page intempestive "em.pc-on-internet..."

> Tous les forums > Sécurité

page intempestive "em.pc-on-internet..." Sujet résolu

Statut du sujet : RESOLU

T1000

Posté le 03/12/2007 @ 16:00

Petit astucien

413 Messages

TLM,

en creant ce sujet je m'appercois d'apres le sujet de sophiade que je ne suis pas le seul...

sur un pc qui n'est pas le mien en surfant sur le net j'ai des pages intempestives qui s'ouvrent, dont la plus courante est "http://em.pc-on-internet.com" (serveur introuvable, impossible d'afficher la page)

avant de poster ici, j'ai fait une totale avec avast, Spybot, Adaware, CCleaner et EasyCleaner.

j'ai egalement desinstaller certaines mer qui etaient presentes notamment des jeux "zylom"...

j'ai suivi le processus de pré-nettoyage comme indiqué en mode sans echec avec CCleaner et AVG.

AVG n'a rien trouvé, et, en revenant poster sur le forum j'ai une page qui s'est re-ouverte (em.pc-on...)

voici un 1er log HijackThis: je constate en premiere lecture que zylom, entre autre (google update devrait aussi ne plus etre la, ainsi que AvantBrowser... !) est toujours present sur le pc malgré la desinstal, mais n'etant pas expert en HijackThis, je prefere me laisser guider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:21, on 03/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\U.S. Robotics\Wireless USB Manager\PRISMSVR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\U.S. Robotics\Wireless USB Manager\USR11G.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Mes documents\jean-louis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Program Files\U.S. Robotics\Wireless USB Manager\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: U.S. Robotics Wireless USB Adapter.lnk = C:\Program Files\U.S. Robotics\Wireless USB Manager\USR11G.exe
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Bloquer toutes les publicités de ce site... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre... - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir des liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner toutes les occurrences sur la page - C:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173300592406
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game10.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 7031 bytes

merci aux astuciens pour leur aide...

Publicité

philae

Posté le 03/12/2007 à 16:12

Groupe Sécurité

36106 Messages

bonjour,

on va vérifier quelque chose

* Télécharge navilog1 (Merci il.mafioso!)

* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valides.
/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
* Patiente jusqu'au message : *** Analyse terminée le ..... ***
* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

T1000

Posté le 03/12/2007 à 16:22

Petit astucien

413 Messages

philae !!

merci pour ta reponse rapide !

il y a longtemps que je n'etais pas venu sur le forum securité.

avant de poster le rapport, je dois te dire que j'ai aussi remarqué que zylom etait present dans les sites autorisés du bloqueur de fenetres dans les options de IE...je l'ai bien sur viré !

le resumé navilog:

Search Navipromo version 3.3.6 commencé le 03/12/2007 à 16:17:15,25

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Karine DESPLACE\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\KARINE~1\LOCALS~1\APPLIC~1

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans C:\DOCUME~1\KARINE~1\LOCALS~1\APPLIC~1 *

Fichiers trouvés :

lxchtrvbgs.exe trouvé !

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\DOCUME~1\KARINE~1\LOCALS~1\APPLIC~1\lxchtrvbgs.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !

*** Analyse terminée le 03/12/2007 à 16:18:10,48 ***

philae

Posté le 03/12/2007 à 16:23

Groupe Sécurité

36106 Messages

il y a longtemps que je n'etais pas venu sur le forum securité.

en général c'est jamais bon signe

on continue

* Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
* Au menu principal, choisis 2 et valide.
* Le fix va t'informer qu'il va alors redémarrer ton PC
* Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
* Appuie sur une touche comme demandé. (si ton Pc ne redémarre pas automatiquement, fais le toi même)
* Au redémarrage de ton PC, choisis ta session habituelle.
* Patiente jusqu'au message : *** Nettoyage Termine le ..... ***
* Le Bloc-notes va s'ouvrir.
* Sauvegarde le rapport de manière à le retrouver.
* Referme le Bloc-Notes. Ton bureau va réapparaître.

* Note : Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
* Rends-toi à l'onglet "Processus", clique en haut à gauche sur > Fichiers et choisis > Exécuter
* Tape > explorer et valide. Celà te fera apparaître ton Bureau.

* Tu posteras le rapport de Navilog1 et un nouveau rapportHijackThis.

T1000

Posté le 03/12/2007 à 16:35

Petit astucien

413 Messages

re-

re
il y a longtemps que je n'etais pas venu sur le forum securité.
en général c'est jamais bon signe

oui et non... il y a suffisament de bons conseils et d'astuciens experimentés pour ne pas avoir "besoin" de poster...

le denier rapport navilog:

Clean Navipromo version 3.3.6 commencé le 03/12/2007 à 16:26:22,57

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 14.11.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180

Mode suppression automatique

*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

C:\WINDOWS\prefetch\lxchtrvbgs*.pf trouvé !
Copie C:\WINDOWS\prefetch\lxchtrvbgs*.pf réalisé avec succès !
C:\WINDOWS\prefetch\lxchtrvbgs*.pf supprimé !

* Suppression dans C:\DOCUME~1\KARINE~1\LOCALS~1\APPLIC~1 *

lxchtrvbgs.exe trouvé !
Copie lxchtrvbgs.exe réalisé avec succès !
lxchtrvbgs.exe supprimé !

lxchtrvbgs.dat trouvé !
Copie lxchtrvbgs.dat réalisé avec succès !
lxchtrvbgs.dat supprimé !

lxchtrvbgs_nav.dat trouvé !
Copie lxchtrvbgs_nav.dat réalisé avec succès !
lxchtrvbgs_nav.dat supprimé !

lxchtrvbgs_navps.dat trouvé !
Copie lxchtrvbgs_navps.dat réalisé avec succès !
lxchtrvbgs_navps.dat supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

*** Suppression dossiers dans C:\Program Files ***

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Suppression dossiers dans C:\Documents and Settings\Karine DESPLACE\Application Data ***

*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Karine DESPLACE\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche, création sauvegardes et suppression Heuristique :

*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisé avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !

*** Nettoyage terminé le 03/12/2007 à 16:29:05,85 ***

et le rapport HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:09, on 03/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\U.S. Robotics\Wireless USB Manager\PRISMSVR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\U.S. Robotics\Wireless USB Manager\USR11G.exe
E:\Mes documents\jean-louis\HiJackThis.exe

--
End of file - 6998 bytes

philae

Posté le 03/12/2007 à 16:44

Groupe Sécurité

36106 Messages

ok,

tu n'es pas à jour
Acrobat Reader 8.1.1 :

Décocher Téléchargez également :Adobe Photoshop® Album Édition
Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.
Tu peux aussi le remplacer par :FOXIT

* lance HijackThis "do a system scan only" puis coche ces lignes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

4 - HKLM\..\Run: [nwiz] nwiz.exe /install---inutile au démarrage

O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"--------itou

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe-----------sauf si tu t'en sers

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game10.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

* toutes applications fermées et HORS CONNEXION, clique sur FIX CHECKED

* fais un scan antivirus en ligne Panda et copie colle le résultat ici
(avec Internet Explorer. Désactive ton antivirus pendant le scan)

* tuto en image

T1000

Posté le 03/12/2007 à 17:36

Petit astucien

413 Messages

re-

ayé, fait le scan avec panda... le resultat m'a fait peur, mais finalement... non, c'est navilog qui est "remarqué".

il n'empeche qu'il reste encore quelques parasites...

le resultat panda:

Incident Status Location

Spyware:Cookie/Advertising Not disinfected C:\Documents and Settings\Karine DESPLACE\Cookies\karine desplace@advertising[1].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Karine DESPLACE\Cookies\karine desplace@xiti[1].txt
Adware:Adware/NaviPromo Not disinfected C:\Program Files\Navilog1\Backupnavi\lxchtrvbgs.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Program Files\Navilog1\Process.exe
Virus:Trj/Rebooter.J Disinfected C:\Program Files\Navilog1\reboot.exe

je vais essayer d'ouvrir manuelement les cookies et de voir si il y a encore des parasites en attendant une reponse de ta part...

philae

Posté le 03/12/2007 à 17:52

Groupe Sécurité

36106 Messages

pour les cookies, utilise CCleaner

* Télécharge CCleaner.
Installe le dans un répertoire dédié.
Décoche pendant l'installation
--- les deux cases "Ajouter l'option ... "
--- Contrôler les mises à jour
--- Ajouter la Barre d'Outils Yahoo! CCleaner
* lance le nettoyage complet

T1000

Posté le 03/12/2007 à 18:43

Petit astucien

413 Messages

j'ai deja CCleaner..

j'ai ouvert les cookies et viré tout ce qui s'y trouvait...

ensuite j'ai refait un scan panda dont voici le resultat:

Incident Status Location

Spyware:Cookie/Advertising Not disinfected C:\Documents and Settings\Karine DESPLACE\Cookies\karine desplace@advertising[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Karine DESPLACE\Cookies\karine desplace@xiti[1].txt
Adware:Adware/NaviPromo Not disinfected C:\Program Files\Navilog1\Backupnavi\lxchtrvbgs.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Program Files\Navilog1\Process.exe
Spyware:Cookie/Xiti Not disinfected C:\RECYCLER\S-1-5-21-1060284298-1303643608-682003330-1003\Dc5.txt
Spyware:Cookie/Advertising Not disinfected C:\RECYCLER\S-1-5-21-1060284298-1303643608-682003330-1003\Dc8.txt

apparement il en reste...

philae

Posté le 03/12/2007 à 20:59

Groupe Sécurité

36106 Messages

il en restera tjs, dès que tu vas sur le net, des cookies tu en as.

vide ta corbeille aussi

T1000

Posté le 03/12/2007 à 23:31

Petit astucien

413 Messages

oui bien sur..des cookies il y en aura a chaque fois que j'ouvre une page, je suis bien d'accord avec toi !!

mais ceux la ont l'air plutot crochus:

Spyware:Cookie/Xiti Not disinfected C:\RECYCLER\S-1-5-21-1060284298-1303643608-682003330-1003\Dc5.txt
Spyware:Cookie/Advertising Not disinfected C:\RECYCLER\S-1-5-21-1060284298-1303643608-682003330-1003\Dc8.txt

surtout si on regarde leur emplacements...

en tous cas plus pages "em.pc-on-internet..." depuis un petit moment, ca fait du bien !

autre question:

sachant que j'ai desinstallé avant-browser, je ne devrais plus avoir de lignes en rapport avec ce log dans une analyse HijackThis..

or si tu regardes ma derniere analyse, il apparait encore dans 3 ou 4 lignes.

et il n'y a pas de dossier du meme nom dans programmes files (donc pas moyen de le faire disparaitre !)

est-ce que le fait de fixer les lignes adequates avec HijackThis,suffirait a eradiquer completement ce log ?

merci pour ta reponse et ton aide ...

philae

Posté le 03/12/2007 à 23:46

Groupe Sécurité

36106 Messages

mais ceux la ont l'air plutot crochus:
Spyware:Cookie/Xiti Not disinfected C:\RECYCLER\S-1-5-21-1060284298-1303643608-682003330-1003\Dc5.txt
Spyware:Cookie/Advertising Not disinfected C:\RECYCLER\S-1-5-21-1060284298-1303643608-682003330-1003\Dc8.txt
surtout si on regarde leur emplacements...

ILS SONT DANS TA CORBEILLE-------------------VIDE LA

sachant que j'ai desinstallé avant-browser, je ne devrais plus avoir de lignes en rapport avec ce log dans une analyse HijackThis..
or si tu regardes ma derniere analyse, il apparait encore dans 3 ou 4 lignes.
et il n'y a pas de dossier du meme nom dans programmes files (donc pas moyen de le faire disparaitre !)
est-ce que le fait de fixer les lignes adequates avec HijackThis,suffirait a eradiquer completement ce log ?

on va s'en occuper alors. mais ce ne sont pas les lignes 08 qui empêchent la suppression.

Tu peux fixer les lignes :

O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Bloquer toutes les publicités de ce site... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre... - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir des liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner toutes les occurrences sur la page - C:\Program Files\Avant Browser\Highlight.htm

as tu désinstaller via ajout et suppression de programme ?

fait une recherche sur ton pc pour voir où il t'en reste encore Est-ce uniquement dans ProgramFIles ?

as tu essayé de supprimer en mode sans échec tout simplement ?

T1000

Posté le 04/12/2007 à 00:02

Petit astucien

413 Messages

ILS SONT DANS TA CORBEILLE-------------------VIDE LA

MDR...désolé !! je refais un scan panda apres avoir posté ce message pour verifier...

en ce qui concerne avant-browser:

non justement, j'ai desinstallé en mode normal par "ajout-suppression".

c'est le scan hijack qui m'a montré qu'il etait encore present.

de meme pour google updater que j'ai fixé 1 fois avec Spybot et egalement avec CCleaner....

y'a vraiment des logs qui sont tels des sangsues...

plus de traces de avant-browser dans les dossiers programmes files, mais il reste des traces comlme nous le montre hijack.

philae

Posté le 04/12/2007 à 00:05

Groupe Sécurité

36106 Messages

non justement, j'ai desinstallé en mode normal par "ajout-suppression".
c'est le scan hijack qui m'a montré qu'il etait encore present.
de meme pour google updater que j'ai fixé 1 fois avec Spybot et egalement avec CCleaner....
y'a vraiment des logs qui sont tels des sangsues...
plus de traces de avant-browser dans les dossiers programmes files, mais il reste des traces comlme nous le montre hijack.

alors pas bien grave, tu fixes lesdites lignes et on n'en parle plus.

Certes certains logiciels sont assez tenaces et s'éparpillent pas mal.

maintenant histoire de revenir à nos moutons, on en est où des problèmes du départ ? (j'ai pas relu le topic )

T1000

Posté le 04/12/2007 à 00:44

Petit astucien

413 Messages

re- philae,

je viens de refaire un scan panda en ligne.

il reste un cookie xiti qui revient a chaque fois mais ca n'a pas l'air dangereux...tu confirmeras.

pour le reste du scan tout est ok !

en ce qui concerne les pages "em.pc-on.." depuis notre action concerté de scan/fix avec navilog et la desactivation des programmes autorisés dans les options de blocage IE, plus de pages intempestives !!!

pour Avant Browser, je fais un fix hijack sur le champ et refais un dernier post de son analyse pour te laisse decider de la propreté du systeme.

T1000

Posté le 04/12/2007 à 00:55

Petit astucien

413 Messages

voila qui est fait.

le dernier scan hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:52:38, on 04/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\U.S. Robotics\Wireless USB Manager\PRISMSVR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\DeltTray.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\U.S. Robotics\Wireless USB Manager\USR11G.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Mes documents\jean-louis\HiJackThis.exe

--
End of file - 5086 bytes

tout a l'air correct apresent.

a toi de me dire ce que tu en penses.

il n'y a que la ligne 23 google updater service que je ne reussis pas a virer, mais ce n'est pas tres grave.

en tous cas plus de pops-up pour l'instant et plus de traces de Avant Browser dans le scan.

merci de ton aide et du temps passé à le faire.

philae

Posté le 04/12/2007 à 21:24

Groupe Sécurité

36106 Messages

bonsoir

il reste un cookie xiti qui revient a chaque fois mais ca n'a pas l'air dangereux...tu confirmeras.

je confirme rien de méchant

il n'y a que la ligne 23 google updater service que je ne reussis pas a virer, mais ce n'est pas tres grave.

il faut d'abord désactiver le service.

Démarrer----------exécuter-------------services.msc

pour terminer

tu peux supprimer navilog

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration système"afin de créer un point de restauration sain;
Pour ce faire

=========================================================================
Pour améliorer la sécurité de ton PC prend quelques instants pour lire
Sécuriser son PC +WIFI (versions "hot" & "light")

S'il te plaît, note ton sujet en RÉSOLU. Sur ton premier message à droite =>

ou <= à gauche en bas de la page. Merci!

bonne continuation

T1000

Posté le 06/12/2007 à 22:55

Petit astucien

413 Messages

re- final,

désolé pour le retard dans ma reponse.

tout est maintenant rentré dans l'ordre, il ne me reste plus qu'acrobat à mettre à jour.

merci beaucoup pour ton aide.

philae

Posté le 06/12/2007 à 23:32

Groupe Sécurité

36106 Messages

bonsoir

de rien, bonne continuation

Inscrivez-vous !

- Posez vos questions

- Résolvez vos problèmes

- Aidez les autres

- Participez et créez vos discussions

- Dialoguez en privé avec d'autres membres

- Suivez vos sujets préférés

- Affichez les signatures des membres

TOUT EST GRATUIT !

Je crée mon compte

Vous avez besoin d'aide ?

Des centaines d'experts sont à votre disposition sur les forums PC Astuces pour vous aider gratuitement, 24h/24, 7j/7.

> Tous les forums > Sécurité

Forum PC Astuces