Pop-up yes messenger et autre

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc note va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc note. Ton bureau va réapparaître

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau.
Démarrer > Panneau de configuration > Options Internet
Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

> Supprime-les
poste le rapport obtenu et un rapport hijack this
tout vient à point à qui sait attendre
pas de demande par MP svp

Merci pour ta réponse rapide et claire!
J'ai effectivement supprimer dans les certificats "egroup".
Voici le nouveau log navilog:

Search Navipromo version 3.4.5 commencé le 15/02/2008 à 11:58:29,93

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\Poste1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Poste1\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\Poste1\MENUDM~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Poste1\locals~1\applic~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\Poste1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 15/02/2008 à 12:03:31,98 ***


ET le log hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:55, on 15/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZX8223.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Poste1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ibmsrv/traffic/login.cfm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [download glue] C:\DOCUME~1\Poste1\APPLIC~1\BAITPR~1\16 second.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: msnmsgr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.21.18/officescan/console/ClientInstall/WinNTC­hk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setupi­ni.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setup.­cab
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://192.168.21.18/officescan/console/html/AtxEnc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/Remove­Ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC3B1A21-0F7F-40A7-968F-6­C7989A2278E}: NameServer = 192.168.21.5,192.168.14.14
O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
End of file - 6409 bytes


Bonne lecture ^^

Télécharge LopXPMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.

Malwares qui installent lop et cid

BitDownload
BitGrabber
BitRoll
MessengerPlus! 3
Messenger Plus! Live
NetPumper
TorrentQ

tout vient à point à qui sait attendre
pas de demande par MP svp

Ok voici :

Rapport lopxpMH2 version 2.0 fait à 12:30:18,56 le 15/02/2008
C:\Documents and Settings\Poste1\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\All Users\Application Data

20/01/2004 03:39 <REP> .
20/01/2004 03:39 <REP> ..
28/05/2004 12:32 <REP> Adobe
27/10/2004 17:52 <REP> cashnurbthunkacid
27/07/2007 14:37 <REP> Google
20/01/2004 03:39 <REP> Microsoft
19/04/2004 12:39 <REP> MSN6
28/04/2004 09:13 <REP> QuickTime
14/02/2008 12:15 <REP> Spybot - Search & Destroy
20/01/2004 04:11 <REP> Symantec
11/07/2006 10:01 <REP> Windows Genuine Advantage
20/01/2004 03:39 62 desktop.ini
13/09/2007 15:30 0 LauncherAccess.dt
2 fichier(s) 62 octets
11 Rép(s) 30 636 605 440 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\Default User\Application Data

20/01/2004 03:39 <REP> .
20/01/2004 03:39 <REP> ..
20/01/2004 03:39 <REP> Microsoft
20/01/2004 03:39 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 30 636 605 440 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

20/01/2004 03:39 <REP> .
20/01/2004 03:39 <REP> ..
20/01/2004 03:52 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 636 605 440 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\LocalService\Application Data

20/01/2004 03:57 <REP> .
20/01/2004 03:57 <REP> ..
20/01/2004 03:57 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 636 605 440 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

20/01/2004 03:57 <REP> .
20/01/2004 03:57 <REP> ..
20/01/2004 03:57 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 636 605 440 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\NetworkService\Application Data

20/01/2004 03:57 <REP> .
20/01/2004 03:57 <REP> ..
20/01/2004 03:57 <REP> Microsoft
24/01/2005 09:45 <REP> Symantec
0 fichier(s) 0 octets
4 Rép(s) 30 636 605 440 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

20/01/2004 03:57 <REP> .
20/01/2004 03:57 <REP> ..
20/01/2004 03:57 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 636 605 440 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\Poste1\Application Data

20/01/2004 03:58 <REP> .
20/01/2004 03:58 <REP> ..
25/06/2007 09:53 <REP> .clamwin
28/05/2004 12:33 <REP> Adobe
27/10/2004 17:51 <REP> BAIT PROXY BIRD
27/07/2007 14:50 <REP> Google
23/03/2006 10:15 <REP> Gpl Chic
06/12/2007 11:49 <REP> Help
20/01/2004 03:58 <REP> Identities
21/10/2004 10:14 <REP> Lavasoft
20/01/2004 09:33 <REP> Macromedia
20/01/2004 03:58 <REP> Microsoft
23/03/2006 13:03 <REP> Mozilla
19/04/2004 12:39 <REP> MSN6
18/10/2007 10:15 <REP> Real
13/09/2007 15:33 <REP> Samsung
07/05/2007 10:43 <REP> SecondLife
10/04/2007 10:01 <REP> Sun
20/01/2004 04:11 <REP> Symantec
16/07/2007 12:09 <REP> SystemRequirementsLab
28/04/2006 17:07 <REP> U3
18/07/2007 14:15 <REP> vlc
20/01/2004 03:58 62 desktop.ini
28/05/2004 12:19 0 dm.ini
20/01/2004 04:09 0 sversion.ini
3 fichier(s) 62 octets
22 Rép(s) 30 636 601 344 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Documents and Settings\Poste1\Local Settings\Application Data

20/01/2004 03:58 <REP> .
20/01/2004 03:58 <REP> ..
28/05/2004 12:33 <REP> Adobe
27/07/2007 14:50 <REP> Google
06/12/2007 11:49 <REP> Help
20/01/2004 12:39 <REP> Identities
20/01/2004 03:58 <REP> Microsoft
23/03/2006 13:04 <REP> Mozilla
04/01/2006 15:25 <REP> Scala
07/05/2007 12:44 <REP> There
10/08/2004 11:44 20 992 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
21/01/2002 01:32 44 920 GDIPFONTCACHEV1.DAT
20/01/2004 04:18 6 397 484 IconCache.db
3 fichier(s) 6 463 396 octets
10 Rép(s) 30 636 601 344 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

20/01/2004 03:56 <REP> .
20/01/2004 03:56 <REP> ..
20/01/2004 03:56 <REP> Microsoft
20/01/2004 03:56 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 30 636 601 344 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

20/01/2004 03:56 <REP> .
20/01/2004 03:56 <REP> ..
20/01/2004 03:56 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 636 601 344 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 8019-F82E

Répertoire de C:\Program Files

15/02/2008 10:07 <REP> .
15/02/2008 10:07 <REP> ..
17/02/2006 16:38 <REP> Adobe
20/01/2004 04:02 <REP> Ahead
25/06/2007 09:53 <REP> ClamWin
15/02/2008 10:07 <REP> CleanUp!
19/04/2004 11:16 <REP> Common Files
20/01/2004 03:48 <REP> ComPlus Applications
04/04/2007 17:33 <REP> Fichiers communs
10/01/2008 09:00 <REP> Google
11/07/2006 17:31 <REP> Hewlett-Packard
11/07/2006 15:15 <REP> IBM
16/02/2007 17:53 <REP> Internet Explorer
04/04/2007 17:39 <REP> Java
08/02/2006 11:04 <REP> Lavasoft
21/01/2004 06:05 <REP> Lexmark
20/04/2007 10:45 <REP> Macromedia
26/12/2005 13:56 <REP> Messenger
20/01/2004 03:53 <REP> microsoft frontpage
22/01/2004 11:24 <REP> Microsoft Office
22/01/2004 11:25 <REP> Microsoft.NET
07/10/2004 10:41 <REP> Movie Maker
15/02/2008 11:50 <REP> Mozilla Firefox
20/01/2004 03:47 <REP> MSN
20/01/2004 03:47 <REP> MSN Gaming Zone
08/03/2007 08:56 <REP> MSN Messenger
20/11/2006 09:16 <REP> MSXML 4.0
15/02/2008 12:07 <REP> Navilog1
07/10/2004 10:35 <REP> NetMeeting
10/01/2006 10:28 <REP> Norton AntiVirus
13/03/2007 11:33 <REP> OpenOffice.org1.1.0
18/12/2006 12:09 <REP> Outlook Express
13/06/2006 11:10 <REP> QuickTime
28/04/2004 09:12 12 305 576 QuickTimeFullInstaller.exe
20/01/2004 04:17 <REP> Realtek Sound Manager
07/05/2007 11:12 <REP> S3Inc
13/09/2007 14:21 <REP> Samsung
24/08/2007 16:10 <REP> Screensavers
20/01/2004 03:50 <REP> Services en ligne
19/04/2004 12:54 4 959 176 SetupDl.exe
14/02/2008 15:36 <REP> Spybot - Search & Destroy
10/01/2006 12:36 <REP> Symantec
09/05/2007 16:03 <REP> There
03/12/2007 12:20 <REP> Trend Micro
01/06/2007 15:04 <REP> VideoLAN
20/04/2007 10:47 <REP> Winamp
30/03/2007 14:42 <REP> Windows Media Connect 2
30/03/2007 14:42 <REP> Windows Media Player
07/10/2004 10:35 <REP> Windows NT
20/01/2004 03:53 <REP> xerox
2 fichier(s) 17 264 752 octets
48 Rép(s) 30 636 601 344 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
searchweb2.com REG_SZ
www.searchweb2.com REG_SZ

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\POSTE1\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\Y3I1V0MT.DEFAULT\HOSTPERM.1
host popup 1 www.soleilcalin.info
host popup 1 www.wam-poker.com
host popup 1 www.adresse-msn.com
host popup 1 www.lotro-europe.com

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/ie

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
download glue REG_SZ C:\DOCUME~1\Poste1\APPLIC~1\BAITPR~1\16 second.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,

C:\Documents and Settings\All Users\Application Data\cashnurbthunkacid
C:\Documents and Settings\Poste1\Application Data\BAIT PROXY BIRD

et colle-la dans le cadre de gauche de OTMoveIt2 :Paste standard List of Files/Folders to be moved.
copie la liste qui se trouve en citation ci-dessous,

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"searchweb2.com"=-
"www.searchweb2.com"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
"download glue"=-

et colle-la dans le cadre de gauche (couleur Bleu) de OTMoveIt2 :
Past Custom List of Files/Folders to be moved.
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

poste le rapport obtenu et un nouveau rapport lopxpmh2
tout vient à point à qui sait attendre
pas de demande par MP svp

Juste une précision dans ce que tu me demande :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"searchweb2.com"=-
"www.searchweb2.com"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
"download glue"=-

Ces lignes là doivent être collée dans Past Custom List of Files/Folders to be moved (c'est le cadre orange et pas bleu si je ne me trompe pas) ?

J'ai fait la manip mais il semble que le processus bloque quand il essaie d'enlever searckweb2. En tout cas ca prend un temps fou. je vais retenter en attendant ton avis.

Merci

orange oui

tout vient à point à qui sait attendre
pas de demande par MP svp

ok. Je confirme que OTmovelt bloque sur "moving file searchweb2.com.
Le programme ne répond pas depuis plus de 10 mn.
As tu une suggestion à me faire?

Merci d'avance.

stoppe tout
on va faire autrement
1/ Télécharge : - CCleaner
http://www.pcastuces.com/logitheque/ccleaner.htm
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

2* Crée un nouveau document texte :
clic droit de souris sur le bureau, "Nouveau"> "Document Texte".
Ouvre-le et copie-colle dedans ce qui est ci-dessous, (copie tout d'un trait) :

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"searchweb2.com"=-
"www.searchweb2.com"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
"download glue"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)
Comment aller en Mode sans échec lettre C
http://forum.pcastuces.com/sujet.asp?f=25&s=3902
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur *****

/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

recherche et supprime ces dossiers ou fichiers en gras, si tu les trouves :
C:\Documents and Settings\All Users\Application Data\cashnurbthunkacid
C:\Documents and Settings\Poste1\Application Data\BAIT PROXY BIRD

recache tes dossiers et fichiers en effectuant la manoeuvre inverse

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

tout vient à point à qui sait attendre
pas de demande par MP svp

Aucun soucis rencontré. Dis moi ca que tu en pense...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52:04, on 15/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\PJF797.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
C:\DOCUME~1\Poste1\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ibmsrv/traffic/login.cfm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: msnmsgr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.21.18/officescan/console/ClientInstall/WinNTC­hk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setupi­ni.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/setup.­cab
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://192.168.21.18/officescan/console/html/AtxEnc.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://192.168.21.18/officescan/console/ClientInstall/Remove­Ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC3B1A21-0F7F-40A7-968F-6­C7989A2278E}: NameServer = 192.168.21.5,192.168.14.14
O23 - Service: Fonction Commande à distance d'iSeries Access for Windows (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Scan en temps réel OfficeScanNT (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: Pare-feu OfficeScanNT (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
End of file - 6177 bytes

J'ai surfé un peu sur le net avec IE et je n'ai pas eu un seul pop-up. Il semblerait que cela redevienne viable.
Un grand merci pour ton aide et ta patience. J'ai rarement l'occasion de passer par ce site mais en tous cas ton intervention a été parfaite!

Bonne continuation et au plaisir!

faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
http://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur scanner
Les signatures se chargent, etc.

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

tout vient à point à qui sait attendre
pas de demande par MP svp

Ok Merci pour ton aide précieuse.
Le scan a virer pas mal de conneries encore, mais déjà je vois la différence!!!

Le problème me semble donc résolue. Merci encore et bonne continuation.

PS : comment je fais pour cloturer le post?

Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins ccleaner ou
Télécharge : - CCleaner
http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
http://www.ewido.net/en/download/

mode d'utilisation :
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse.
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions "
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


tu peux le coupler avec celui-ci
spybot search and destroy
http://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet
sécuriser son PC version Hot et Light


désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer


la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...


et bon surf

tout vient à point à qui sait attendre
pas de demande par MP svp

-->- Recherche:

C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Lopxpmh2.zip:­ trouvé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1: trouvé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navi­log1.exe: trouvé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navi­log1.lnk: trouvé !
C:\Documents and Settings\Poste1\Local Settings\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Lopxpmh2.zip:­ supprimé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navi­log1.exe: supprimé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1\Navi­log1.lnk: supprimé !
C:\Documents and Settings\Poste1\Local Settings\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\Poste1\Bureau\richard\DIVERS\sécurité\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !

Voici!
Encore merci pour tout!!!

A +++

Bonjour
N'arrivant pas à me débarasser des fenetres pub de ce spyware, je copie ci mon rapport pour aide de votre part. Merci à vous.

************************************************************­**************************


Search Navipromo version 2.0.2 commencé le 26/02/2008 à 23:50:04,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***


InternetGameBox


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\InternetGameBox trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\isa----nico\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1061.

[+] Started on 02/26/08 at 23:50:05.
[-] ERROR: This version of F-Secure BlackLight has expired.
[+] Exited on 02/26/08 at 23:50:05 (return code = 3).


*** Recherche fichiers ***


C:\DOCUME~1\ALLUSE~1\Bureau\InternetGameBox.lnk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]­



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_USERS\S-1-5-21-2710151713-1577214735-1306553958-1005\So­ftware\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\ifzsnolcpr.dat trouvé !
**
C:\WINDOWS\system32\ifzsnolcpr.dat trouvé !
***
****
C:\WINDOWS\system32\ifzsnolcpr_navps.dat trouvé !
*****
C:\WINDOWS\system32\ifzsnolcpr_nav.dat trouvé !
******
*******
********


*** Analyse Terminé le 26/02/2008 à 23:50:49,10 ***