WinAntiVirus Pro 2006 & Navipromo [Résolu]

[JP02]

Bonjour
Voici le nouveau Log:
http://cjoint.com/?fvlkZpO76x

Il y a toujours des fenetre concernant la sécurité qui s'ouvrent.
Fenetre pour Winantispyware et une pour un site Amaena.
Merci

[Sév]

Les rapports sont propres, mais Navipromo est un coriace qui sait se rendre indécelable... sauf que sa présence est trahie par ces fenêtres publicitaires.

1. Télécharge ce fichier et pose le sur ton bureau (clic droit et enregistrer sous dans le menu contextuel). Double clique dessus, il va lancer une recherche sur certains fichiers appartenant à Navipromo. A la fin de la recherche, le bloc notes va s'ouvrir et affichera les résultats de la recherche. Uploade le rapport "navipromo.txt" que tu trouveras à la racine de C:\ et poste le sur ta prochaine réponse.
   
   
2. Télécharge SilentRunners, dézippe-le dans le même répertoire que HijackThis.
   
   
3. Double clique sur SilentRunners.vbs
   
   Si un logiciel de sécurité t'empêche de l'exécuter, désactive-le le temps de faire la manip.
   
   
4. A la fin du scan, une boîte de dialogue va t'avertir qu'il a été correctement exécuté et te donner le nom du journal et son emplacement (de la forme : Startup Programs (Nom du Pc ) date & heure.txt).
   
   
5. Uploade le journal sur ta prochaine réponse.
   
   
6. Fais également un scan en ligne rapide sur PestPatrol. Pour pouvoir poster le résultat de scan, fais un copier / coller dans le bloc notes et sauvegarde le fichier.

@+
_________________

[Invité]

Re bonjour Lorelei.
Je viens de rentrer chez moi et, en principe, je ne pourrais faire ce que tu m'indique que jeudi car je pars en allemagne demain matin.
Je fais essayer ce soir si j'ai assez de temps pour retourner chez mon neveu.
Encore mille merci.
THIERRY

[Sév]

Pas de soucis. Essaie de tenir ce pc déconnecté d'Internet, pendant ce temps pour éviter une surcontamination

@+
_________________

[Invité]

D'accord. merci
A+

[JP02]

Bonjour lorelei
C'est le tonton thv02.

J'ai fais le scan avec le 1er fichier:
http://cjoint.com/?fziq1R6E6H

Voici le scan silent runner:
http://cjoint.com/?fzijRVN3bp

Voici le scan pest patrol:
http://cjoint.com/?fzilIYtRwq

Encore merci

[Sév]

Bonjour thv02,

Rien à signaler pour le rapport de SilentRunners.

Quelques vilaines clés par contre sur le résultat de scan de Pestpatrol.

1. Supprime le dossier C:\Program Files\License_Manager et vide la corbeille.
   
   
2. Fais Démarrer / Exécuter...
   
   
3. Tape dans l'invite de commande : regedit
   
   
4. Une fenêtre s'ouvre, c'est ta base de registre, fais très attention, c'est le coeur de Windows, il ne faut pas faire de connerie.
   
   
5. On va commencer par faire une sauvegarde au cas où :
   
   
   • Place toi sur le Poste de Travail, dans la colonne de gauche
     
     
   • Ensuite, fais fichier / exporter, place le fichier .reg dans tes documents par exemple.
   
   
   
6. Ouvre le repertoire hkey_classes_root
   
   
7. Puis appid
   
   
8. Cherche la clé {ccebbeb5-d011-41b5-9f92-01f88a38dc0d}
   
   Tu peux utiliser la fonction recherche pour trouver cette clé en appuyant sur le touche CTRL et F, tu fais un copier / coller de :
   
   {ccebbeb5-d011-41b5-9f92-01f88a38dc0d}
   
   Fais bien attention au chemin dans la barre tout en bas à gauche de la fenêtre.
   
   
9. Sélectionne cette clé et supprime là avec la touche suppr de ton clavier
   
   
10. Effectue la même opération pour ces clés (uniquement ce qui est en vert) :
    
    
    hkey_classes_root \appid\mpagent.dll
    hkey_classes_root \interface\{9a395c6c-e42e-4777-b8ef-fddeb705f3fb}
    hkey_classes_root \mpagent.agent
    hkey_classes_root \typelib\{ccebbeb5-d011-41b5-9f92-01f88a38dc0d}
    hkey_current_user \software\247cams
    hkey_current_user \software\microsoft\windows\currentversion\uninstall\notify
    hkey_current_user \software\notify
    
    
    
11. Effectue un nouveau nettoyage avec CCleaner
    
    
12. Redémarre ton pc normalement ensuite.
    
    
13. Crée un nouveau dossier dans C:\Program Files que tu nommeras BFU
    
    
14. Télécharge EGDACCESS.bfu (fais un clic droit sur le lien et clique sur enregistrer sous) et tu le places dans le dossier BFU.
    
    
15. Télécharge Brute Force Uninstaller de Merijn
    
    
    • Dézippe-le dans le dossier que tu viens de créer (BFU).
      
      
    • Double clicque sur BFU.exe
      
      
    • A droite de la zone "Scriptfile to execute" tu cliques sur l'icône qui représente un dossier et tu vas chercher EGDACCESS.bfu
      
      
    • Coche la case "Show log after script ends"
      
      
    • Clique sur Execute
      
      
    • Enregistre le résultat et poste le sur ton prochain message
    
    
    
16. Nouveau scan & rapport de PestPatrol

Les publicités persistent ?

@+
_________________

[JP02]

Bonjour
Voici les deux resultats, le 1er pour BFU:
http://cjoint.com/?fzkBf0tunB

Et le deuxième pour pest patrol
http://cjoint.com/?fzkCqI7liy


Oui les pubs reviennent et avast a ouvert une fenetre me disant qu'il y avait des cheval de troie sur l'ordi.
IE se bloque par moment et je suis obligé de le fermer et windows me demande si je veus envoyer un rapport.
Merci

[Sév]

Supprime ce fichier et vide la corbeille (j'ai oublié de te le dire tout à l'heure ) : C:\WINDOWS.pack.epk

As-tu la possibilité de me donner le rapport de Avast ?

1. Regarde dans l'observateur d'événements / Applications si tu trouves le message d'erreur complet de Internet Explorer. Pour cela :
   
   
   • Fais démarrer / Exécuter --> tape eventvwr.msc
     
     
   • Clique sur Applications
     
     
   • Recherche l'erreur correspondant à l'heure et à la date du plantage de IE et double clique dessus
     
     
   • Clique sur les deux feuilles superposées pour copier l'erreur, ouvre le bloc notes et fais ctrl+c (ou édition / coller) pour obtenir un fichier texte de cette erreur. Sauvegarde le fichier et uploade le via c-joint.
     
     
   
   
   
2. Pour voir s'il n'y a pas une dll planquée derrière le processus Iexplore :
   
   
   • Ouvre HijackThis et clique sur Open the Misc Tools Selection
     
     
     
   • Dans la partie "System Tools", clique sur le bouton "Open Process Manager"
     
     
     
   • Sélectionne la ligne correspondant à ce process (une fenêtre d'Internet Explorer doit être ouverte) :
     
     
     
     • C:\Programs Files\Internet Explorer\Iexplore.exe
     
     
     
   • Coche la case Show Dlls et clique sur l'icône qui représente une disquette, cela va générer un rapport sous forme de fichier texte (par défaut processlist.txt). Sauvegarde-le dans tes documents et poste le sur ta prochaine réponse.
     
     

@+
_________________

[Invité]

Bonjour et merci Lorelei
je m'occupe de cela dès que possible (samedi matin)
Vous etes vraiment "extraordinaire" !!!!
THIERRY

[JP02]

Bonjour lorelei

Voici le rapport avast:
http://cjoint.com/?fAoaonoczU

L'observateur d'évenement donne de avertissement et des erreur.
Voici l'avertissement:
http://cjoint.com/?fAobbD1YLJ

Les différentes erreurs:
http://cjoint.com/?fAocEMkGTG
http://cjoint.com/?fAodtThFmf
http://cjoint.com/?fAodMrps13
et la derniere:
http://cjoint.com/?fAoetyhzym

Voici le processus IE:
http://cjoint.com/?fAofQAmrzP

J'ai refais un scan avec panda:
http://cjoint.com/?fAomBCp8ST

Des fenetres de pub continue à s'ouvrir pour des casino et sites oléolé
Merci
PS: Petite demande d'information, mon neveu à la livebox de wanadoo, quand il allume son ordinateur, celui-ci se connecte tout seul à internet (je trouve cela un peu embetant) mais le plus ch.... c'est que je ne trouve nulle part le moyen de se déconnecter.
thv02

[Sév]

Ok, on a quelques pistes au moins

Il semblerait que Winantispyware se relève de ses cendres, d'après le dernier rapport de Panda. C'est qu'il y a bien quelque chose qui tente de l'installer sur le pc, on va vérifier si cette erreur correpond bien à ce qu'on devrait logiquement trouver :

Assure toi que tu as bien accès aux fichiers cachés et rends toi à ce dossier : C:\WINDOWS\Installer\

Dis moi si tu vois un dossier qui s'appelle exactement : {0000040C-78E1-11D2-B60F-006097C998E7} ?

Pour celle-ci il est possible, mais je dis bien possible, que ce qui est dit sur le site de Symantec , soit en relation mais ça reste à vérifier avec le log silentrunners. Je regarderais ça de plus près demain


Le rapport de Avast est intéressant, il nous explique ce qu'il se passe en temps réel sur le pc, comme quoi quelquefois les antivirus locaux ne sont pas dénués d'intérêt

On a peut être une faille de sécurité avec Microsoft .NET Framework. Les mises à jour de Windows ont-elles été toutes faites et en particulier la KB 886903 ?

[JP02]

Bonjour Lorelei

Le dossier existe bien:
C:\WINDOWS\Installer\{0000040C-78E1-11D2-B60F-006097C998E7}

Les mises à jours prioritaires sont faites ainsi que celle-ci KB 886903

J'ai viré le dossier c:\program files\WinAntiVirus Pro 2006.

Voici le nouveau log:
http://cjoint.com/?fBiEZzGyzw

Merci beaucoup
thv02

[Sév]

Bonjour thv02,

Bon, la nuit porte conseil

Je pense qu'il va falloir aller à la pêche et mettre les mains dans le cambouis.

1. Télécharge ce fichier et dézippe le sur ton bureau, n'y touche pas pour le moment.
   
   
2. Télécharge Delldomains.inf
   --> Clique droit sur le lien et choisis "enregistrer sous" dans le menu contextuel.
   
   
3. Effectue une recherche sur le disque de ces dossiers et supprime les si tu les trouves :
   
   C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006
   C:\Window\system32\av.cpl
   C:\WINDOWS\system32\stera.exe
   
   
4. Ouvre l'éditeur de registre (Démarrer / Exécuter --> Tape regedit)
   
   
   • Mets le poste de travail en surbrillance et fais Edition / Rechercher. Dans le champs de recherche tape : winantivirus et valide par Ok.
     
     
   • Attends que la recherche s'effectue et supprime la clé trouvée par la touche [suppr] du clavier ou clic droit "supprimer".
     Pour renouveler la recherche, appuie sur la touche [F3] de ton clavier, et continue jusqu'à ce que plus rien ne soit trouvé. Ferme l'éditeur de registre ensuite.
     
     Fais bien attention à ne supprimer que les clés du résultat de la recherche et rien d'autre
     
     
     
     avant cette manip, fais une sauvegarde du registre --> Voir ici
   
   
   
5. Lance un nettoyage avec CCleaner et redémarre le pc en mode sans échec.
   
   
6. Effectue une recherche sur le disque de ces fichiers et supprime les si tu les trouves :
   
   
   • nfpywgqce.dat
     
   • nfpywgqce.exe
     
   • nfpywgqce_nav.dat
     
   • nfpywgqce_navps.dat
   
   
   
7. Double clique sur fix_navipromo.reg que tu as téléchargé auparavant et accepte la fusion au registre.
   
   
8. Recommence la manipulation avec BFU : Point 15 de cette procédure.
   
   
9. Clique droit sur DellDomains.inf et choisis installer dans le menu contextuel.
   
   
10. Lance un scan complet de Spybot S&D
    
    
11. Nouveau passage de CCleaner et redémarre le pc normalement.

Dis moi si ça va mieux après ça

@+
_________________

[JP02]

Bonjour lorelei
Je n'ai trouvé aucun de ces fichiers:
C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006
C:\Window\system32\av.cpl
C:\WINDOWS\system32\stera.exe

par contre, il y a un fichier:
C:\WINDOWS\system32\stera.job dont l'icone est celui d'une application où il y a dans le coin bas à gauche un rond rouge avec une croix blanche.(un peu comme l'icone Killbox")
Je ne l'ai pas enlevé, ai je bien fait ???


Ensuite, je n'ai trouvé aucuns fichiers suivants:
nfpywgqce.dat
nfpywgqce.exe
nfpywgqce_nav.dat
nfpywgqce_navps.dat

Pour le moment plus de fenetre s'ouvre, je croise les doigts.
Pense tu que IE risque de se bloquer ?

Un trés gros merci, des trés gros mercis.
Si des fenetres s'ouvrent, je te tiens au courant.
THV02