[yaya]

salut,

je suis novice et très embeté par un probleme recurrent. au démarrage, une fenetre rundll apparait et l'ordi est très lent.

je vous poste le log hijackthis. merci d'avance

Log supprimé
encore un fois merci 

[!aur3n7]

Bonjour,

Tu es infecté par Instant access (qui est aussi la cause de ce message au demarrage)

afin de vérifier l'étendue de l'infection et le traitement qui lui sera approprié voici ce que tu vas faire (si bien sur tu le veux bien)

Prends connaissance du contenu le lien suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisations du programme blacklight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.
Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Fais l'extraction dans un dossier propre à lui
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
ne fais pas le choix 2,3 ou 4 sans notre avis/accord
Patientes jusqu'au message :
*** Analyse Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Copies-colles l'intégralité dans une réponse. Refermes le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 

[yaya]

merci beaucoup de vous être penché sur mon problème. malgrè quelque difficulté, j'ai réussit a faire se que vous m'avez dit de faire.

voici le log:

Search Navipromo version 1.0.3 commencé le 11/02/2007 à 10:58:26,48

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Propri‚taire\Bureau\s‚curit‚\navilog
Mise a jour le 01.02.2007 a 21h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

c:\WINDOWS\system32\msclock32.dll
c:\WINDOWS\system32\msplock32.dll
c:\WINDOWS\system32\qzinmlxtfd.dat
C:\windows\system32\qzinmlxtfd.exe
c:\WINDOWS\system32\qzinmlxtfd_nav.dat
c:\WINDOWS\system32\qzinmlxtfd_navps.dat


*** Recherche fichiers ***


C:\WINDOWS\Downloaded Program Files\Netslv32.inf trouvé !
C:\WINDOWS\tmlpcert2005 trouvé !


*** Recherche cles registre ***


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)



*** Analyse Terminé le 11/02/2007 à 11:13:43,07 ***

encore une fois merci. 

[!aur3n7]

Bonjour,

Voici la suite


Redémarres en mode sans échec

Double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 2 et valides.
Laisses toi guider et réponds aux questions éventuelles
Ton bureau va disparaitre, c'est normal.
Patientes jusqu'au message :
*** Nettoyage Termine le ..... ***
Appuies sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegardes le rapport de manière à le retrouver
Refermes le blocnote. Ton bureau va réapparaitre
Redémarres normalement et copies-colles l'intégralité dans une réponse.
Le rapport est en outre sauvegardé à la racine du disque (cleannavi.txt)

Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. Celà te fera apparaitre ton bureau


Redémarre en mode normel

Post ce second rapport cleannavi.txt ainsi qu'un nouveau log Hijackthis 

[yaya]

merci pour ton aide. j'ai fais se que tu n'as dit et tous c'est très bien passé.

voici les log que tu as demander:

cleannavi
Log supprimé le 11/02/2007 à 17:41:22,53 ***

et le log hijackthis

Log supprimé
voila, et tous cas, ça marche deja mieux.
encore une fois merci. 

[!aur3n7]

Bonjour,

Le log est deja nettement mieux.

J'aimerais faire vérifier un fichier si tu veux bien

=> Rend toi sur ce site http://www.virustotal.com/en/virustotalx.html
* Clique en haut à droite sur le bouton "Parcourir"
-- Choisis le fichier :
C:\WINDOWS\cdmweb\stcnpiuqiu.dll

* Clique sur sur send
* Le résultat s'affichera , Fais en un copier / coller dans ta prochaine réponse

Note :
Le scan peut, suivant la charge du serveur, prendre un peu de temps ; sois donc patient 

[yaya]

c'est bon, j'ai pas trop patienté pour le scan du fichier. voila le résultat.

Complete scanning result of "stcnpiuqiu.dll_", received in VirusTotal at 02.11.2007, 18:19:45 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.36 02.09.2007 ADSPY/SmartPops.D
Authentium 4.93.8 02.09.2007 no virus found
Avast 4.7.936.0 02.11.2007 no virus found
AVG 386 02.10.2007 Adware Generic.LFN
BitDefender 7.2 02.11.2007 Application.Exact.Advertising.A
CAT-QuickHeal 9.00 02.09.2007 AdWare.SmartPops.d (Not a Virus)
ClamAV devel-20060426 02.11.2007 no virus found
DrWeb 4.33 02.11.2007 no virus found
eSafe 7.0.14.0 02.09.2007 no virus found
eTrust-Vet 30.4.3384 02.10.2007 no virus found
Ewido 4.0 02.11.2007 Adware.SmartPops
Fortinet 2.85.0.0 02.11.2007 no virus found
F-Prot 4.2.1.29 02.09.2007 no virus found
F-Secure 6.70.13030.0 02.10.2007 no virus found
Ikarus T3.1.0.31 02.11.2007 not-a-virus:AdWare.Win32.SmartPops.d
Kaspersky 4.0.2.24 02.11.2007 not-a-virus:AdWare.Win32.SmartPops.d
McAfee 4960 02.09.2007 potentially unwanted program Adware-SmartPops
Microsoft 1.2204 02.11.2007 no virus found
NOD32v2 2053 02.11.2007 Win32/Adware.SmartPops
Norman 5.80.02 02.09.2007 W32/SmartPops.G
Panda 9.0.0.4 02.11.2007 Adware/Novo
Prevx1 V2 02.11.2007 Malware
Sophos 4.13.0 02.08.2007 SmartPops
Sunbelt 2.2.907.0 02.09.2007 no virus found
Symantec 10 02.11.2007 Adware.SmartPops
TheHacker 6.1.6.056 02.11.2007 Adware/SmartPops.d
UNA 1.83 02.09.2007 Adware.SmartPops.0F59
VBA32 3.11.2 02.10.2007 AdWare.SmartPops.d
VirusBuster 4.3.19:9 02.10.2007 no virus found


Aditional Information
File size: 110592 bytes
MD5: 9224b4fe4a4c21d3b819df99e2a84921
SHA1: cac924d47bdefc19caf889859b0fa5e10e9d0bbe
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=61141155566


je suis pret pour la suite des opérations. encore merci. 

[!aur3n7]

Re,
vu le résultat on va donc supprimer ce fichier

color=#FF0000]=>[/color] Redémarre ton PC en mode sans échec


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes

O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - (no file)
O2 - BHO: (no name) - {BD77BCAF-00F0-2A6C-D9E1-5487E081B61E} - C:\WINDOWS\cdmweb\stcnpiuqiu.dll


---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre


=> Recherche et supprime ce dossier

[yaya]

j'ai été un peu occupé ces derniers jours alors j'ai un peu tardé a faire ce que tu n'as dit. je te remercie de t'occuper de mon cas. j'aimerai savoir comment j'ai pu attraper ce virus et comment je peu ne proteger. j'ai avast, et je scan regulierement mon disque avec adware, spybot et j'utilise aussi ccleaner.

voici mon log:

Log supprimé


je suis prend pour la prochaine manip, si il y en a une. je te remercie encore une fois.
bonne soirée 

[!aur3n7]

Bonjour,

Le log est OK cela dit aucun par feu ne semble être actif ce qui ouvre beaucoup de portes pour une nouvelle infection potentielle.

Je ne saurais que trop te conseille d'en installer un (il en existe de nombreux gratuit)
Avec Avast évites Zone alarme il semblerait que les conflits entre ces logiciels soient courants.

Bonne soirée