[jcld]

bonjour,

je vous adresse mon rapport hitjackthis
je dois être infecté
je ne pouvais plus accéder à IE7 alors que je pouvais recevoir mes mails sur outlook
après avoir décocher proxy sur les options j'ai retrouvé un accès à IE
par contre je ne peux modifier ma page d'accueil sur options IE, il me met toujours:
http://go.microsoft.com/fwlink/?LinkId=69157
_________________
Merci d'avance

jcld 

[zaede]

Bonjour jcld, il manque le rapport hijack

- Télécharge Hijackthis V 2.02 http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Double clique sur HJTInstall.exe pour lancer l'installation

- Clique sur Install puis sur I Accept

- Clique sur Do a scan system and save log file

- Notepad s'ouvrira fais un copier coller de tout son contenu ici dans ta prochaine réponse.

- Aide à l'installation: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm (merci à brucelee) 

[jcld]

Log supprimé
_________________
Merci d'avance

jcld 

[zaede]

Re, tu es bien infecté, navipromo surement. On va vérifier:

- Télécharge Navilog1 (de IL-MAFIOSO) http://pagesperso-orange.fr/il.mafioso/Navifix/Navilog1.exe enregistre ce fichier sur le bureau.

- Double clic sur Navilog1.exe afin de lancer l'installation


- Si le fix ne lance pas automatiquement aprés son installation

- Double clic sur navilog1 présent sur le bureau

- Appuie sur F ou f valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 appuie sur la touche Entrée pour valider ton choix.

- Patiente jusqu'au message : *** Analyse Termine le ..... ***

- Le scan fini un rapport portant ce fixnavi.txt sera affiché poste le contenu de ce rapport.
- Si le résultat du scan ne s'affiche pas tu le trouvera dans C:\fixnavi.txt.

N'utilise pas l'option 2, 3 et 4 sans notre accord) 

[jcld]

bonjour,
ci-joint rapport Navilog1

Search Log supprimé le 20/03/2008 à 9:15:51,06 ***


jcld
_________________
Merci d'avance

jcld 

[zaede]

Bonjour jcld, infection par navipromo:


1/ Double clic sur navilog1


- Appuie sur F ou f valide par Entrée

- Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.

- Choisis l'option 2 Désinfection automatique valide en appuyant sur Entrée

- Le fix va t'informer qu'il va alors redémarrer ton PC

- Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts

- Appuie sur une touche comme demandé (si ton Pc ne redémarre pas automatiquement, fais le toi même)

- Au redémarrage de ton PC, choisis ta session habituelle.

- Patiente jusqu'au message : *** Nettoyage Termine le ..... ***

- Le bloc-notes va s'ouvrir.

- Sauvegarde le rapport de manière à le retrouver

- Referme le bloc-notes. Ton bureau va réapparaitre

- Un rapport sera généré et enregistré sur le bureau ==> cleanavi.txt


Note : Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

- Rends-toi à l'onglet Processus Clique en haut à gauche sur Fichiers choisis Exécuter

- Tape Explorer et valide. Celà te fera apparaitre ton bureau.



2/


- Poste le contenu de cleanavi.txt

- Poste un nouveau log hijackthis 

[jcld]

Clean Navipromo version 3.5.0 commencé le 21/03/2008 à 9:03:34,56

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : FAT32

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *

qcjjwovpz.exe trouvé !
Copie qcjjwovpz.exe réalisée avec succès !
qcjjwovpz.exe supprimé !


* Suppression dans "C:\Documents and Settings\poste\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\WebMediaPlayer ...suppression...
C:\Program Files\WebMediaPlayer supprimé !


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\poste\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\poste\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\poste\menud+~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***



*** Suppression fichiers ***

c:\documents and settings\poste\bureau\WebMediaPlayer.lnk supprimé !
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\poste\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *

ysjflrgmkh.dat trouvé !
Copie ysjflrgmkh.dat réalisée avec succès !
ysjflrgmkh.dat supprimé !

ysjflrgmkh_nav.dat trouvé !
Copie ysjflrgmkh_nav.dat réalisée avec succès !
ysjflrgmkh_nav.dat supprimé !

wiijnkh_nav.dat trouvé !
Copie wiijnkh_nav.dat réalisée avec succès !
wiijnkh_nav.dat supprimé !

ysjflrgmkh_navps.dat trouvé !
Copie ysjflrgmkh_navps.dat réalisée avec succès !
ysjflrgmkh_navps.dat supprimé !

wiijnkh_navps.dat trouvé !
Copie wiijnkh_navps.dat réalisée avec succès !
wiijnkh_navps.dat supprimé !


* Dans "C:\Documents and Settings\poste\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Backupnavi ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !

*** Nettoyage terminé le 21/03/2008 à 12:30:46,73 ***

Log supprimé
_________________
Merci d'avance

jcld 

[zaede]

Bonjour jcld, voici la suite:


Avertissement:
Cette procédure a été écrite spécialement pour ce PC. L’utiliser sur un autre peut rendre le système instable voire inutilisable


Cette procédure peut être longue mais elle est à appliquer en entier. En cas de problèmes passe à l'étape suivante et signale-le dans ta prochaine réponse.
Si tu as des questions, n’hésite pas à les poser




1/

Enregistre la page web complète sous Internet Explorer de la façon suivante :
Clique sur Fichier/Enregistrer sous Dans Type, choisis : Archive web (fichier seul (*.mht) / Enregistre la sur le bureau, comme cela tu retrouveras la mise en forme. Tu peux aussi imprimer cette réponse si tu préfères.
Une partie de la procédure se déroulera en Mode sans échec sans prise en charge réseau => tu n'auras donc pas accès à Internet




2/ Redémarre en mode sans échec

[jcld]

bonjour,
je prends du retard pour effectuer ces tests
pour info je ne savais pas ou trouver pour "5" OTMovelt.exe
je l'ai trouvé sur internet à l'adresse suivante (la 1ere adresse trouvée n'étant pas bonne)
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
j'espère pouvoir finir pour demain matin

bonne journée
_________________
Merci d'avance

jcld 

[jcld]

m'indiquer pour ce paragraphe le programme à utiliser
je continue de toute facon
_________________
Merci d'avance

jcld 

[zaede]

RE, tu as trouvé le bon lien lien
Il faut le dézipper sur le bureau
puis tu passes en 5/ 

[jcld]

pour le paragraphe 7
je ne sais pas ou je trouve Nettoyeur
_________________
Merci d'avance

jcld 

[jcld]

Log supprimé

---------------------------------------------------------
Log supprimé



C:\Program Files\Fichiers communs\BOONTY Shared\Service moved successfully.
C:\Program Files\Fichiers communs\BOONTY Shared moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03242008_204938
_________________
Merci d'avance

jcld 

[jcld]

j'ai mis les rapports ci-dessus sans avoir exécuté le paragraphe 7

pour le rapport OTMovelt je ne sais si c'est OK je n'avais que quelqus lignes, j'espère ne pas avoir arreté trop vite le programme
_________________
Merci d'avance

jcld 

[zaede]

Bonjour jcld, je te ferais une nouvelle procédure demain, plus le temps ce soir