rss
Ils ont besoin de votre aide Tous les messages sans réponse
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Non résolu

Virus MSN qui envoie des liens avec le pseudo

Posté par leart, le lundi 28 avril 2008 à 00:09:36
Bonjour,

j'ai un problème de virus MSN en ce moment que je n'arrive pas à résoudre. Le virus envoie un lien à mes contacts MSN, il reprend mon pseudo et se présente ainsi : "pseudonyme".myfriendz.info. si le contact clique dessus il est mené à une page dans laquelle on lui demande son pseudo et son mot de passe.
J'ai déjà essayé de nombreuses méthodes proposées sur des sites, des forums mais il virus n'a toujours pas été éliminé...
Je m'inquiète... La mémoire de mon ordi en est touchée : elle est anormalement insuffisante même si je fais de la place...

Je serais tellement reconnaissante à la personne qui me proposera une solution ! J'ai tous les rapports des dernières analyses antivirus si il faut. Alors merci d'avance et faites attention aux liens envoyés sur MSN messenger !

Leart
Configuration: Windows Vista
Firefox 2.0.0.14
Répondre à leart  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le lundi 28 avril 2008 à 00:15:35
salut

pas cool!passe ceci:

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire ici) et place les fichiers dans C:\MSNFix (très important).

Double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

colle le rapport stp

bises
   
Répondre à FunnyGirl`

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
leart, le lundi 28 avril 2008 à 12:52:17
Salut !

Merci beaucoup, malheureusement le problème n'est pas encore résolu : j'ai encore besoin d'aide !!
Comme j'ai Vista, j'ai du enlevé la protection pour avoir les droits d'administrateur/ ensuite, je ne crois pas avoir besoin de déplacer les fichiers, vu que le dossier MSNfix est crée sur le bureau et comprend le dossier incl et MSNFix.bat/
ensuite après avoir choisi l'option R, l'écran reste bloqué sur check rootkit...et plus rien ne se passe.
Peut-être est-ce très loin avant de se mettre en route mais ça ne me parait pas normal !

J'ai essayé de bien décrire ce que j'ai suivi, j'ai peut-être pas bien fait...

Grand merci pour la venue à l'aide !

Leart.
   
Répondre à leart

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le lundi 28 avril 2008 à 16:07:42
salut

euh non pas normal qu'il bloque

on va passer par navilog,lien:

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

Télécharge maintenant Navilog1 depuis-ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter

en tant qu'administrateur".

Au menu principal, Fais le choix 1
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans une réponse.
Referme le blocnote
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

poste le rapport stp

bises
   
Répondre à FunnyGirl`

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
leart, le lundi 28 avril 2008 à 16:52:08
Voici le rapport :

Search Navipromo version 3.5.5 commencé le 28/04/2008 à 16:38:25,88

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Léa"

Mise à jour le 27.04.2008 à 10h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16643
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***


*** Recherche dossiers dans "c:\users\la4770~1\appdata\roaming\micros~1\windows\sta­rtm~1\programs" ***


*** Recherche dossiers dans "C:\Users\L‚a\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\L‚a\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\L‚a\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\L‚a\AppData\Local\virtualstore\windows\system­32" *

* Recherche dans "C:\Users\L‚a\AppData\Local" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\L‚a\AppData\Local\Microsoft" :


* Dans "C:\Users\L‚a\AppData\Local\virtualstore\windows\system­32" :


* Dans "C:\Users\L‚a\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 28/04/2008 à 16:47:53,13 ***

Eh bien merci énormément, avec celui-ci, tout a fonctionné et j'espère que l'on va pouvoir résoudre le problème grace à ce rapport.

Bises et merci encore !

Leart.
   
Répondre à leart

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le lundi 28 avril 2008 à 16:57:28
re

1) Imprime ces instructions ou copie sur bloc note car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

http://malwarebytes.gt500.org/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAN en cliquant sur Quitter.

poste le rapport ^^

bises
   
Répondre à FunnyGirl`

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
leart, le lundi 28 avril 2008 à 17:47:02
Voici le rapport, aucun élément infecté n'a été détecté :

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 693

Type de recherche: Examen rapide
Eléments examinés: 30603
Temps écoulé: 5 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Merci de toute cette attention. Je ne sais pas ce que je dois en conclure...y'a-t-il autre chose à essayer ?

Bises,

Leart.
   
Répondre à leart

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le lundi 28 avril 2008 à 19:31:11
re

as tu tenté de désinstaller completement msn et de le réinstaller ( refuse les sponsors surtout) ,essaie et poste 1 rapport hijack ici:


Fais une analyse par HijackThis, comme ceci:

1)- Avec connexion au Net en service,
Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < http://www.trendsecure.com/... > avec un installeur. Sur la page, choisis « Download HijackThis Installer » et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.

2)- Installation : clic-droit sur l’ icône « HJTInstall.exe » présente sur ton bureau et choisis : "Exécuter en tant qu'administrateur" dans le menu déroulant qui s'affiche.
- Ensuite, clic sur « Exécuter », puis sur « Install ».
- Accepte la licence en cliquant sur le bouton "I Accept"
- Le programme s’installe de lui-même dans un dossier dédié.
- Par défaut, il s'installera en C:\Program Files\Trend Micro\HijackThis
- Et un raccourci pour lancer l’analyse apparaît sur le bureau.

Note: Comme cette version est appelée à rester sur le PC, faire un clic-droit sur HJTInstall.exe > Propriétés > Onglet compatibilité > coche la case "Exécuter en tant qu'administrateur" en bas .
- Cette solution pérennise le choix qui peut être obtenu de manière provisoire par « clic-droit sur l'icône de raccourci/Exécuter en tant qu'administrateur» dans le menu contextuel.

3)Analyse :
•-Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" .
- Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches (Systray près de l’horloge)!

•-Arrête tous les programmes en cours et ferme toutes les fenêtres.
•- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse.
- À la fin du scan le bloc-notes va s'ouvrir sur le bureau
- Tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum.
- Il sera enregistré dans le dossier C:\Program Files\Trend Micro\HijackThis, sous hijackthis.log.


poste le rapport , le virus est bien quelque part.....

bises
   
Répondre à FunnyGirl`

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
leart, le lundi 28 avril 2008 à 20:42:05
Et voici le rapport; le scan a été très rapide :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:05, on 28/04/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O13 - Gopher Prefix:
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivX­WebPlayerInstaller.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://leanarchie.spaces.live.com/PhotoUpload/VistaMsnPUpldf­r-fr.cab
O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5­.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
End of file - 8410 bytes


Merci encore énormément...pour cette course à la recherche du virus...J'attends le verdict...

Bises

Leart.
   
Répondre à leart

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le lundi 28 avril 2008 à 20:43:32
avant que je matte , tu as désinstallé etc msn?
   
Répondre à FunnyGirl`

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
leart, le lundi 28 avril 2008 à 20:45:08
oui j'ai désinstaller Windows live messenger et l'ai réinstaller avant de faire le scan...
J'espère que c'est bien ce qu'il fallait faire...
   
Répondre à leart

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le lundi 28 avril 2008 à 21:02:07
oui oui ^^

relance hijack et clic sur do a scan only,coches ces lignes puis click sur fix



-O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
-O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://leanarchie.spaces.live.com/PhotoUpload/VistaMsnPUpldf­r-fr.cab
-O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} (Facebook Photo Uploader 4) - http://upload.facebook.com/controls/FacebookPhotoUploader4_5­.cab
   
Répondre à FunnyGirl`

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
leart, le lundi 28 avril 2008 à 23:38:57
Ok, c'est fait ! on vient donc de supprimer les fichiers qui devaient être infectés ?
Alors le problème est peut-être résolu !?
Merci infiniment pour cette aide précieuse et ce temps consacré, c'était pas simple !

Bises !

Leart.
   
Répondre à leart

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
leart, le lundi 28 avril 2008 à 23:58:37
J'ai peut-être crié victoire trop vite, la mémoire est toujours insuffisante, dans le rouge alors que j'efface sans cesse.
Je préviendrais si ça s'aggrave !
Bises,
Leart.
   
Répondre à leart

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le mardi 29 avril 2008 à 00:45:51
ok mais virus toujours présent?

aussi défragmente l'ordi pour faire de la place et aussi va dans panneau de config et vire ce qu'il te semble inutile ...on croit toujours "nan je garde on c jamais ^^,mais on peut remetre si bessoin est vraiment^^)!

faiis 1 défrégmag déjà
   
Répondre à FunnyGirl`

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Leart, le mardi 29 avril 2008 à 17:41:31
Salut,

j'ai défragmenté, c'est de nouveau dans le bleu ! J'espère que ça va durer ! Je vais aussi faire du ménage en enlevant les programmes dont je le sers pas.

On peut dire que le problème est résolu, merci énormément !

Bises, bonne continuation,

Leart.
   
Répondre à Leart

16


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le mardi 29 avril 2008 à 22:42:55
salut je l'espere oui sinan ben reviens parmis nous ^^
bonne suite à toi

bises
   
Répondre à FunnyGirl`

17


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Hawtin, le mercredi 30 avril 2008 à 12:54:08
Salut,
j'ai le même soucis...et besoins d'aide.

En faisant le scan avec navilog1 le rapport m'indique plusieurs fichiers trouvés. Je voudrais savoir quelle est la prochaine étape pour moi et comment savoir si je suis toujours infecté.

Voivi le rapport :

Search Navipromo version 3.5.5 commencé le 30/04/2008 à 12:36:30,24

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Hervé"

Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16643
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***

C:\Program Files\WebMediaPlayer trouvé !

*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\WebMediaPlayer trouvé !

*** Recherche dossiers dans "c:\users\herv~1\appdata\roaming\micros~1\windows\start­m~1\programs" ***


*** Recherche dossiers dans "C:\Users\Herv‚\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\Herv‚\AppData\Roaming" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Herv‚\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Herv‚\AppData\Local\virtualstore\windows\syst­em32" *

* Recherche dans "C:\Users\Herv‚\AppData\Local" *



*** Recherche fichiers ***


C:\Windows\system32\nvs2.inf trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Herv‚\AppData\Local\Microsoft" :


* Dans "C:\Users\Herv‚\AppData\Local\virtualstore\windows\syst­em32" :


* Dans "C:\Users\Herv‚\AppData\Local" :

ruahebq.dat trouvé !
ruahebq_nav.dat trouvé !
ruahebq_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 30/04/2008 à 12:48:42,43 ***
   
Répondre à Hawtin

18


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le mercredi 30 avril 2008 à 21:50:52
salut Hawtin

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis "Exécuter en tant qu'administrateur".

Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaître
Réactive le contrôle des comptes utilisateurs (UAC)

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau

bises poste le rapport stp
   
Répondre à FunnyGirl`

19


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Hawtin, le lundi 5 mai 2008 à 13:20:35
Salut FunnyGirl,

Merci pour ton engagement,

voila mon rapport :

Clean Navipromo version 3.5.5 commencé le 05/05/2008 à 13:11:19,84

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Hervé"

Mise à jour le 29.04.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6000
Internet Explorer : 7.0.6000.16643
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\Herv‚\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\Herv‚\AppData\Local\virtualstore\windows\syst­em32" *


* Suppression dans "C:\Users\Herv‚\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\WebMediaPlayer ...suppression...
...\WebMediaPlayer supprimé !


*** Suppression dossiers dans c:\users\herv~1\appdata\roaming\micros~1\windows\startm~1\pr­ograms ***


*** Suppression dossiers dans "C:\Users\Herv‚\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\Herv‚\AppData\Roaming" ***



*** Suppression fichiers ***

C:\Windows\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\HERV~1\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *


* Dans "C:\Users\Herv‚\AppData\Local\Microsoft" *


* Dans "C:\Users\Herv‚\AppData\Local\virtualstore\windows\syst­em32" *


* Dans "C:\Users\Herv‚\AppData\Local" *

ruahebq.dat trouvé !
Copie ruahebq.dat réalisée avec succès !
ruahebq.dat supprimé !

ruahebq_nav.dat trouvé !
Copie ruahebq_nav.dat réalisée avec succès !
ruahebq_nav.dat supprimé !

ruahebq_navps.dat trouvé !
Copie ruahebq_navps.dat réalisée avec succès !
ruahebq_navps.dat supprimé !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 05/05/2008 à 13:15:32,71 ***
   
Répondre à Hawtin

20


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le lundi 5 mai 2008 à 19:37:52
salut

1) Imprime ces instructions ou copie sur bloc note car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

http://malwarebytes.gt500.org/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAN en cliquant sur Quitter.


poste le rapport stp

bises
   
Répondre à FunnyGirl`

21


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Hawtin, le mardi 6 mai 2008 à 18:23:27
salut,
voila;

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 724

Type de recherche: Examen rapide
Eléments examinés: 46751
Temps écoulé: 5 minute(s), 44 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Spyware-Secure trial.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Website.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.


Alors?
   
Répondre à Hawtin

22


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FunnyGirl`, le mardi 6 mai 2008 à 22:42:20
salut

ok on avance!!! teste ton msn pour voir stp

bises
   
Répondre à FunnyGirl`