Salut,

Effectivement pour ce genre de fenêtre intempestives il faut en particulier Navilog:

Il y a sans doute une infection NaviPromo là dessous.
On va vérifier cela:

Désactive l'UAC le temps de la désinfection (tu le réactiveras après ta désinfection):
• Va dans Panneau de Configuration puis Comptes d'Utilisateurs.
• Clique sur Activer ou désactiver le contrôle des comptes utilisateurs.
• Décoche la case Utiliser le contrôle des comptes utilisateurs pour vous aider à protéger votre ordinateur.
• Clique sur OK pour enregistrer la modification et redémarre le PC lorsque ça t'est demandé.
Affiche les dossiers et fichiers cachés de Vista : http://www.micro-astuce.com/Forum/topic1607.html
• Télécharge Navilog1 de Il_Mafioso depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, fait un double sur le raccourci Navilog1 présent sur ton bureau.
• Choisis l'option 1 puis valide.
! N'utilise pas l'option 2, 3 et 4 sans notre accord !
• Laisse toi guider et patiente jusqu'au message :
*** Analyse Termine le ..... ***
• Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta prochaine réponse.
Referme le bloc note.
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

--------------------
Ensuite

- Télécharger HiJackThis sur le bureau :
- Le tutoriel ici : http://leblogdeclaude.blogspot.com/2006/10/informatique-sect­ion-hijackthis.html

- Installer le sur un répertoire dédié.
- Renommer Hijackthis, pour contrer une éventuelle infection de Vundo.
- Renommer le fichier HiJackThis.exe par exemple en CCM (à chercher dans le répertoire d’installation par exemple C:\Program Files\).
- Pour cela, faire un clic droit sur le fichier HiJackThis.exe et choisir renommer dans la liste.
- Taper CCM et Appuyer sur la touche Entrée.
- Générer un rapport en suivant ces indications :
- Double-clic sur CCM.exe.
- Exécuter le et cliquer sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Copier (Ctrl+C) et Coller (Ctrl+V) le rapport dans le prochain message.
Aide : N'hésite pas à consulter l'aide HiJackThis –



A+

Denis Attendez avant de crier victoire, même si vous pensez que tout a été nettoyé :-) (GMT-5h: Québec, CA)
Si la réponse vous convient, dites le, cela aidera la communauté CCM, par avance merci

Merci pour ta réponse Denis!

Voici le rapport Navilog:

Search Navipromo version 3.4.5 commencé le 20/02/2008 à 15:59:57,75

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\Windows ***



*** Recherche dossiers dans C:\Program Files ***


*** Recherche dossiers dans C:\ProgramData ***


*** Recherche dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Recherche dossiers dans C:\Users\mark\AppData\Roaming\MICROS~1\Windows\STARTM~1\Prog­rams ***


*** Recherche dossiers dans C:\Users\mark\AppData\Local\virtualstore\Program Files ***



*** Recherche dossiers dans C:\Users\mark\AppData\Roaming ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\Windows\system32 *

* Recherche dans C:\Users\mark\AppData\Local\Microsoft *

* Recherche dans C:\Users\mark\AppData\Local\virtualstore\windows\system32 *

* Recherche dans C:\Users\mark\AppData\Local *

Fichiers suspects :

gagbthb.exe trouvé !
gagbthb.dat trouvé !
gagbthb_nav.dat trouvé !
gagbthb_navps.dat trouvé !



*** Recherche fichiers ***


C:\Windows\pack.epk trouvé !
C:\Windows\system32\nvs2.inf trouvé !


*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\Windows\system32 :


* Dans C:\Users\mark\AppData\Local\Microsoft :


* Dans C:\Users\mark\AppData\Local\virtualstore\windows\system32 :


* Dans C:\Users\mark\AppData\Local :

gagbthb.dat trouvé !
gagbthb_nav.dat trouvé !
gagbthb_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

4)Recherche fichiers connus :



*** Analyse terminée le 20/02/2008 à 16:09:29,46 ***

Et maintenant le rapport HiJackThis....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:03, on 20/02/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\mark\Program Files\uTorrent\uTorrent.exe
C:\Users\mark\AppData\Local\gagbthb.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Trend Micro\HijackThis\CCM.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gozobil.lx.ro
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gozobil.lx.ro
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gozobil.lx.ro
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\COMMON~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [uTorrent] "C:\Users\mark\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [gagbthb] c:\users\mark\appdata\local\gagbthb.exe gagbthb
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{905B0CBA-B3AE-4C7E-BEC8-E97520309D32}: NameServer = 212.27.53.252,212.27.52.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{A763DC89-2B6B-4BC8-9E1B-CB1B7A5273C8}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Program Files\Adobe\Adobe Version Cue\service\VersionCue.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
End of file - 6089 bytes

Salut twinings,


Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé
Et votre A.V. le temps de la désinfection pour éviter les messages d’alerte intempestifs.

Tu es infecté par l'adware Navipromo/ Magic control
• Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".
• Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
L'outil va t'informer qu'il va redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
• Au redémarrage de ton PC, choisis ta session habituelle.
• Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
• Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaître
Réactive le contrôle des comptes utilisateurs (UAC)
Ainsi que ton AV.


Poste ce rapport dans ta prochaine réponse.


PS: Si ton bureau ne réapparaît pas, fais CTRL+Maj+Esc pour ouvrir le gestionnaire de tâches.
Dans le menu fichiers, sélectionne "exécuter".
Tape explorer et valide. Ton bureau va réapparaître.

-Pour terminer

Exécuter et Télécharger Spybot et CCleaner

------------------------
1- Cliquer sur Spybot pour télécharger la dernière version 1.5 (septembre 2007)
Après installation cliquer sur Rechercher les Mises à Jour, cocher les MàJ , télécharger les MàJ, Vérifier tout, Purger les éléments sélectionner, puis ***Vacciner***
Le tutorial très complet http://www.tutoriaux-excalibur.com/spybot.htm (merci excalibur)

------------------------
2- Cliquer CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.

Pendant l'installation si vous avez déjà une barre de recherche, alors décocher l'ajout de la barre yahoo.
Son tutorial ICI
Une fois installé, aller dans Options/Propriétés/ Effacement sécurisé du fichier (lent) Type NSA (7 Passages).
Ensuite dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de Windows de plus vieux que 48h.
Bouton Nettoyer, cliquer sur Analyse laisser travailler cela peut être très long ensuite cliquer sur Lancer le nettoyage.
Ensuite sur le bouton Registre répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas où il supprimerait une mauvaise clef (peu probable).
À effacer ensuite s’il n’y a pas de problème par la suite.

A+ Attendez avant de crier victoire, même si vous pensez que tout a été nettoyé :-) (GMT-5h: Québec, CA)
Si la réponse vous convient, dites le, cela aidera la communauté CCM, par avance merci

Et voici le repport de nettoyage....

Clean Navipromo version 3.4.5 commencé le 21/02/2008 à 9:37:53,73

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16609
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\Windows\System32 *


* Suppression dans C:\Users\mark\AppData\Local\Microsoft *


* Suppression dans C:\Users\mark\AppData\Local\virtualstore\windows\system32 *


* Suppression dans C:\Users\mark\AppData\Local *

Autres Suppressions :

gagbthb.exe trouvé !
Copie gagbthb.exe réalisée avec succès !
gagbthb.exe supprimé !

gagbthb.dat trouvé !
Copie gagbthb.dat réalisée avec succès !
gagbthb.dat supprimé !

gagbthb_nav.dat trouvé !
Copie gagbthb_nav.dat réalisée avec succès !
gagbthb_nav.dat supprimé !

gagbthb_navps.dat trouvé !
Copie gagbthb_navps.dat réalisée avec succès !
gagbthb_navps.dat supprimé !



*** Suppression dossiers dans C:\Windows ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\ProgramData ***


*** Suppression dossiers dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs ***


*** Suppression dossiers dans C:\Users\mark\AppData\Roaming\MICROS~1\Windows\STARTM~1\Prog­rams ***


*** Suppression dossiers dans C:\Users\mark\AppData\Local\virtualstore\Program Files ***


*** Suppression dossiers dans C:\Users\mark\AppData\Roaming ***



*** Suppression fichiers ***

C:\Windows\pack.epk supprimé !
C:\Windows\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\mark\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\Windows\system32 *


* Dans C:\Users\mark\AppData\Local\Microsoft *


* Dans C:\Users\mark\AppData\Local\virtualstore\windows\system32 *


* Dans C:\Users\mark\AppData\Local *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 21/02/2008 à 9:43:04,55 ***

Merci DeNiscOol !

A priori le problème est bien réglé... super!

Salut,

Oui mais tout n'est pas fini, ne t'enfuis pas ;-)


--------------------
3- Je vous conseillerais Firefox, plus sure, plus rapide et plus souple que IExplorer : http://www.mozilla-europe.org/fr/products/firefox/

* Pour les cookies s'assurer de tout correctement configurer, Outils / Options / Vie privée >
* Cookies / Les conserver jusqu'à : la fermeture de firefox.
* Vie privée cocher : Toujours effacer mes informations personnelles à la fermeture de Firefox.

Voici un lien pour encore mieux optimiser la vitesse de navigation:
http://www.commentcamarche.net/faq/sujet 852 firefox optimisation ameliorer les performances
ou automatiquement regarder ici:
http://www.01net.com/...


--------------------
4- Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gozobil.lx.ro
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gozobil.lx.ro
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gozobil.lx.ro


Fermez toutes les applications et le navigateur et cliquer sur Fix Checked.

Comment fixer une ligne:
Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)
-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Ensuite renvoyer un dernier rapport HJThis.


------------------------
5- ToolsCleaner de A.Rothstein
Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques

Télécharge le http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe sur ton Bureau.
* Double-clique sur ToolsCleaner2.bat et laisse le travailler
* Clique sur Recherche et laisse le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.
* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)


------------------------
6- Mises à jours pour voir si tu as les dernières versions des Plugs in, Navigateur, Windows, Flash...
C’est en anglais mais il y a juste 1 ou 2 boutons à cliquer.
http://secunia.com/software_inspector/?task=load
une petite explication dans ce lien (merci malekal).
Et bien entendu windows update: http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=fr


------------------------
7- De nombreuses infections utilisent les ordinateurs infectés comme serveurs distant ou autre gentillesse du genre usurpation d'identité. Pour contrer ce genre d'attaque il faut un parefeu.
Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI


A+ Attendez avant de crier victoire, même si vous pensez que tout a été nettoyé :-) (GMT-5h: Québec, CA)
Si la réponse vous convient, dites le, cela aidera la communauté CCM, par avance merci