répondre

1

papyber, le 2 avr 2007 à 10:50:24

Télécharge GenProc sur ton bureau
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

   
Répondre à papyber

2

dlewin, le 2 avr 2007 à 16:46:36

Bonjour,

tout d'abord merci de la réponse; ensuite le rapport généré donne :

Rapport GenProc 0.37 effectué le 03/04/2007 à 16:41:16,14 - SystemRoot = C:\WINDOWS

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\ et un nouveau rapport GenProc.


j'ai volontairement pas encore suivi les directives puisque tu me disait de publier le rapport de Genproc.

   
Répondre à dlewin

3

papyber, le 2 avr 2007 à 16:49:47

Tu fais très exactement ce que te demande GenProc
et tu postes les rapports ensuite

   
Répondre à papyber

4

dlewin, le 2 avr 2007 à 17:01:00

Ok redémarré, effectué la totale avec ccleaner ("cache Firefox ignoré" ?)

ça donne :

" 

	  Tue Apr 03 16:48:04 2007
EliBagle v10.33  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Tue Apr 03 16:48:54 2007
EliBagle v10.33  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
"

   
Répondre à dlewin

5

papyber, le 2 avr 2007 à 17:21:17

Vide ton cache de FireFox manuellement
refais un rapport GenProc comme demandé

   
Répondre à papyber

6

dlewin, le 2 avr 2007 à 17:34:56

Après nettoy

age cache :


Rapport GenProc 0.37 effectué le 03/04/2007 à 17:28:33,50 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- ELIBAGLA en bas de cette page http://www.zonavirus.com/datos/descargas/95/elibagla.asp (clique sur le bouton "Descargar Elibagla") sur ton bureau.
Lance l'outil ELIBAGLA, de préférence en mode sans échec si tu en as la possibilité, en mode normal dans le cas contraire. Patiente le temps du scan.
Lorsque c'est terminé, redémarre ton ordinateur.

# Etape 2/ Lance CCleaner > "Nettoyeur" > "Lancer le nettoyage" et c'est tout.

# Etape 3/ Poste le contenu du fichier infosat.txt qui se trouve dans Poste de travail > disque C:\ et un nouveau rapport GenProc. 
 





et pour infosat.txt




	  Tue Apr 03 16:48:04 2007
EliBagle v10.33  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\exefld"
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Tue Apr 03 16:48:54 2007
EliBagle v10.33  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Tue Apr 03 17:31:42 2007
EliBagle v10.33  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%AppData%\Hidires"

	  Tue Apr 03 17:31:53 2007
EliBagle v10.33  (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\


   
Répondre à dlewin
7 
papyber, le  2 avr 2007 à 17:47:28
Poste un rapport hijack this et refais un GenProc pour vérification
   
Répondre à papyber
8 
dlewin, le  2 avr 2007 à 18:01:27
Voilà :



Logfile of HijackThis v1.99.1

Scan saved at 17:57:11, on 03/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\TortoiseSVN\bin\TSVNCache.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\InterVideo\Common\Bin\WinRemote.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe

C:\Program Files\Automation Anywhere 3.5\Automation Anywhere Service.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Automation Anywhere 3.5\AAService.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\LinkStash\lsmon.exe

C:\WINDOWS\system32\ctfmon.exe

c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Raxco\PerfectDisk\PDSched.exe

C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\LinkStash\lnkstash.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Delphi7SE\Bin\delphi32.exe

C:\Documents and Settings\HP_Propriétaire\Bureau\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\www.tootella.org

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/...

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [LinkStashMonitor] "C:\Program Files\LinkStash\lsmon.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - Global Startup: Logitech SetPoint.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...

O16 - DPF: {E3866A1E-48C9-4381-A9E8-82AC3BDDA921} (FlowChartX Control 3.0) - http://www.mind-fusion.com/fcx_std_30x_trial.CAB

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Automation Anywhere Service - Unknown owner - C:\Program Files\Automation Anywhere 3.5\Automation Anywhere Service.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: InstallShield Licensing Service - Macrovision                                                     - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
   
Répondre à dlewin
9 
dlewin, le  2 avr 2007 à 18:10:04
Alors  ça à donné :



Rapport GenProc 0.37 effectué le 03/04/2007 à 18:00:22,95 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- lopxpMH2 http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip sur ton bureau.
Dézippe-le (clic droit  -> "Extraire ici") et double clique sur le fichier lopxpMH.bat. 

Dans ta prochaine réponse, poste :
- le contenu du rapport qui va s'ouvrir ;
- un nouveau rapport GenProc.







voici le contenu du "rapport  qui va s'ouvrir"



Rapport lopxpMH2 version 2.0 fait à 18:00:54,21 le 03/04/2007
C:\Documents and Settings\HP_Propriétaire\Local Settings\Temp

******************************************
## Répertoires Application Data



 Répertoire de C:\Documents and Settings\All Users\Application Data

25/11/2004  05:25    <REP>          .
25/11/2004  05:25    <REP>          ..
23/02/2007  13:23    <REP>          ACD Systems
06/01/2007  18:12    <REP>          Adobe
09/03/2007  16:17    <REP>          Adobe Systems
27/01/2007  16:51    <REP>          Age of Empires 3
02/01/2005  01:48    <REP>          Apple Computer
26/03/2007  17:00    <REP>          Blueberry
02/01/2007  20:29    <REP>          Borland
26/03/2007  11:40    <REP>          FLEXnet
02/01/2005  01:34    <REP>          Hewlett-Packard
02/01/2005  01:44    <REP>          InstallShield
02/01/2005  01:46    <REP>          InterVideo
15/03/2007  16:49    <REP>          Macromedia
25/11/2004  05:25    <REP>          Microsoft
02/01/2007  20:02    <REP>          Microsoft Help
02/01/2007  15:59    <REP>          Mindjet
01/03/2007  10:14    <REP>          Office Genuine Advantage
02/01/2005  01:48    <REP>          QuickTime
25/01/2007  20:27    <REP>          Raxco
03/03/2007  09:48    <REP>          Real
02/01/2005  01:16    <REP>          SBSI
24/03/2007  12:01    <REP>          Tarma Installer
13/02/2007  12:35    <REP>          time 64 meow okay
11/03/2007  19:43    <REP>          Ubisoft
15/03/2007  09:54    <REP>          VCOM
02/01/2007  21:03    <REP>          Windows Genuine Advantage
27/01/2007  15:44                41 .zreglib
24/11/2004  00:13                62 desktop.ini
02/01/2005  01:33             7 332 hpzinstall.log
26/03/2007  22:55                13 ØÝÃÄ3113›.sys
25/01/2007  18:50             1 755 QTSBandwidthCache
26/03/2007  22:57                13 ÝÃÄ›Ò3113›.sys
               6 fichier(s)            9 216 octets
              27 Rép(s)  29 449 064 448 octets libres


 Répertoire de C:\Documents and Settings\BB443B11-7D12-450c-9F85-2D32804655F9


 Répertoire de C:\Documents and Settings\Default User\Application Data

25/11/2004  05:25    <REP>          .
25/11/2004  05:25    <REP>          ..
01/01/2007  21:07    <REP>          Apple Computer
25/11/2004  05:25    <REP>          Identities
01/01/2007  21:07    <REP>          Intervideo
25/11/2004  05:25    <REP>          Microsoft
01/01/2007  21:07    <REP>          SampleView
01/01/2007  21:07    <REP>          Symantec
24/11/2004  00:13                62 desktop.ini
               1 fichier(s)               62 octets
               8 Rép(s)  29 449 064 448 octets libres
 Le volume dans le lecteur C s'appelle HP_PAVILION
 Le numéro de série du volume est B8E0-B346

 Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

25/11/2004  05:25    <REP>          .
25/11/2004  05:25    <REP>          ..
01/01/2007  21:07    <REP>          {3248F0A6-6813-11D6-A77B-00B0D0150000}
01/01/2007  21:07    <REP>          Apple Computer
01/01/2007  21:07    <REP>          ApplicationHistory
25/11/2004  05:25    <REP>          Microsoft
01/01/2007  21:07               135 fusioncache.dat
01/01/2007  21:07         3 237 760 IconCache.db
               2 fichier(s)        3 237 895 octets
               6 Rép(s)  29 449 064 448 octets libres


 Répertoire de C:\Documents and Settings\HP_Propritaire



 Répertoire de C:\Documents and Settings\HP_Propritaire\Local Settings



 Répertoire de C:\Documents and Settings\HP_Propriétaire\Application Data

05/03/2007  13:17    <REP>          .
05/03/2007  13:17    <REP>          ..
05/03/2007  13:17    <REP>          SecondLife
               0 fichier(s)                0 octets
               3 Rép(s)  29 449 060 352 octets libres


 Répertoire de C:\Documents and Settings\HP_Propriétaire\Application Data

01/01/2007  21:09    <REP>          .
01/01/2007  21:09    <REP>          ..
22/03/2007  22:49    <REP>          ABBYY
23/02/2007  13:23    <REP>          ACD Systems
02/01/2007  14:12    <REP>          Adobe
02/01/2007  14:19    <REP>          AdobeUM
15/01/2007  12:55    <REP>          Ahead
01/01/2007  21:09    <REP>          Apple Computer
07/01/2007  13:06    <REP>          ArcSoft
26/03/2007  12:08    <REP>          Articulate
21/03/2007  23:33    <REP>          ATI
03/03/2007  10:04    <REP>          AVSMedia
26/03/2007  17:00    <REP>          Blueberry
02/01/2007  20:29    <REP>          Borland
07/01/2007  13:07    <REP>          Canon
02/04/2007  23:38    <REP>          Command & Conquer 3 Les guerres du Tiberium
28/02/2007  13:47    <REP>          DivX
29/01/2007  19:57    <REP>          Download Manager
15/01/2007  10:39    <REP>          EFSoftware
25/02/2007  11:28    <REP>          Google
02/01/2007  15:51    <REP>          GRETECH
07/01/2007  12:51    <REP>          Help
01/01/2007  21:09    <REP>          Identities
29/01/2007  21:48    <REP>          IDMComp
11/01/2007  20:09    <REP>          Inkscape
12/03/2007  11:33    <REP>          Instant Effects
01/01/2007  21:09    <REP>          Intervideo
22/01/2007  10:51    <REP>          Lavasoft
05/01/2007  20:57    <REP>          Leadertech
02/01/2007  15:55    <REP>          Logitech
02/01/2007  01:00    <REP>          Macromedia
17/02/2007  21:01    <REP>          MahJong Suite
01/01/2007  21:09    <REP>          Microsoft
22/01/2007  12:10    <REP>          ModelMakerTools
01/01/2007  22:19    <REP>          Mozilla
14/01/2007  11:14    <REP>          NewSoft
27/02/2007  13:03    <REP>          Nvu
09/03/2007  16:18    <REP>          Opera
22/02/2007  13:14    <REP>          pycrust
22/03/2007  00:00    <REP>          PyScripter
03/03/2007  09:48    <REP>          Real
01/01/2007  21:09    <REP>          SampleView
07/01/2007  13:00    <REP>          ScanSoft
05/03/2007  13:16    <REP>          SecondLife
10/02/2007  19:36    <REP>          SecuROM
22/01/2007  11:13    <REP>          SmartFTP
23/01/2007  21:48    <REP>          SoarDebugger
05/01/2007  20:58    <REP>          Sonic
09/03/2007  12:08    <REP>          Speechi
24/03/2007  12:01    <REP>          STI
22/02/2007  16:45    <REP>          Subversion
03/01/2007  17:34    <REP>          Sun
15/02/2007  14:34    <REP>          SuperAdBlocker.com
01/01/2007  21:09    <REP>          Symantec
02/01/2007  01:09    <REP>          Talkback
02/01/2007  13:33    <REP>          Thunderbird
02/01/2007  22:30    <REP>          uTorrent
15/03/2007  09:53    <REP>          VCOM
02/01/2007  20:39    <REP>          vlc
26/03/2007  20:52    <REP>          vmntoolbar
01/01/2007  21:09                62 desktop.ini
12/03/2007  15:12            57 858 PyScripter.ini
               2 fichier(s)           57 920 octets
              60 Rép(s)  29 449 060 352 octets libres


 Répertoire de C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data

01/01/2007  21:09    <REP>          .
01/01/2007  21:09    <REP>          ..
01/01/2007  21:09    <REP>          {3248F0A6-6813-11D6-A77B-00B0D0150000}
26/03/2007  17:00    <REP>          {F9228DAD-21AA-4BC3-8B63-E19AA9EEA5F8}
22/03/2007  22:49    <REP>          ABBYY
02/01/2007  14:19    <REP>          Adobe
15/01/2007  12:50    <REP>          Ahead
01/01/2007  21:09    <REP>          Apple Computer
01/01/2007  21:09    <REP>          ApplicationHistory
23/01/2007  22:19    <REP>          ashampoo
21/03/2007  23:33    <REP>          ATI
02/01/2007  20:28    <REP>          Borland
24/02/2007  18:20    <REP>          Gas Powered Games
18/01/2007  12:42    <REP>          Google
07/01/2007  12:51    <REP>          Help
11/02/2007  13:42    <REP>          Identities
14/02/2007  20:06    <REP>          JollyBear
12/02/2007  15:51    <REP>          Logitech-LS
15/03/2007  16:52    <REP>          Macromedia
01/01/2007  21:09    <REP>          Microsoft
02/01/2007  20:03    <REP>          Microsoft Help
02/01/2007  20:54    <REP>          Mindjet
22/01/2007  12:11    <REP>          ModelMakerTools
02/01/2007  01:09    <REP>          Mozilla
06/01/2007  20:07    <REP>          NeuroSolutions
14/01/2007  11:14    <REP>          NewSoft
28/03/2007  12:39    <REP>          Paint.NET
10/03/2007  14:02    <REP>          PCHealth
22/03/2007  16:34    <REP>          RoboTask
26/03/2007  16:59    <REP>          Seven Zip
02/01/2007  13:33    <REP>          Thunderbird
22/02/2007  17:09    <REP>          TSVNCache
14/03/2007  17:44    <REP>          Xara
02/01/2007  11:06           102 400 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
01/01/2007  21:09               138 fusioncache.dat
02/01/2007  15:41           119 912 GDIPFONTCACHEV1.DAT
01/01/2007  21:09         4 774 140 IconCache.db
19/03/2007  19:30             4 096 keyfile3.drm
               5 fichier(s)        5 000 686 octets
              33 Rép(s)  29 449 056 256 octets libres


 Répertoire de C:\Documents and Settings\LocalService\Application Data

02/01/2005  01:11    <REP>          .
02/01/2005  01:11    <REP>          ..
25/01/2007  10:52    <REP>          Adobe
02/01/2005  01:11    <REP>          Microsoft
               0 fichier(s)                0 octets
               4 Rép(s)  29 449 056 256 octets libres


 Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

02/01/2005  01:11    <REP>          .
02/01/2005  01:11    <REP>          ..
18/01/2007  12:27    <REP>          Adobe
02/01/2005  01:11    <REP>          Microsoft
               0 fichier(s)                0 octets
               4 Rép(s)  29 449 056 256 octets libres


 Répertoire de C:\Documents and Settings\NetworkService\Application Data

02/01/2005  01:11    <REP>          .
02/01/2005  01:11    <REP>          ..
02/01/2005  01:11    <REP>          Microsoft
               0 fichier(s)                0 octets
               3 Rép(s)  29 449 056 256 octets libres


 Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

02/01/2005  01:11    <REP>          .
02/01/2005  01:11    <REP>          ..
02/01/2005  01:11    <REP>          Microsoft
               0 fichier(s)                0 octets
               3 Rép(s)  29 449 056 256 octets libres


 Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

25/11/2004  05:58    <REP>          .
25/11/2004  05:58    <REP>          ..
01/01/2007  21:08    <REP>          Apple Computer
25/11/2004  05:58    <REP>          Identities
01/01/2007  21:08    <REP>          Intervideo
25/11/2004  05:58    <REP>          Microsoft
01/01/2007  21:08    <REP>          SampleView
01/01/2007  21:08    <REP>          Symantec
24/11/2004  00:13                62 desktop.ini
               1 fichier(s)               62 octets
               8 Rép(s)  29 449 056 256 octets libres


 Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

25/11/2004  05:58    <REP>          .
25/11/2004  05:58    <REP>          ..
01/01/2007  21:08    <REP>          {3248F0A6-6813-11D6-A77B-00B0D0150000}
01/01/2007  21:08    <REP>          Apple Computer
01/01/2007  21:08    <REP>          ApplicationHistory
25/11/2004  05:58    <REP>          Microsoft
01/01/2007  21:08               135 fusioncache.dat
01/01/2007  21:08         3 237 760 IconCache.db
               2 fichier(s)        3 237 895 octets
               6 Rép(s)  29 449 052 160 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\ABA989A091DA3DB8.job 
 H‹üáO*AH…Ì“—µì»F ì     < 
      s       "ˆ!×   
         8 c : \ d o c u m e ~ 1 \ h p _ p r o ~ 1 \ a p p l i c ~ 1 \ m p 3 s t u ~ 1 \ M a i l t h a t o w n s . e x e        H P _ P r o p r i é t a i r e         €     0   Ì               <                     

C:\WINDOWS\Tasks\At1.job 
 â,Çt…À@šŽ®p«)KF ä     < 
      s      ¨!                  ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e        S Y S T E M    C r é é   p a r   N e t S c h e d u l e J o b A d d .       €     0   ×                             ÿ        b÷<T„g+J¥‚˜6™Ç²>¥åÍ@£?5ï1b57tW€ÙUƒ—WjÊþµmƒA`]Š¶gs2ä¹Çýqø-`Ÿ

C:\WINDOWS\Tasks\At2.job 
      s      ¨!                  ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e        S Y S T E M    C r é é   p a r   N e t S c h e d u l e J o b A d d .       €     0   ×                             ÿ        ¨¹\8¡f”.@qjÁ–Ô•Òéã(dÌÁ¯z_”÷Ûµß"FµXP‡Eéë¦gïÖ4¨""âNÜéÞ®_±¼ˆêÖ

C:\WINDOWS\Tasks\At3.job 
 šùö(›PlCƒ¹·Á$èæF ä     < 
      s      ¨!                  ! C : \ W I N D O W S \ s y s t e m 3 2 \ w u n a u c l t . e x e        S Y S T E M    C r é é   p a r   N e t S c h e d u l e J o b A d d .       €     0   ×        
                     ÿ        ƒæ¶DciVÁD ¤Q3Ê£¢ÌÂLÞœÄ îÊêúÈ)Rtø¯8M*°–æ|ƒ‡¿Ðy>XqSåWÖˆYè¦

C:\WINDOWS\Tasks\Connexion 
Connexion inexploitable 


C:\WINDOWS\Tasks\Donnees_MMAO_22032007154426.job 
 µTÉÚ¢qOI²ãfMÿ-âF     < 
      s      ˆ!                  A C : \ P r o g r a m   F i l e s \ A u t o m a t i o n   A n y w h e r e   3 . 5 \ A u t o m a t i o n   A n y w h e r e . e x e   ~ C : \ D o c u m e n t s   a n d   S e t t i n g s \ H P _ P r o p r i é t a i r e \ M e s   d o c u m e n t s \ A u t o m a t i o n   A n y w h e r e \ A u t o m a t i o n   A n y w h e r e \ M y   T a s k s \ D o n n e e s _ M M A O . a t m n   / u      A u t o m a t i o n   A n y w h e r e        /€     0   ×                                    

C:\WINDOWS\Tasks\PROJET 
PROJET inexploitable 

******************************************
## Répertoires de C:\Program Files

 Le volume dans le lecteur C s'appelle HP_PAVILION
 Le numéro de série du volume est B8E0-B346

 Répertoire de C:\Program Files

03/04/2007  00:35    <REP>          .
03/04/2007  00:35    <REP>          ..
22/03/2007  22:49    <REP>          ABBYY FineReader 8.0 Professional Edition
12/03/2007  13:23    <REP>          ABC Amber CHM Converter
28/02/2007  13:45    <REP>          AC3Filter
23/02/2007  13:23    <REP>          ACD Systems
08/03/2007  16:27    <REP>          Active Image Processing
11/02/2007  15:58    <REP>          Active WebCam
11/03/2007  19:59    <REP>          Adobe
12/02/2007  13:08    <REP>          Altova
02/01/2007  11:42    <REP>          Alwil Software
26/03/2007  11:53    <REP>          Articulate
21/03/2007  23:27    <REP>          ATI Technologies
30/03/2007  09:17    <REP>          Automation Anywhere 3.5
28/02/2007  13:22    <REP>          AviSynth 2.5
03/03/2007  10:04    <REP>          AVSMedia
10/03/2007  21:34    <REP>          BestPractice
13/02/2007  12:38    <REP>          BitDownload
26/03/2007  17:00    <REP>          Blueberry Software
15/02/2007  10:36    <REP>          Borland
14/01/2007  11:55    <REP>          Canon
02/01/2007  11:46    <REP>          CCleaner
01/02/2007  00:05    <REP>          CDBurnerXP Pro 3
25/01/2007  18:38    <REP>          CDCheck
18/03/2007  16:37    <REP>          CENEGA
26/03/2007  22:56    <REP>          CoffeeCup Software
24/11/2004  03:37    <REP>          ComPlus Applications
02/04/2007  23:33    <REP>          DAEMON Tools
11/03/2007  21:48    <REP>          DaemonTools_WhenUSave_Installer
22/03/2007  14:13    <REP>          David Elfassy Software
26/03/2007  20:27    <REP>          DebugMode
15/02/2007  11:17    <REP>          Delphi7SE
15/02/2007  11:47    <REP>          Developer Express Inc
24/01/2007  10:04    <REP>          Disk Checker
28/02/2007  13:43    <REP>          DivX
13/02/2007  17:24    <REP>          EAGLE-4.16r2
22/03/2007  16:27    <REP>          EctSoft
21/02/2007  10:46    <REP>          EDImageCtrl
15/01/2007  10:39    <REP>          EFCM
02/04/2007  23:10    <REP>          Electronic Arts
12/03/2007  10:58    <REP>          e-on software
03/03/2007  13:45    <REP>          eRightSoft
24/03/2007  14:56    <REP>          F-CRC
26/03/2007  17:00    <REP>          Fichiers communs
20/03/2007  11:36    <REP>          GameShadow
15/02/2007  13:06    <REP>          GetSingTel
13/03/2007  19:57    <REP>          glyFX Image Library
12/03/2007  13:25    <REP>          Google
02/01/2007  11:44    <REP>          GRETECH
29/03/2007  11:50    <REP>          Grisoft
02/01/2007  15:55    <REP>          Guitar Pro 5
02/03/2007  20:29    <REP>          Haali
26/03/2007  12:49    <REP>          Hewlett-Packard
02/01/2007  01:12    <REP>          HP
19/01/2007  13:13    <REP>          hp deskjet 5550 series
02/01/2005  01:53    <REP>          HPQ
29/01/2007  21:48    <REP>          IDM Computer Solutions
28/02/2007  13:45    <REP>          illiminable
07/03/2007  14:42    <REP>          Image Viewer CP Pro ActiveX Control
12/03/2007  14:28    <REP>          Instant Effects
26/03/2007  12:02    <REP>          Internet Explorer
02/01/2005  02:17    <REP>          InterVideo
17/03/2007  23:41    <REP>          Investintech.com Inc
19/02/2007  23:03    <REP>          Java
27/01/2007  18:38    <REP>          JoWooD
02/01/2007  11:30    <REP>          KeePass Password Safe
22/02/2007  12:47    <REP>          kicad
26/03/2007  12:47    <REP>          Lavasoft
04/03/2007  19:38    <REP>          LinkStash
11/02/2007  16:03    <REP>          Logitech
17/01/2007  11:17    <REP>          LSoft Technologies
15/03/2007  16:50    <REP>          Macromedia
02/01/2005  01:46    <REP>          Macrovision Corp
25/01/2007  19:41    <REP>          MagicDisc
15/01/2007  12:08    <REP>          MagicISO
17/02/2007  21:03    <REP>          MahJong Suite
02/01/2005  01:23    <REP>          Messenger
25/11/2004  05:27    <REP>          microsoft frontpage
27/01/2007  16:36    <REP>          Microsoft Games
26/03/2007  12:52    <REP>          Microsoft Office
02/01/2007  20:02    <REP>          Microsoft Visual Studio .NET 2003
03/01/2007  10:46    <REP>          Microsoft Works
03/01/2007  10:46    <REP>          Microsoft.NET
21/02/2007  10:41    <REP>          MindFusion Limited
02/01/2007  15:59    <REP>          Mindjet
28/02/2007  13:23    <REP>          MKVtoolnix
13/02/2007  11:44    <REP>          ModelMaker Code Explorer
18/02/2007  20:46    <REP>          ModelMakerTools
25/11/2004  05:27    <REP>          Movie Maker
03/04/2007  10:16    <REP>          Mozilla Firefox
03/04/2007  17:59    <REP>          Mozilla Thunderbird
13/02/2007  12:35    <REP>          MP3 STUPID
02/01/2007  11:45    <REP>          mp3DirectCut
25/11/2004  05:27    <REP>          MSN
25/11/2004  05:27    <REP>          MSN Gaming Zone
02/01/2007  23:21    <REP>          MSXML 4.0
11/02/2007  11:33    <REP>          National Guard
15/01/2007  12:44    <REP>          Nero
02/01/2007  04:46    <REP>          NetMeeting
06/01/2007  21:00    <REP>          NeuroSolutions 5
27/02/2007  13:02    <REP>          Nvu
14/02/2007  20:08    <REP>          Oberon Media
03/03/2007  09:48    <REP>          On2 Technologies
05/03/2007  11:22    <REP>          OpenTTD
28/03/2007  15:23    <REP>          Optimal Solution
02/01/2007  04:46    <REP>          Outlook Express
30/03/2007  12:48    <REP>          Paint.NET
26/03/2007  09:01    <REP>          Pariah
02/01/2005  01:55    <REP>          PC-Doctor for Windows
15/02/2007  21:58    <REP>          Picasa2
20/03/2007  11:35    <REP>          Plone 2
07/01/2007  18:43    <REP>          PowerTracks DirectX Plugins
26/03/2007  11:37    <REP>          Presentersoft PowerVideoMaker
24/02/2007  13:41    <REP>          Prey Demo
23/02/2007  19:20    <REP>          Project KickStart 4
03/01/2007  12:39    <REP>          PTDD Group
15/02/2007  17:19    <REP>          PV
17/03/2007  23:40    <REP>          PyQt4
12/03/2007  15:13    <REP>          PyScripter
14/02/2007  19:16    <REP>          PythonForDelphi
13/02/2007  11:55    <REP>          QMMEOpen
25/01/2007  18:48    <REP>          QuickTime
05/01/2007  20:45    <REP>          Quintessential Media Player
05/01/2007  20:47    <REP>          Quintessential Player
25/01/2007  20:24    <REP>          Raxco
15/02/2007  13:11    <REP>          RBuilder
03/03/2007  09:48    <REP>          Real Alternative
21/03/2007  23:25    <REP>          Realtek
16/02/2007  19:29    <REP>          RealVNC
28/02/2007  13:22    <REP>          RIAM Video Enhancer
28/02/2007  13:40    <REP>          Ripp-It Codec Pack
28/02/2007  13:40    <REP>          Ripp-it_AM
20/02/2007  11:54    <REP>          RiverSoftAVG
22/03/2007  16:34    <REP>          RoboTask
31/01/2007  13:53    <REP>          Roni Music
16/01/2007  13:29    <REP>          Runtime Software
23/01/2007  11:42    <REP>          SeaTools Enterprise
02/01/2005  01:58    <REP>          Services en ligne
10/02/2007  20:17    <REP>          Sierra
26/03/2007  11:18    <REP>          SlySoft
31/01/2007  13:37    <REP>          Smart Projects
22/01/2007  11:12    <REP>          SmartFTP Client 2.0
22/01/2007  11:12    <REP>          SmartFTP Client 2.0 Setup Files
16/01/2007  09:54    <REP>          Soar
02/01/2005  01:44    <REP>          Sonic
13/02/2007  19:04    <REP>          Source Code Library
28/03/2007  15:24    <REP>          StatPackage
24/03/2007  12:04    <REP>          STI
27/02/2007  11:50    <REP>          SuperAdBlocker.com
02/01/2007  11:42    <REP>          SuperCopier2
27/08/2006  17:19            56 239 svchosts.tbe
26/03/2007  16:29    <REP>          SWiSHmax
02/01/2007  10:58    <REP>          Symantec
11/01/2007  19:24    <REP>          Tacmi
18/03/2007  16:33    <REP>          Techland
23/02/2007  17:07    <REP>          TortoiseSVN
02/01/2007  15:59    <REP>          Tracker Software
17/03/2007  17:07    <REP>          TrackMania Nations ESWC
30/03/2007  21:59    <REP>          TrackMania Sunrise Extreme Demo
28/01/2007  19:15    <REP>          Transport Tycoon Deluxe
03/03/2007  16:13    <REP>          Turtle Games
02/04/2007  00:19    <REP>          Ubisoft
03/01/2007  14:39    <REP>          UltraISO
24/11/2004  03:37    <REP>          Uninstall Information
02/01/2007  22:30    <REP>          uTorrent
15/01/2007  19:28    <REP>          Valve
07/03/2007  13:20    <REP>          VB Image Map Control
02/01/2007  11:29    <REP>          VideoLAN
26/03/2007  21:17    <REP>          Visicom Media
30/03/2007  21:33    <REP>          vmntoolbar
22/01/2007  11:36    <REP>          VP Suite 2.0
12/02/2007  16:27    <REP>          VP Suite 2.3
28/01/2007  15:28    <REP>          VVSN
23/02/2007  22:57    <REP>          Warcraft III
23/02/2007  19:48    <REP>          Wattle Software
15/03/2007  10:06    <REP>          website
15/03/2007  15:54    <REP>          WebSite X5
31/01/2007  14:00    <REP>          WhereIsIt
02/02/2007  11:01    <REP>          Win&Soft
25/03/2007  13:30    <REP>          Winamp
02/01/2007  04:46    <REP>          Windows Media Player
02/01/2007  04:46    <REP>          Windows NT
19/03/2007  13:31    <REP>          WinRAR
26/03/2007  11:29    <REP>          Wondershare
28/03/2007  01:14    <REP>          Worldweaver
22/02/2007  13:03    <REP>          wxPython2.8 Docs and Demos
03/03/2007  09:49    <REP>          x264
26/03/2007  13:01    <REP>          Xara
25/11/2004  05:28    <REP>          xerox
28/02/2007  13:44    <REP>          Xvid
               1 fichier(s)           56 239 octets
             189 Rép(s)  29 449 039 872 octets libres

 ******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
    *.cce.hp.com	REG_BINARY	
    dns-look-up.com	REG_SZ	
    www.dns-look-up.com	REG_SZ	
    netsearchsoft.com	REG_SZ	
    www.netsearchsoft.com	REG_SZ	

* Mozilla Firefox (1 autorisé  2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\HP_PROPRITAIRE\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\3A715E6M.DEFAULT\HOSTPERM.1
host	popup	1	www.delfiweb.com
host	popup	1	telechargement.journaldunet.com
host	popup	1	scheme:file
host	popup	1	admin.1and1.fr
host	popup	1	www.francehelices.fr
host	popup	1	www.borland.com
host	popup	1	www.mandrake10.com
host	popup	1	www.jeuxvideopc.com
host	popup	1	www.infos-du-net.com
host	popup	1	www.metacrawl.ws
host	popup	1	www.howardjones.com
host	popup	1	www.aps230.com
host	popup	1	www.weberiadesign.it
host	popup	1	www.chauvin-arnoux.com
host	popup	1	www.developpez.net
host	popup	1	www.coloriez.com
host	popup	1	192.168.0.1
host	popup	1	www.pandora.com

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
    Search Bar	REG_SZ	http://www.google.com/ie

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************







Et un autre Genproc donne :



Rapport GenProc 0.37 effectué le 03/04/2007 à 18:07:33,20 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- Navipromo.zip http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip et décompresse-le sur ton bureau

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le dans un dossier propre à lui (C:\BFU)
* Fais un clic droit de souris sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU). 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.microsoft.com/... (choisis ta session courante "HP_Propri‚taire") ***** 
 
 
# Etape 2/ 
 
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "Recherche et suppression automatique" en appuyant sur la touche R et en validant par entrée. Patiente.
S'il trouve l'adware Navipromo, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique" en appuyant sur la touche H et en validant par entrée ; patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous 
 
# Etape 3/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 4/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées si tu ne l'as pas tu trouveras HijackThis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe ; 
- Le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail  C:\ ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.


   
Répondre à dlewin
10 
papyber, le  2 avr 2007 à 18:20:33
Fais la manip avec le BFU et navipromo pendant que je te prépare l'autre
   
Répondre à papyber
12 
maya, le  2 avr 2007 à 18:51:17
Bonsoir je viens d avoir drivecleaner et n' étant pas trés doué questions ordi j' aurais aimé un peu d aide pr pouvoir l'enlever.Merci
   
Répondre à maya
13 
papyber, le  2 avr 2007 à 18:53:47
Maya crée ton propre topic car sinon on risque de s'enmêler
   
Répondre à papyber
11 
dlewin, le  2 avr 2007 à 18:49:53
Logfile of HijackThis v1.99.1
Scan saved at 18:41:56, on 03/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\InterVideo\Common\Bin\WinRemote.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\LinkStash\lsmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Automation Anywhere 3.5\Automation Anywhere Service.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Automation Anywhere 3.5\AAService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\LinkStash\lnkstash.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\HP_Propriétaire\Bureau\outils_nettoyage\HijackThis.­exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\www.tootella.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LinkStashMonitor] "C:\Program Files\LinkStash\lsmon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {E3866A1E-48C9-4381-A9E8-82AC3BDDA921} (FlowChartX Control 3.0) - http://www.mind-fusion.com/fcx_std_30x_trial.CAB
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automation Anywhere Service - Unknown owner - C:\Program Files\Automation Anywhere 3.5\Automation Anywhere Service.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InstallShield Licensing Service - Macrovision                                                     - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)






et  puis navipromo donne :



Rapport Navipromo.bat 0.73 effectué le 03/04/2007 à 18:30:27,03
C:\Documents and Settings\HP_Propri‚taire\Bureau\outils_nettoyage
L'opération se déroule en mode sans échec sous le compte "HP_Propri‚taire" 

** Recherche...

1/ oxhgpxfhqy trouvé, recherche de oxhgpxfhqy* 
C:\WINDOWS\system32\oxhgpxfhqy.dat
C:\WINDOWS\system32\oxhgpxfhqy.exe
C:\WINDOWS\system32\oxhgpxfhqy_nav.dat
C:\WINDOWS\system32\oxhgpxfhqy_navps.dat
C:\WINDOWS\prefetch\OXHGPXFHQY.EXE-2107A8C5.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    oxhgpxfhqy	REG_SZ	c:\windows\system32\oxhgpxfhqy.exe oxhgpxfhqy

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode 

################################################

** Nettoyage...

1/ Déplacement de oxhgpxfhqy* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\oxhgpxfhqy* déplacé avec succès !
C:\WINDOWS\prefetch\oxhgpxfhqy* déplacé avec succès

 ------------------
* Suppression clés et valeurs de registre 
1 entrées de registre netttoyées 
 

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\oxhgpxfhqy.dat
C:\Navipromo\Backups\oxhgpxfhqy.exe
C:\Navipromo\Backups\OXHGPXFHQY.EXE-2107A8C5.pf
C:\Navipromo\Backups\oxhgpxfhqy_nav.dat
C:\Navipromo\Backups\oxhgpxfhqy_navps.dat
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression
 
-------------

Rapport Navipromo.bat 0.73 effectué le 03/04/2007 à 18:31:26,45
L'opération se déroule en mode sans échec sous le compte "HP_Propri‚taire" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique






alors les difficultés : aucune, on suit ce qui est dit et c'est tout. J'ai donc pu tout faire et même suivre (car ça m'interesse je voudrais savoir d'ou ça vient)  le processus (l'excellent processexplorer de sysinternals, même si  microsoft les à rachetés,  n'a rien donné).



ET résultat ...... j'ai ouvert quelques liens, la bestiole semble avoir été chassée du grenier.
   
Répondre à dlewin
14 
dlewin, le  2 avr 2007 à 18:56:18
Je confirme : 

apres avoir cliqué sur plusieurs liens, en provoquant la "bête" sur des sites à publicité: rien .



Bravo, franchement je suis épaté. Je suis développeur  et là j'avoue que je n'aurai pas trouvé ça (je crois que c'est oxhgpxfh.exe, dat et cie qui est en cause)

Merci 



PS : l'ennui c'est que je suis protégé par avast, CCleaner, Ad aware en permanence et que cela n'a pas suffit
   
Répondre à dlewin
15 
papyber, le  2 avr 2007 à 19:15:13
Note comment démarrer en mode sans échec 

http://www.microsoft.com/... 



Tu vas t'en servir sans accès à internet. 



1/ Télécharge : - CCleaner

http://www.pcastuces.com/logitheque/ccleaner.htm

("Download Latest Version", sur la droite).

 Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout. 



2* Crée un nouveau document texte : 

clic droit de souris sur le bureau, "Nouveau"> "Document Texte". 

Ouvre-le et copie-colle dedans de ce qui est en italique ci-dessous, (copie tout d'un trait) : 



REGEDIT4



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]

"netsearchsoft.com"=-

"www.netsearchsoft.com"=-

"dns-look-up.com"=-

"www.dns-look-up.com"=-





Puis "fichier"/"enregistrer sous" : 

dans : sur le bureau 

Nom du fichier : reglop.reg 

Type de fichier : "tous les fichiers" 

clique sur "enregistrer" 



*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****



 désinstalle via "Ajout/Suppression de programmes", si tu trouves : 

(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

BitDownload

MP3 STUPID



4/ Assure toi d'avoir accès aux dossiers/fichiers cachés : 

Ouvrir un dossier, n'importe lequel. Aller dans : 

Outils/Options des dossiers/Affichage et 

- cocher "afficher les dossiers et fichiers cachés", 

- décocher "masquer les extensions des fichiers dont le type est connu". 

- décocher masquer les fichiers protégés du système d'exploitation (recommandé)" 

"appliquer" et "ok" 



recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves : 

C:\Documents and Settings\All Users\Application Data\time 64 meow okay

C:\Program Files\ BitDownload

C:\Program Files\MP3 STUPID

 

recache tes dossiers et fichiers en effectuant la manoeuvre inverse 





5/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre : 

del /a C:\WINDOWS\Tasks\ABA989A091DA3DB8.job 





valide par entrée, puis ferme la fenêtre de commande. 



6/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 

Si c'est bien le cas, clique sur "oui" 



7/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 



*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
   
Répondre à papyber
16 
dlewin, le  2 avr 2007 à 21:55:09
Que veux tu dire , il semble que cela ait disparu.

Y a t il besoin de continuer avec ccleaner (que j'avais déjà)
   
Répondre à dlewin
17 
papyber, le  2 avr 2007 à 22:15:30
Tout n'est pas parti

ceci est le nettoyage d'une 2ème infection de ton PC

la 1ère soignée par navipromo

la 2 ème "lop.com" soignée par cette manip, si tu ne la fait pas tu vas très vite revoir des pages de pub indésirables...



ensuite tu feras ceci

fais un scan en ligne sur l’un de ces sites

http://www.pandasoftware.fr/Activescan/Activescan.html

http://webscanner.kaspersky.fr/

http://www.bitdefender.fr/scan8/ie.html

avec internet explorer et en acceptant l'activex



poste le rapport ainsi qu'un nouveau hijack this
   
Répondre à papyber
18 
david, le  3 avr 2007 à 11:13:33
Alors tout est ok sauf que 



- je n'avais pas mp3stupid

- il faut obligatoirement avoir IE pour lancer les scan en ligne

- Avast les bloque



- l'analyse Panda donne des choses !!! :




Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                         

Adware:Adware/NaviPromo                                                         No Désinfecté                 C:\!KillBox\( 4)                                                                                                                                                                                                                                                
Spyware:Cookie/RealMedia                                                        No Désinfecté                 C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\3a715e6m.default\cookies.txt[.­247realmedia.com/]                                                                                                                            
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\3a715e6m.default\cookies.txt[.­xiti.com/]                                                                                                                                    
Spyware:Cookie/adstat                                                           No Désinfecté                 C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\3a715e6m.default\cookies.txt[.­ad.stat.4u.pl/]                                                                                                                               
Spyware:Cookie/SpyLog                                                           No Désinfecté                 C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\3a715e6m.default\cookies.txt[.­spylog.com/]                                                                                                                                  
Spyware:Cookie/2o7                                                              No Désinfecté                 C:\Documents and Settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\3a715e6m.default\cookies.txt[.­2o7.net/]                                                                                                                                     
Virus:Trj/Alanchum.OH                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\Inbox[Read More.exe]                                                                                                                        
Virus:Trj/Alanchum.OL                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\Inbox[greeting postcard.exe]                                                                                                                
Virus:Trj/Alanchum.OH                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\SPAMS[Read More.exe]                                                                                                                        
Virus:Trj/Alanchum.OL                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\SPAMS[greeting postcard.exe]                                                                                                                
Outil indésirable:Application/KillApp.B                                         No Désinfecté                 C:\hp\bin\KillIt.exe                                                                                                                                                                                                                                            
Adware:Adware/NaviPromo                                                         No Désinfecté                 C:\Navipromo\Backups\oxhgpxfhqy.exe.off                                                                                                                                                                                                                         
Outil indésirable:Application/Processor                                         No Désinfecté                 C:\Program Files\Mozilla Firefox\SmitfraudFix\Process.exe                                                                                                                                                                                                       



   
Répondre à david
19 
papyber, le  3 avr 2007 à 11:28:52
Normal ce sont des cookies et les outils que nous avons employé, je n'avais pas pensé de te dire de les supprimer avant le scan en ligne

reposte moi un hijack this pour contrôle final

as tu encore des soucis?
   
Répondre à papyber
20 
david, le  3 avr 2007 à 14:51:09
Voici le rapport





Logfile of HijackThis v1.99.1
Scan saved at 14:47:28, on 04/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\InterVideo\Common\Bin\WinRemote.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\LinkStash\lsmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\xStarter\xstarter.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Automation Anywhere 3.5\Automation Anywhere Service.exe
C:\Program Files\Automation Anywhere 3.5\AAService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\PROGRA~1\xStarter\xStartUI.exe
C:\PROGRA~1\xStarter\xPopups.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\LinkStash\lnkstash.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Documents and Settings\HP_Propriétaire\Bureau\outils_nettoyage\HijackThis.­exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\www.tootella.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [WINREMOTE] "C:\Program Files\InterVideo\Common\Bin\WinRemote.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [LinkStashMonitor] "C:\Program Files\LinkStash\lsmon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [xStarter] C:\PROGRA~1\xStarter\xstarter.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E3866A1E-48C9-4381-A9E8-82AC3BDDA921} (FlowChartX Control 3.0) - http://www.mind-fusion.com/fcx_std_30x_trial.CAB
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automation Anywhere Service - Unknown owner - C:\Program Files\Automation Anywhere 3.5\Automation Anywhere Service.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InstallShield Licensing Service - Macrovision                                                     - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)






Et non depuis hier plus de nouvelles de l'indésirable. Bravo en core pour  le sérieux, et... même le professionalisme, oui ça fait bizarre d'employer un tel mot ici, mais je reste épaté.
   
Répondre à david
21 
papyber, le  3 avr 2007 à 15:33:33
1/lance hijack pour un scan et coche ces lignes



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E3866A1E-48C9-4381-A9E8-82AC3BDDA921} (FlowChartX Control 3.0) - http://www.mind-fusion.com/fcx_std_30x_trial.CAB



ferme toutes tes fenêtres y compris internet et clic sur fixer l'objet



2/ceci c'est ce que trouve le scan en ligne



Virus:Trj/Alanchum.OH                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\Inbox[Read More.exe]                                                                                                                        
Virus:Trj/Alanchum.OL                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\Inbox[greeting postcard.exe]                                                                                                                
Virus:Trj/Alanchum.OH                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\SPAMS[Read More.exe]                                                                                                                        
Virus:Trj/Alanchum.OL                                                           Désinfecté                    C:\Documents and Settings\HP_Propriétaire\Application Data\Thunderbird\Profiles\uiivdh7a.default\Mail\Local Folders\SPAMS[greeting postcard.exe]    




recherche en suivant le chemin les fichiers en gras et supprime les s'ils sont encore là



3/supprime aussi si tu trouves



C:\hp\bin\KillIt.exe                                                                                                                                                                                                                                      

C:\Navipromo                                                                                                                                                                                                                       

C:\Program Files\Mozilla Firefox\SmitfraudFix



ainsi que tous les outils que nous avons utilisé comme GenProc ou alibagla qui ne te serviront plus car remis sans cesse à jour



4/désactive ta restauration

clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer

redémarre ton PC

démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration







5/conserve  ccleaner et effectue le nettoyage tous les jours avant de couper le PC



6/installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...

AVG Antispyware

http://www.ewido.net/en/download/



mode d'utilisation : 

Lance AVG Anti-Spyware, mets le à jour,

Clique sur le bouton « Analyse »

Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.

Retour à l'onglet Analyse. 

Clique sur Analyse complète du système.

A la fin du scan, choisis " Appliquer toutes les actions " 

Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

ne laisse pas le résident car à la fin de la période d'essai, tu ne pourras plus t'en servir mais tu pourras toujours faire les mises à jour avant de scanner



tu peux le coupler avec celui-ci

spybot search and destroy

http://www.safer-networking.org/?page=download



7/défragmente



8/pense à bien te protéger 

j'ai découvert ce lien qui est plutôt pas mal à ce sujet 

http://forum.pcastuces.com/sujet.asp?f=25&s=25892



indique ton sujet comme résolu

et bon surf
   
Répondre à papyber
22 
david, le  4 avr 2007 à 15:35:54
Juste une dernière chose : il semble qu'un dll ait été

"déchue" puisqu'elle n'accède plus aux ressources de la même maniere, j'ai eut le message suivant apres un scan de AVG anti rootkit +antivirus: 



"user32.dll à été repositionnée car HHCTRL.OCX tentait d'accéder à une zone mémoire NT."





Question subsidiaire : SI je veux suivre tes conseils, comment fait on pour automatiser un scan AVast, rootkit, spybot, AVG etc .. ? les robots d'automatisations ont besoins des parametres des lignes de commandes et leurs aides ne les fournissent pas .

HMM un petit script Python si je les avait....
   
Répondre à david

	

	
23 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide