Soumettre scan Navilog et hijackthis

> Tous les forums > Sécurité

Soumettre scan Navilog et hijackthis Sujet résolu

Statut du sujet : RESOLU

Dr white

Posté le 01/10/2008 @ 17:51

Petit astucien

11 Messages

Bonjour, je suis nouveau sur ce forum et aussi novice dans l'utilisation de ce genre de discussions. Aussi je vous prie de m'excuser si mes questions sont hors sujet ici.

Voici mon problème: il est double:1 depuis quelques temps dans Outlook 2007 je n'arrive plus a ouvrir les liens avec Internet Explorer7 (Vista 32), IE s'ouvre mais sur ma page d'accueil et non sur le lien cliqué.

2 Lorsque je navigue sur IE7: des fenetres ou de nouveaux onglets, publicitaires: casino, rencontre, antivirus...

J'ai effectué 2 scan: Navilog et HijackThis: ci après les bloc notes correspondant.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:57, on 01/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\Program Files\Toshiba TEMPO\Toshiba.Tempo.UI.TrayApplication.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\TOSHIBA\Bluetooth Monitor\BtMon2.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\IEPro\MiniDM.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
C:\Users\christophe\Documents\My Downloads\test.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\Utilities\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe"
O4 - HKLM\..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPO\Toshiba.Tempo.UI.TrayApplication.exe
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Global Startup: Bluetooth Monitor.lnk = ?
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - www.adobe.com/products/acrobat/nos/gp.cab">www.adobe.com/products/acrobat/nos/gp.cab" target="_blank">http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E80FD13-F2C3-4C25-BBC1-8F9E2CF55982}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E80FD13-F2C3-4C25-BBC1-8F9E2CF55982}: NameServer = 192.168.1.1
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Notebook Performance Tuning Service (TempoMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPO\TempoSVC.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 11052 bytes

et pour navilog:Search Navipromo version 3.6.6 commencé le 01/10/2008 à 15:31:16,17

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "christophe"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\Windows" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Recherche dossiers dans "C:\ProgramData" ***

*** Recherche dossiers dans "c:\users\christ~1\appdata\roaming\micros~1\windows\startm~1\programs" ***

*** Recherche dossiers dans "C:\Users\christophe\AppData\Local\virtualstore\Program Files" ***

*** Recherche dossiers dans "C:\Users\christophe\AppData\Roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Fichier(s) caché(s) :

C:\Users\christophe\AppData\Local\okaqawo.dat
C:\Users\christophe\AppData\Local\okaqawo.exe
C:\Users\christophe\AppData\Local\okaqawo_nav.dat
C:\Users\christophe\AppData\Local\okaqawo_navps.dat

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\christophe\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\christophe\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\christophe\AppData\Local" *

Fichiers trouvés :

okaqawo.exe trouvé !

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\Windows\system32" :

* Dans "C:\Users\christophe\AppData\Local\Microsoft" :

* Dans "C:\Users\christophe\AppData\Local\virtualstore\windows\system32" :

* Dans "C:\Users\christophe\AppData\Local" :

egorwqot.dat trouvé !
egorwqot_nav.dat trouvé !
egorwqot_navps.dat trouvé !
titlut_navtmp.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 01/10/2008 à 15:47:23,47 ***

Je crois avoir "contracté" la vérole, voire pire

Quelqu'un peut-il m'aider à me soigner??

Publicité

chrifleur

Posté le 01/10/2008 à 17:54

Groupe Sécurité

14186 Messages

bonjour et bienvenue

Veille à ce que le contrôle des comptes utilisateurs (UAC) soit désactivé.
Fais un Clic-droit sur le raccourci Navilog1 présent sur ton Bureau et choisis "Exécuter en tant qu'administrateur".

Au menu principal, Fais le choix 2
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(Si ton Pc ne redémarre pas automatiquement, fais-le toi-même)
Au redémarrage de ton PC, choisis ta session habituelle si nécessaire.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc note va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc note. Ton Bureau va réapparaître
Réactive le contrôle des comptes utilisateurs (UAC)

PS: Si ton Bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton Bureau

poste le rapport obtenu et un rapport Hijack This

Dr white

Posté le 06/10/2008 à 11:04

Petit astucien

11 Messages

Désolé des évènements extra-informatique m'ont empèchés de procéder aux manoeuvre demandées plus rapidement. Voici ci-après le résultats des scan Navilog et Hijack: avec mes remerciements par avance:

Clean Navipromo version 3.6.6 commencé le 06/10/2008 à 8:29:22,66

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "christophe"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS

Nettoyage exécuté au redémarrage de l'ordinateur

*** Creation backups fichiers trouvés par Catchme ***

Copie vers "C:\Program Files\navilog1\Backupnavi"

*** Suppression des fichiers trouvés avec Catchme ***

** 2ème passage avec résultats Catchme **

* Dans "C:\Windows\system32" *

* Dans "C:\Users\christophe\AppData\Local\Microsoft" *

* Dans "C:\Users\christophe\AppData\Local\virtualstore\windows\system32" *

* Dans "C:\Users\christophe\AppData\Local" *

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *

* Suppression dans "C:\Users\christophe\AppData\Local\Microsoft" *

* Suppression dans "C:\Users\christophe\AppData\Local\virtualstore\windows\system32" *

* Suppression dans "C:\Users\christophe\AppData\Local" *

*** Suppression dossiers dans "C:\Windows" ***

*** Suppression dossiers dans "C:\Program Files" ***

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

*** Suppression dossiers dans "C:\ProgramData" ***

*** Suppression dossiers dans c:\users\christ~1\appdata\roaming\micros~1\windows\startm~1\programs ***

*** Suppression dossiers dans "C:\Users\christophe\AppData\Local\virtualstore\Program Files" ***

*** Suppression dossiers dans "C:\Users\christophe\AppData\Roaming" ***

*** Suppression fichiers ***

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\CHRIST~1\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :

* Dans "C:\Windows\system32" *

* Dans "C:\Users\christophe\AppData\Local\Microsoft" *

* Dans "C:\Users\christophe\AppData\Local\virtualstore\windows\system32" *

* Dans "C:\Users\christophe\AppData\Local" *

egorwqot.dat trouvé !
Copie egorwqot.dat réalisée avec succès !
egorwqot.dat supprimé !

egorwqot_nav.dat trouvé !
Copie egorwqot_nav.dat réalisée avec succès !
egorwqot_nav.dat supprimé !

egorwqot_navps.dat trouvé !
Copie egorwqot_navps.dat réalisée avec succès !
egorwqot_navps.dat supprimé !

yuuqsks.exe trouvé !
Copie yuuqsks.exe réalisée avec succès !
yuuqsks.exe supprimé !

yuuqsks.dat trouvé !
Copie yuuqsks.dat réalisée avec succès !
yuuqsks.dat supprimé !

yuuqsks_nav.dat trouvé !
Copie yuuqsks_nav.dat réalisée avec succès !
yuuqsks_nav.dat supprimé !

yuuqsks_navps.dat trouvé !
Copie yuuqsks_navps.dat réalisée avec succès !
yuuqsks_navps.dat supprimé !

C:\Windows\prefetch\yuuqsks*.pf trouvé !
Copie C:\Windows\prefetch\yuuqsks*.pf réalisée avec succès !
C:\Windows\prefetch\yuuqsks*.pf supprimé !

titlut_navtmp.dat trouvé !
Copie titlut_navtmp.dat réalisée avec succès !
titlut_navtmp.dat supprimé !

*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 06/10/2008 à 8:33:31,98 ***

et le hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:22, on 06/10/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\conime.exe
C:\Windows\notepad.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\Program Files\Toshiba TEMPO\Toshiba.Tempo.UI.TrayApplication.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\TOSHIBA\Bluetooth Monitor\BtMon2.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\wuauclt.exe
C:\Users\christophe\Documents\My Downloads\test.exe.exe

--
End of file - 10990 bytes

chrifleur

Posté le 06/10/2008 à 11:38

Groupe Sécurité

14186 Messages

Suis ce tutoriel et poste le rapport obtenu

http://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

comment se comporte ton PC?

qu'en est il de tes dysfonctionnements?

Dr white

Posté le 07/10/2008 à 13:06

Petit astucien

11 Messages

Bonjour Chrifleur,

Un peu plus rapide dans ma réponse cette fois, j'essaierais de faire encore mieux par la suite.

Mon PC se comporte mieux depuis ces modifications: plus de fenetres pub intempestives donc le premier point est acquis.

Par contre, je n'arrive toujours pas a suivre les liens de outlook en cliquant dessus, comme c'était le cas auparavant, il faut toujours que je copie le lien et le colle dans la barre d'internet explorer. Par contre, avec Mozilla Firefox en navigateur par défaut, je n'ai plus ce problème. Une solution simple consiste donc à abandonner le Navigateur de Bill G., cependant je m'y suis bien habitué et j'aimerais surtout comprendre ce qui ne fonctionne pas.

Merci d'avance si vous pouvez encore m'aider.

Ci-joint les log avant et après action:

avant:Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1234
Windows 6.0.6001 Service Pack 1

06/10/2008 20:23:50
mbam-log-2008-10-06 (20-23-40).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 152249
Temps écoulé: 52 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\eMule\LinkCreator.exe (Rogue.Fake!emule.exe) -> No action taken.

Après:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1234
Windows 6.0.6001 Service Pack 1

06/10/2008 20:24:21
mbam-log-2008-10-06 (20-24-21).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 152249
Temps écoulé: 52 minute(s), 25 second(s)

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\eMule\LinkCreator.exe (Rogue.Fake!emule.exe) -> Quarantined and deleted successfully.

chrifleur

Posté le 07/10/2008 à 13:57

Groupe Sécurité

14186 Messages

pour ton problème avec internet essaie ceci

Panneau de configuration/Programmes par défaut/Associer un type de fichier ou un protocole à un programme, recherche les associations pour les fichiers de type .htm et .html.

dis moi si c'est bien IE7 qui est inscrit

Dr white

Posté le 07/10/2008 à 14:56

Petit astucien

11 Messages

De plus en plus rapide

C'est bien IE qui est par défaut pour l'ouverture de .htm et . html. De meme, j'ai fait un "réinitialiser" dans les options avancées de outils....

chrifleur

Posté le 07/10/2008 à 15:54

Groupe Sécurité

14186 Messages

on va tout de même vérifier qu'il n'y a plus d'infection, scan à faire avec Firefox

http://forum.pcastuces.com/kaspersky_online_scanner___firefox___tutoriel-f31s26.htm

Dr white

Posté le 08/10/2008 à 19:33

Petit astucien

11 Messages

Bonjour, encore un scan qui semble indiquer une infection: rapport kaspersky ci après:

merci d'avance

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, October 8, 2008
Operating System: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 1 (build 6001)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Wednesday, October 08, 2008 10:36:47
Records in database: 1299683
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
F:\
G:\

Scan statistics:
Files scanned: 119429
Threat name: 2
Infected objects: 2
Suspicious objects: 0
Duration of the scan: 02:15:46

File name / Threat name / Threats count
C:\Users\christophe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\1caddd6a-316ccc74 Infected: Trojan-Downloader.Java.OpenStream.ac 1
C:\Users\christophe\Desktop\logiciels d'installation\instala-emule.exe Infected: not-a-virus:FraudTool.Win32.Takedawnload.a 1

The selected area was scanned.

chrifleur

Posté le 08/10/2008 à 21:43

Groupe Sécurité

14186 Messages

C:\Users\christophe\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42\1caddd6a-316ccc74 Infected: Trojan-Downloader.Java.OpenStream.ac 1
C:\Users\christophe\Desktop\logiciels d'installation\instala-emule.exe Infected: not-a-virus:FraudTool.Win32.Takedawnload.a 1\6.0\42\1caddd6a-316ccc74 Infected: Trojan-Downloader.Java.OpenStream.ac 1
C:\Users\christophe\Desktop\logiciels d'installation\instala-emule.exe Infected: not-a-virus:FraudTool.Win32.Takedawnload.a 1

va dans ce dossier

C:\Users\christophe\AppData\LocalLow\Sun\Java\Deployment\cache

et vide tout son contenu

supprime ce fichier

C:\Users\christophe\Desktop\logiciels d'installation\instala-emule.exe

vide ta corbeille

suis ce tutoriel et poste le rapport obtenu

http://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

Dr white

Posté le 08/10/2008 à 23:44

Petit astucien

11 Messages

Bonsoir,

j'ai supprimé les 2 fichiers suspects, vidé ma corbeille, redemarré mon PC en ss echec, refait un scan mbam qui semble ne détecter aucun autre élément suspect(il ne propose d'ailleurs pas en ce cas de sauvegarder et ouvrir le bloc note mais je l'ai retrouvé et vous le joint), remis IE7 en navigateur par défaut, réinitialisé une nouvelle fois IE et refait de nouvelle tentative pour suivre des liens depuis outlook, c'est toujours la page d'accueil qui s'ouvre...

Mon PC semble réfractaire à cette manoeuvre.

Une autre idée??? Merci encore de m'aider:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1244
Windows 6.0.6001 Service Pack 1

08/10/2008 23:19:21
mbam-log-2008-10-08 (23-19-21).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 155304
Temps écoulé: 53 minute(s), 2 second(s)

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

chrifleur

Posté le 09/10/2008 à 09:07

Groupe Sécurité

14186 Messages

il n'y a plus d'infection, ton PC est propre

je te conseille d'ouvrir une nouvelle discussion sur le forum "internet et réseau" ou "windows xp", tu y auras plus de réponses car maintenant, je sèche, je te l'avoue...tu pourras y donner ce lien afin de montrer ce qui a été fait...

Je te conseille de défragmenter ton PC : http://www.coupdepoucepc.com/modules/news/article.php?storyid=218

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.

Pour suivre l'évolution des mises à jour de quelques logiciels de protection ainsi que de Java : http://forum.pcastuces.com/sujet.asp?f=25&s=25842

Tu peux supprimer tous les logiciels que nous avons utilisés (Type: SmitFraufix, Blacklight, SDFix, lopxpMH, ect.....) qui traitent des infections spécifiques et qui sont mis à jour régulièrement. Il est inutile de les garder sur ton PC.

Tu peux par contre, garder Malwarebytes' Anti-Malware et CCleaner et les utiliser régulìèrement.

=========================================================================

/!\ Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, vous devez ouvrir une session Administrateur sous Windows XP.

Désactivation:
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Activation:
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour...: http://forum.pcastuces.com/desactiver_la_restauration_systeme-f31s7.htm

=========================================================================

Pour améliorer la sécurité de ton PC prend quelques instants pour lire:

Sécuriser son PC +WIFI (versions "hot" & "light") : http://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : http://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

Pourquoi éviter le P2P ? Point législatif et dangers : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793

LE CRACK dans toute sa splendeur : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=65

==========================================================================

Dénonce ton infection pour faire condamner les auteurs.

Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
- Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
- Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc).

*** Ton infection : navipromo magic controle Trojan-Downloader.Java.OpenStream.ac 1***

France
Canada (Français)

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet :
Autres infections pour la France, pour le Canada français, conforme aux règles du forum (âge, ville, département etc..)

Indique aussi le nom du Forum qui t'a aidé, PC Astuces Sécurité

============================================================================

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou

dans la barre de titre de ton sujet. Merci !

Prudence sur Internet et parle de PC Astuces autour de toi!

============================================================================

Dr white

Posté le 09/10/2008 à 10:59

Petit astucien

11 Messages

Un grand merci pour ton aide, je dois t'avouer que ce PC est un portable qui fait partie de mon petit réseau d'entreprise (véto: Joli chien, d'ailleurs...) et que la société qui s'occupe de gérer, tenir à jour, réparer mes pC n'avait pas été capable, pas eu envie de passer le temps, de me dépanner de la sorte.

Lorsqu'on a un antivirus (bitdefender pour moi) avec mise a jour régulière qui scanne tout le PC régulièrement, on se croit à l'abri...

Encore merci. j'éssaierais à l'avenir de tenir compte de tes conseils...

Dr white

chrifleur

Posté le 09/10/2008 à 12:11

Groupe Sécurité

14186 Messages

véto: Joli chien, d'ailleurs..

il est parti pour un monde meilleur à l'âge de 16 ans, après une vie à aimer et protéger mes enfants et ma famille.. il s'appelait Djo, c'était notre 1er chien, il nous a aimé tellement que même maintenant 14 ans après, on a la larme à l'oeil quand on parle...

Dr white

Posté le 09/10/2008 à 12:23

Petit astucien

11 Messages

On s'attache et c'est normal,ils savent se rendre attachants, c'est pour cela qu'on a du chagrin...

Inscrivez-vous !

- Posez vos questions

- Résolvez vos problèmes

- Aidez les autres

- Participez et créez vos discussions

- Dialoguez en privé avec d'autres membres

- Suivez vos sujets préférés

- Affichez les signatures des membres

TOUT EST GRATUIT !

Je crée mon compte

Vous avez besoin d'aide ?

Des centaines d'experts sont à votre disposition sur les forums PC Astuces pour vous aider gratuitement, 24h/24, 7j/7.

> Tous les forums > Sécurité

Forum PC Astuces