Fenetre pop up Automatiquement sur le forum Informatique - 11-11-2007 19:17:13 - page 2

MaRdIf

Niveau 5

11 novembre 2007 à 19:17:13

Voici mon rapport navilog: mains quelle est la sources du probleme merci car je comprent rien a ce rapport SES bien sa

!! ! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!! ! Poster ce rapport sur le forum pour le faire analyser !! !
!! ! Ne pas lancer la partie désinfection sans l´avis d´un spécialiste !! !

Fix lancé depuis C:\Documents and Settings\Nous\Bureau\navilog1
Mise a jour le 11.11.2007 a 19h00 by IL-MAFIOSO

Executé en mode normal

- Recherche Programmes installes ***

InternetGamebox
MessengerSkinner

- Recherche dossiers dans C:\WINDOWS ***

- Recherche dossiers dans C:\Program Files ***

C:\Program Files\InternetGamebox trouvé !
C:\Program Files\MessengerSkinner trouvé !

- Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

- Recherche dossiers dans C:\Documents and Settings\Nous\Application Data ***

...\Application Data\MessengerSkinner trouvé !

- Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !

- Recherche cles registre ***

Recharche dans
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sh
aredDLLs]

Recharche dans
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Mo
duleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-1390067357-1645522239-18016745
31-1004\Software\Lanconfig trouvé !

- Module de recherche complémentaire ***

(recherche fichiers spécifiques)

1)Recherche nouveaux fichiers connus:

2)Recherche Heuristique :

*

C:\WINDOWS\system32\qxfovjln.dat

**

C:\WINDOWS\system32\qxfovjln.dat

***

- *

C:\WINDOWS\system32\qxfovjln_navps.dat

- Analyse Terminé le 11/11/2007 à 19:13:16 ***

EvilElf

Niveau 10

11 novembre 2007 à 19:18:59

Re,

Tu es infecté par Magic.control. Pourquoi ? Tu as téléchargé 2 programmes piégés :

InternetGamebox
MessengerSkinner

Tu dois être plus vigilant ...

Double clique sur le raccourci Navilog1 et laisse-toi guider.
Au menu principal, choisis l´option 2 et valide.

-> Le fix t´informe qu´il va redémarrer le PC.
-> Appuie sur une touche comme demandé.
-> Au redémarrage de ton PC, choisis ta session habituelle.
-> Patiente jusqu´à l´apparition de ce message :*** Nettoyage Termine le ..... ***
-> Le bloc-notes va s´ouvrir. Sauvegarde le rapport sur ton bureau, par exemple.
-> Ferme le bloc-notes et ton bureau va réapparaitre.

Démarrer > panneau de configuration > options internet

Clique sur l´onglet "Contenu" puis sur l´onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

: Supprime les tous !

Puis poste le rapport sur le forum.
Enfin, désinstalle Navilog1 via Ajout/Suppression de programmes et supprime le dossier : C:\Program Files\navilog1

- Télécharge Hijackthis de Merjin puis dézippe le.
http://www.merijn.org/files/hijackthis.zip
- Mets-le dans un dossier nommé Hijackthis à la racine du disque dur (C:\Hijackthis\)
- Fais un clic-droit dessus (fichier avec l’image de Dynamite) et choisis "renommer", appelle-le scanner.exe (C:\Hijackthis\scanner.exe)
- Ferme toutes les fenêtres.
- Clique sur "Do a system scan only" puis sur "Save logfile".
- Copie/Colle le rapport demandé ici.

MaRdIf

Niveau 5

11 novembre 2007 à 19:19:11

WIWI77 ses sa ou je me suis tromper stp aide moi pitié

MaRdIf

Niveau 5

11 novembre 2007 à 19:22:47

2 PROGRAMME PIEGIER MAINS COMMENT SAVOIR SES PAS ECRIT SI IL SON PÏEGER

EvilElf

Niveau 10

11 novembre 2007 à 19:28:39

Ah okay la question à deux balles, si ils veulent te piéger, évidemment qu´ils ne vont pas te dire que c´est un programme piégé.

Voici les faux programmes en question

go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
sudoplanet
Webmediaplayer

PS : t´évite les majuscules ...

MaRdIf

Niveau 5

11 novembre 2007 à 19:29:59

ses bon j´ai fini l´option 2 qui etait netoyage et puis j´ai supprimer les 3 electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd" dans option internet et maintenant je fait quoi ?? tu me dit pourquoi tu a Télécharger 2 programe pieger mains comment le savoir mains je savait pas que msn etait un programme pieger bein je vais suppier le Navilog1 (de IL-MAFIOSO
et ENCOR MERCI

EvilElf

Niveau 10

11 novembre 2007 à 19:32:34

L´orthographe bon sang ...

Tu me poste le rapport de l´option 2 aussi ...

Ce n´est pas msn, c´est messenger skinner, d´ailleurs sur la présentation, il est écrit "no spyware", c´est un peu gonflé, et rien que de voir cela, ça devrait t´alerter quand à la source du programme ...

MaRdIf

Niveau 5

11 novembre 2007 à 19:35:42

je vais manger je te fait tous aprés

wiwi77

Niveau 10

11 novembre 2007 à 19:39:10

mardif Je ne suis pas EvilElf, c´est EvilElf qui va s´occuper de ton PC.

Psychopathe0

Niveau 8

02 janvier 2008 à 09:24:03

Bonjour, ne voulant pas recréer de topic sur ce probleme j´en remonte un ancien. Donc moi aussi j´ai un probleme de pop up assez enervant, je vous poste le rapport navilog:

Search Navipromo version 3.3.8 commencé le 02/01/2008 à 9:19:47,68

!! ! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!! ! Postez ce rapport sur le forum pour le faire analyser !! !
!! ! Ne lancez pas la partie désinfection sans l´avis d´un spécialiste !! !

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

- Recherche Programmes installés ***

- Recherche dossiers dans C:\WINDOWS ***

- Recherche dossiers dans C:\Program Files ***

- Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

- Recherche dossiers dans "C:\Documents and Settings\Thierry\application data" ***

- Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

- Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d´infos : http://www.gmer.net

Aucun Fichier trouvé

- Recherche avec GenericNaviSearch ***

!! ! Tous ces résultats peuvent révéler des fichiers légitimes !! !
!! ! A vérifier impérativement avant toute suppression manuelle !! !

Recherche dans C:\WINDOWS\system32 *

Recherche dans "C:\Documents and Settings\Thierry\local settings\application data" *

- Recherche fichiers ***

- Recherche clés spécifiques dans le Registre ***

- Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

Dans C:\WINDOWS\system32 :

Dans "C:\Documents and Settings\Thierry\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

- Analyse terminée le 02/01/2008 à 9:22:20,75 ***

EvilElf

Niveau 10

02 janvier 2008 à 12:42:14

Salut,

Peut être es tu infecté par lop, car le rapport Navilog1, n´indique rien :

Télécharge LopxpMH sur ton bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip
Dézippe-le et double clique sur le fichier lopxpMH.bat.
Enfin, Poste le contenu du rapport qui va s´ouvrir.

Psychopathe0

Niveau 8

02 janvier 2008 à 13:38:29

avant de faire quoi que ce soit j´ai oublié de preciser que chaque fenetre qui s ouvre est intitulée cid et apres il y a le nom du site.
peut etre que cela peut vous aider a trouver

EvilElf

Niveau 10

02 janvier 2008 à 13:54:55

Oui ça m´aide beaucoup ! Tu es bien infecté par lop

Fais ce que je t´ai demandé ci dessus.

Psychopathe0

Niveau 8

02 janvier 2008 à 13:58:15

voila ton rapport

Rapport lopxpMH2 version 2.0 fait à 13:55:08,65 le 02/01/2008
C:\Documents and Settings\Thierry\Bureau\lopxpMH2\lopxpMH2

- ***************************************

Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\All Users\Application Data

10/12/2007 20:48 <REP> .
10/12/2007 20:48 <REP> ..
11/12/2007 06:16 <REP> CyberLink
02/01/2008 09:52 <REP> Google
22/12/2007 13:37 <REP> Iso sign frag chic
15/12/2007 13:37 <REP> Messenger Plus!
10/12/2007 20:48 <REP> Microsoft
10/12/2007 20:38 <REP> Microsoft Help
16/12/2007 20:33 <REP> Skype
21/12/2007 12:52 <REP> Spybot - Search & Destroy
12/12/2007 10:41 <REP> TuneUp Software
10/12/2007 19:58 <REP> Windows Genuine Advantage
15/12/2007 12:17 <REP> WLInstaller
10/12/2007 20:48 62 desktop.ini
16/12/2007 20:34 32 ezsid.dat
2 fichier(s) 94 octets
13 Rép(s) 74 671 239 168 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\Default User\Application Data

10/12/2007 20:48 <REP> .
10/12/2007 20:48 <REP> ..
10/12/2007 20:48 <REP> Microsoft
10/12/2007 20:48 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 74 671 239 168 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

10/12/2007 20:48 <REP> .
10/12/2007 20:48 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 74 671 239 168 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\LocalService\Application Data

10/12/2007 20:05 <REP> .
10/12/2007 20:05 <REP> ..
10/12/2007 20:05 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 74 671 239 168 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

10/12/2007 20:05 <REP> .
10/12/2007 20:05 <REP> ..
10/12/2007 20:05 <REP> Microsoft
10/12/2007 22:48 236 552 FontCache3.0.0.0.dat
1 fichier(s) 236 552 octets
3 Rép(s) 74 671 239 168 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\NetworkService\Application Data

10/12/2007 20:05 <REP> .
10/12/2007 20:05 <REP> ..
10/12/2007 20:05 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 74 671 239 168 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

10/12/2007 20:05 <REP> .
10/12/2007 20:05 <REP> ..
10/12/2007 20:05 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 74 671 239 168 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\Thierry\Application Data

10/12/2007 20:05 <REP> .
10/12/2007 20:05 <REP> ..
12/12/2007 12:09 <REP> Adobe
10/12/2007 21:57 <REP> Ahead
22/12/2007 13:36 <REP> amok win date
19/12/2007 19:07 <REP> Creative
31/12/2007 20:12 <REP> CyberLink
02/01/2008 09:55 <REP> Google
10/12/2007 20:05 <REP> Identities
12/12/2007 12:09 <REP> InterTrust
12/12/2007 12:10 <REP> LimeWire
10/12/2007 21:10 <REP> Macromedia
12/12/2007 20:36 <REP> Media Player Classic
10/12/2007 20:05 <REP> Microsoft
16/12/2007 20:33 <REP> Skype
16/12/2007 20:34 <REP> skypePM
12/12/2007 10:41 <REP> TuneUp Software
12/12/2007 06:16 <REP> vlc
02/01/2008 09:59 <REP> WinRAR
10/12/2007 20:05 62 desktop.ini
1 fichier(s) 62 octets
19 Rép(s) 74 671 235 072 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Documents and Settings\Thierry\Local Settings\Application Data

10/12/2007 20:05 <REP> .
10/12/2007 20:05 <REP> ..
10/12/2007 22:02 <REP> Ahead
12/12/2007 10:36 <REP> ApplicationHistory
02/01/2008 09:55 <REP> Google
10/12/2007 21:51 <REP> Identities
10/12/2007 20:05 <REP> Microsoft
10/12/2007 20:38 <REP> Microsoft Help
19/12/2007 19:08 3 584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
12/12/2007 10:36 130 fusioncache.dat
12/12/2007 10:36 68 464 GDIPFONTCACHEV1.DAT
10/12/2007 20:06 13 894 308 IconCache.db
4 fichier(s) 13 966 486 octets
8 Rép(s) 74 671 235 072 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de
C:\WINDOWS\system32\config\systemprofile\Applicati
on Data

10/12/2007 20:04 <REP> .
10/12/2007 20:04 <REP> ..
10/12/2007 20:04 <REP> Microsoft
10/12/2007 20:04 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 74 671 235 072 octets libres
Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

10/12/2007 20:04 <REP> .
10/12/2007 20:04 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 74 671 235 072 octets libres

- ***************************************

Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\Maintenance
Maintenance inexploitable

- ***************************************

Le volume dans le lecteur C n´a pas de nom.
Le numéro de série du volume est E85C-2C43

Répertoire de C:\Program Files

02/01/2008 09:59 <REP> .
02/01/2008 09:59 <REP> ..
12/12/2007 11:04 <REP> 802.11 Wireless LAN
12/12/2007 12:09 <REP> Adobe
10/12/2007 21:49 <REP> Alwil Software
01/01/2008 09:12 <REP> amok win date
22/12/2007 13:36 <REP> Circle Developement
11/12/2007 06:10 <REP> C-Media 3D Audio
10/12/2007 19:55 <REP> ComPlus Applications
19/12/2007 19:21 <REP> Creative
11/12/2007 06:15 <REP> CyberLink
16/12/2007 20:33 <REP> Fichiers communs
10/12/2007 22:19 <REP> Free Audio Pack
02/01/2008 13:35 <REP> Google
10/12/2007 22:53 <REP> Internet Explorer
12/12/2007 11:45 <REP> INVENTEL
10/12/2007 22:20 <REP> Java
10/12/2007 22:26 <REP> K-Lite Codec Pack
12/12/2007 12:53 <REP> Lexmark P910 Series
10/12/2007 22:20 <REP> LimeWire
12/12/2007 12:55 <REP> lx_Cats
10/12/2007 22:35 <REP> Messenger
22/12/2007 13:36 <REP> Messenger Plus! Live
10/12/2007 20:43 <REP> Microsoft Office
10/12/2007 20:43 <REP> Microsoft Visual Studio
10/12/2007 20:43 <REP> Microsoft Works
10/12/2007 20:43 <REP> MSBuild
10/12/2007 20:00 <REP> MSXML 4.0
10/12/2007 20:00 <REP> MSXML 6.0
02/01/2008 09:22 <REP> Navilog1
10/12/2007 21:54 <REP> Nero
10/12/2007 19:56 <REP> NetMeeting
10/12/2007 19:56 <REP> Outlook Express
10/12/2007 22:19 <REP> Realtek AC97
10/12/2007 22:44 <REP> Reference Assemblies
11/12/2007 06:28 <REP> Samsung
10/12/2007 19:57 <REP> Services en ligne
16/12/2007 20:33 <REP> Skype
21/12/2007 12:52 <REP> Spybot - Search & Destroy
12/12/2007 10:41 <REP> TuneUp Utilities 2007
10/12/2007 22:17 <REP> VideoLAN
15/12/2007 12:25 <REP> Windows Live
10/12/2007 22:39 <REP> Windows Media Player
10/12/2007 19:54 <REP> Windows NT
02/01/2008 09:59 <REP> WinRAR
0 fichier(s) 0 octets
45 Rép(s) 74 671 230 976 octets libres

******************************************

1. Popups autorisées

Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
host-domain-lookup.com REG_SZ
www.host-domain-lookup.com REG_SZ
mysearchnow.com REG_SZ
www.mysearchnow.com REG_SZ
forums.futura-sciences.com REG_BINARY
searchweb2.com REG_SZ
www.searchweb2.com REG_SZ
www.pixelistes.com REG_BINARY

Mozilla Firefox (1 autorisé 2 interdit)

- ***************************************

[HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]

Search Bar REG_SZ http://www.google.com/ie

*

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\Run]
frag chic dead aim REG_SZ C:\Documents and Settings\All Users\Application Data\Iso sign frag chic\BIN FRAG.exe

*

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run]

OptionIntra REG_SZ C:\DOCUME~1\Thierry\APPLIC~1\AM
OKWI~1\32 plan.exe

- ***************************************

HKCU Domains (4)

P3P History (5)

- ***************************************

- ************ Fin du rapport ****************

EvilElf

Niveau 10

02 janvier 2008 à 14:21:13

Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n´êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d´endommager votre PC !! !

Crée un fichier Bloc Notes avec le texte qui se trouve dans l´espace ci-dessous (copie/colle):

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur

rentVersion\Run]
"frag chic dead aim"=-

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curr

entVersion\Run]
"OptionIntra"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"host-domain-lookup.com"=-
"www.host-domain-lookup.com"=-
"mysearchnow.com"=-
"www.mysearchnow.com"=-
"searchweb2.com"=-
"www.searchweb2.com"=-

- Cela doit être présenté comme ceci :
http://www.hiboox.com/lang-fr/resultat.php?img=9fys9r9p.jpg
- Enregistrer ce fichier dans : Bureau
- Nom du fichier : fix.reg
- Type : tous les fichiers !! !
- Cliquer sur Enregistrer
- Quitter le Bloc Notes

Utilisation du fichier: fix.reg
- double cliquer sur le fichier (Bureau) / Accepter l´avertissement concernant la fusion / ne pas s´étonner de ne rien voir / valider le message disant que la fusion est terminée.

Poste un nouveau rapport LopxpMH.

Psychopathe0

Niveau 8

02 janvier 2008 à 14:26:51

voila premiere partie

Rapport lopxpMH2 version 2.0 fait à 13:55:08,65 le 02/01/2008
C:\Documents and Settings\Thierry\Bureau\lopxpMH2\lopxpMH2

- ***************************************