Bonjour Arthur,

As-tu essayé de faire une analyse anti-virus ?
Possède tu un "anti-popup" ?

Mon antivirus (Kasperky Anti-Virus Personal) ne détecte aucun fichier infecté dans les analyses.

Qu'entends-tu par Anti Popup?

J'ai téléchargé Navilog1 et effectuer l'analyse, il a bien trouvé les fichiers infectés Instant access et compagnie.
Voila le rapport si cela peut t'avancer:



Search Navipromo version 2.0.5 commencé le 02/07/2007 à 16:03:09,43

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


Instant Access


*** Recherche dossiers dans C:\WINDOWS ***


C:\WINDOWS\msskinner trouvé !


*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\Instant Access trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Arthur\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/02/07 at 16:03:12.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ........................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/02/07 at 16:09:03 (return code = 0).


*** Recherche fichiers ***


C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\EGACCESS.dll trouvé !
C:\WINDOWS\system32\EGACCESS.dll trouvé !
C:\WINDOWS\system32\egaccess4_1061.dll trouvé !
C:\WINDOWS\system32\egaccess4_1062.dll trouvé !
C:\WINDOWS\system32\egaccess4_1063.dll trouvé !
C:\WINDOWS\system32\egaccess4_1064.dll trouvé !
C:\WINDOWS\system32\egaccess4_1066.dll trouvé !
C:\WINDOWS\system32\linkprd.exe trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]­



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\bsibkfwc.dat trouvé !
C:\WINDOWS\system32\dcrrzg.dat trouvé !
**
C:\WINDOWS\system32\bsibkfwc.dat trouvé !
C:\WINDOWS\system32\dcrrzg.dat trouvé !
***
****
C:\WINDOWS\system32\bsibkfwc_navps.dat trouvé !
C:\WINDOWS\system32\dcrrzg_navps.dat trouvé !
*****
C:\WINDOWS\system32\bsibkfwc_nav.dat trouvé !
C:\WINDOWS\system32\dcrrzg_nav.dat trouvé !
******
*******
********
C:\WINDOWS\system32\linkprd.exe trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 02/07/2007 à 16:10:38,07 ***




Je ne sais pas ce qu'il faut faire ensuite.

Wow ! Je suis désolée mais je ne sais pas analyser les rapports...

Quand je parlais d'anti popup, aurais-tu par exemple la barre google ?

Non, je ne ai pas la barre Google mais pour ce qui est des popup "classiques" Mozilla Firefox s'en sort très bien.

Finalement j'ai effectuer la désinfection automatique avec Navilog1 et hop toute cette m**** a viré de mon pc après un redémarrage.

Franchement je conseille à tous ceux qui ont ces problèmes de télécharger Navilog1 en allant faire un tour ici http://perso.orange.fr/il.mafioso/Navifix/Pr%E9sentation%20navilog1.html

Merci Navilog !!

Arthur.

Bonjour , j'ai des fenêtres CiD qui s'ouvrent toutes seules tout le temps je ne sais plus quoi faire , s'il vous plait aidez moi !! c'est urgent
Merci d'avance

Bonjour,

J'ai mozilla et internet mais je vais tout le temps sur mozilla et très souvent j'ai de pubs d'internet qui s'affichent dans une nouvelle fenêtre et je ne sais pas comment faire pour stopper ces pubs donc si vous le savez dites le moi s'il vous plait.

Merci!!!

Salut a tous, j'ai fait ce qui est ecrit et voila le resultat :
Fix Navipromo version 4.0.2 commencé le 09/09/2009 14:28:59,17

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU E4400 @ 2.00GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A00
USER : gvf ( Administrator )
BOOT : Normal boot

Antivirus : Sophos Anti-Virus (Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:148 Go (Free:121 Go)
D:\ (CD or DVD)
F:\ (USB)


Recherche executée en mode normal


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 09/09/2009 14:35:26,39 ***

Bonjour Sniper,

L'outil que tu as utilisé est spécialisé dans le nettoyage de l'infection Navipromo, mais ce n'est pas la seule à afficher de la pub intempestive et autres. D'ailleurs, le rapport montre que tu n'as pas d'infection Navipromo, c'est donc autre chose.

Utilise ce logiciel de diagnostic s'il te plaît :

Utilise ce logiciel de diagnostic stp :

• Télécharge Random's System Information Tool (RSIT) de random/random ici :

http://images.malwareremoval.com/random/RSIT.exe

Et enregistre le sur ton Bureau.

• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé). Tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : log.txt et info.txt. [b]Ne les poste pas directement ici car ils sont beaucoup trop longs et n'entreront pas dans un seul post./b Au lieu de ça, tu peux les hébérger ailleurs pour me les faire parvenir, par exemple ici : http://www.cijoint.fr/
• Ensuite, poste les liens vers les deux fichiers stp.

*Tutoriel illustré pour t'aider à utiliser RSIT : http://forum-aide-contre-virus.be/tutoriel_RSIT.html

Bonjour stranger,
j'ai fait ce que tu m'a dis et voici les liens où sont logés les fichier :
http://www.cijoint.fr/cjlink.php?file=cj200909/cijmUIYD82.tx­t
http://www.cijoint.fr/cjlink.php?file=cj200909/cijFIQzivd.tx­t

Merci d'avance.

Re stranger, apparement les fenêtres de pub ne viennent plus.... Merci pour ça !
Par contre pour l'autre infection, le truc c'est que c'est l'ordi du boulot et que je marche en réseau, ca vient peut être de ça non ?

Ok pour les fénêtres de pub, tiens-moi au courant si jamais ça revenait même si apparemment c'est ok.

Pour l'autre infection que j'ai vue par contre, c'est bel et bien un ver malheureusement, et plus précisément un Trojan, visible sur cette ligne dans un des rapports :

shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

Encore une fois, il est indispensable de traiter l'infection au plus vite, surtout si le PC infecté est connecté en réseau. A savoir qu'Adober ne se propage que via les disques amovibles... Mais il suffit de brancher une clé UsB portant ce virus sur un PC pour le contaminer, sachant que tu risques des accès non-voulus venant de l'extérieur avec ça.

As-tu exécuté USB Fix?

Si oui, poste le rapport généré à la fin dans ta prochaine réponse stp ^^

Et n'oublie pas que tous les supports amovibles que tu utilises doivent être branchés sur le PC au moment de l'exécution de UsB Fix. Si tu en oublies un qui a encore l'infection sur lui et que tu le rebranches après la désinfection, le virus reviendra à coup sûr et c'est reparti.

Tout les supports amovibles étaient branchés, voici le rapport :


############################## | UsbFix V6.033 |

User : gvf (Administrateurs) # FR079500A00022
Update on 14/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 17:24:14 | 14/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU E4400 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : Sophos Anti-Virus [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 148,96 Go (123,31 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
F:\ -> Disque amovible
G:\ -> Disque amovible # 1,86 Go (113,34 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Oracle\Ora81\BIN\OWASTSVR.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\locator.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\Remote Management System\ManagementAgentNT.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\Program Files\Sophos\Remote Management System\RouterNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\Pmxmiced.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\XMediusFAX\Client\SendMng.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Documents and Settings\gvf\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ericauto\ericauto.exe
C:\Program Files\Easyplan\EasyPlan.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf
G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665
G:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{90e88293-aee1-11dc-86de-001d09126fc8}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{9e1846b7-bad2-11dd-8752-001d09126fc8}
Shell\AutoRun\command =E:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{f475c78d-a28e-11dc-86d8-001d09126fc8}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.pif

HKCU\..\..\Explorer\MountPoints2\{f475c78e-a28e-11dc-86d8-001d09126fc8}
Shell\AutoRun\command =G:\PortableVault.exe

################## | ! Fin du rapport # UsbFix V6.033 ! |
Merci encore pour ton aide !

Ok !

On va maintenant pouvoir nettoyer Adober.


1) Relance USB Fix

• Branche à nouveau toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, lecteur MP3 etc...) susceptible d'avoir été infectés, sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Choisi cette fois l'option 2 ( Suppression )

• Ton bureau va disparaître et le PC va redémarrer -> c'est normal

• Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil jusqu'au bout.

• Ensuite post le rapport UsbFix.txt qui apparaîtra à la fin avec le bureau stp.


• (!) Et enfin, UsbFix te proposera d'uploader un dossier compressé à cette adresse :

http://forum-aide-contre-virus.be/usbfix/choix_fichier.php

• Ce dossier a été créé par UsbFix et est enregistré sur ton bureau. Tu peux l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Merci d'avance pour ta contribution.


2) Quand tu en auras fini avec UsB Fix, je t'invite à faire ce scan généraliste avec Malwarebytes Anti-Malware qui est à la fois très léger et extrêmement efficace dans la détection et la suppression d'infections en tous genres :

• Télécharge et installe Malwarebytes' Anti-Malware depuis ce lien :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

• Lors de l'installation, tu peux choisir de l'installer en français si tu le souhaites
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


3) Et en dernier lieu, refais un nouveau rapport avec RSIT (comme tu l'as fait précédemment) et poste les deux nouveaux liens pour une vérification stp.

Je regarde tout ça dès que tu auras tout et je te dirai s'il y a des restes ou non. A bientôt.

Désolé, j'ai oublié un détail.

Lors de la désinfection avec UsBFix et Malwarebytes dans 1) et 2) (10 à 15 min), prend le soin de déconnecter ton PC du reste du réseau pour éviter les mauvaises surprises. C'est tout ^^

Salut a tous

j avais le meme prob sous windows vista, des fenetres de pub de casino porno ... quelquin ma informé que c est a cause du sponsor de messenger plus, je l ai desinstallé et ya plus rien :))

il faut desinstaller messenger plus et le reinstaller sans cocher le sponsor
voila :)