Navipromo, Winantivirus & Systemdoctor [Résolu]

Invité

Bonjour
J'ai de nouveau besoin de vous, cette fois ci c'est encore winantivuspro 2006 mais sur l'ordi du coussin.
j'ai passé cleanup, spybot et a-squared.
Ils ont trouvés beaucoup de chose qui ont été supprimés. Pour info, voici le rapport de a-squared:
http://cjoint.com/?jnlnUreomq

Spybot n'a pas pu enlever des clé de registre liés à winantivirus

Je vous joint le rapport de panda fait avant le passage des programmes ci-dessus:
http://cjoint.com/?jnlktstr0Q

J'ai passé Blacklight de F.Secure, voici le rapport:
http://cjoint.com/?jnlrxk5K6e

et enfin le log de hijackthis:
http://cjoint.com/?jnltBO86oF

Merci pour votre aide

Sév · Posté le: 13 Sep 2006 9:29 Sujet du message:

Bonjour Thierry,

Après le neveu, le cousin... toute la famille est abonnée à Navipromo ? Mort de rire

Je regarde tes rapports et je te dis quoi dans le courant de la journée Clin d'oeil

C'est bien d'avoir pensé à Blacklight Accord

@+
_________________

Invité · Posté le: 13 Sep 2006 9:40 Sujet du message:

Bonjour
Sauf moi, je touche du singe( main sur la tete).
Je suis de retour chez moi, je vais chez le coussin demain matin.
Petite question, ça s'attrape où cette cochonnerie car une personne présente chez le coussin m'a dit avoir la meme chose sur son ordi.

MERCI

PS, j'oublier, son ordinateur rame comme pas un.
Pour exemple, quand je suis arrivé, il était en veille, j'ai bougé la souris et il a fallu attendre 30 secondes pour quelque chose s'affiche. Il est d'une lenteur incroyable pour tout.
S'il faut faire quelque chose pour lui rendre un peu de vivacité, n'hesitez pas, je suis preneur

Sév · Posté le: 13 Sep 2006 12:16 Sujet du message:

Il est plus que probable que le pc rame à cause des infections présentes (Navipromo, Winantivirus et Systemdoctor).

MS Antispyware peut aussi ralentir le pc, il prend de la resource. De plus il est obsolète, on est passé à Windows Defender. Et d'un avis personnel, il ne sert pas à grand chose. Clin d'oeil

Après voir du côté de la RAM si elle est suffisante pour un XP SP2 : minimum : 256Mo, conseillé : 512Mo.
Même si XP peut tourner avec seulement 128Mo il est préférable d'en avoir plus, compte tenu des autres logiciels présents en tâche de fond.

Ne pas hésiter à se séparer du kit de connexion Wanadoo, et lui préférer une connexion configurée manuellement.

Concernant la façon d'éviter ce genre d'infection, tout dépend de l'utilisateur.

Ce genre de rogue, profite de la crédulité des internautes en imposant continuellement une pop up sur certains sites. Même si à la charmante invitation qu'il t'est faite pour scanner gratuitement ton pc, tu as le malheur de cliquer sur Annuler, tu risques une infection. Dans ce cas il faut soit cliquer sur la croix de fermeture de la fenêtre ou fermer la fenêtre du navigateur.

Les sites sur lesquels tu peux trouver cette proposition sont nombreux. Il a récemment été question de ImageShack, un hébergeur d'images que moi même j'ai largement utilisé. Tu le trouves aussi sur d'autres sites plus généralistes, un exemple ICI.

Pourquoi ce genre de publicité néfaste est largement diffusée sur les sites ? Tout simplement parceque les webmasters utilisent la publicité pour augmenter leurs revenus. Le problème est que certains sites ne prennent pas la peine de vérifier la publicité qu'ils véhiculent. Ils sont responsables mais pas coupables.

Aujourd'hui Winantivirus est reconnu comme étant un rogue, mais les auteurs de ce faux logiciel de sécurité ont de la ressource. Que ce soit ErrorSafe, Winfixer2005, Winantispyware 2006, SystemDoctor : ils sont tous issus de la même société d'éditeurs pourris. Seuls l'interface et le nom changent quand un de leur "produit" ne se vend plus, pour mieux tromper les webmasters et les internautes.

L'alternative à tout cela, c'est Firefox et son extension Adblock qu'on peut associer à NoScript pour surfer en sécurité. Et ne jamais accepter l'installation d'un logiciel de sécurité lorsqu'on ne le connaît pas, même si le matraquage est incessant.

Pour info, tu trouveras une liste de rogues --> ICI et une autre en français --> ICI

Je reviens te dire quoi faire pour la désinfection du PC. Clin d'oeil

_________________

Sév · Posté le: 13 Sep 2006 13:44 Sujet du message:

On y va

Lis attentivement la procédure et imprime-la pour l'avoir sous les yeux quand tu seras déconnecté d'Internet et en mode sans échec. Imprime également les pages des liens sur lesquels je te renvoie, et suis toutes les instructions à la lettre et dans l'ordre.

Télécharge & installe les outils suivants :
- Killbox --> Imprime le tuto,
- Ewido--> Installe le et fais les mises à jour mais ne lance pas de scan pour le moment.
  
  Tu trouveras un tuto ICI pour l'installation et l'utilisation que je te conseille d'imprimer pour l'avoir sous les yeux en mode sans échec.
- CCleaner
Télécharge également ces deux outils et laisse les en attente sur ton bureau pour le moment :
- Deldomains.inf :flecheb: Clique droit sur le lien et choisis enregistrer sous dans le menu contextuel.
- Hoster
Ouvre le bloc notes (Notepad), copie et sauvegarde cette liste. Ces fichiers seront à détruire avec Killbox dans la suite de la procédure :

Citation:

C:\WINDOWS\system32\EGACCESS4_1064.dll
C:\Documents and Settings\gauche didier\Application Data\winantiviruspro2006freeinstall_fr[1].exe
C:\WINDOWS\system32\EGACCESS.dll
Désinstalle Boonty par Ajout / Suppression de Programmes
Déconnecte le pc d'internet et ferme tous les programmes en cours,
Fais un premier nettoyage avec CCleaner
Ouvre Killbox et le fichier texte contenant la liste de fichiers que tu as copié préalablement. Suis ce qui est écrit sur le tuto de Killbox à partir du point 6.

Il est possible que Killbox ne trouve pas tous les fichiers, ne t'en inquiéte pas.
Redémarre en mode sans échec

Ouvre HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :

Citation:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [BoontyBox] "C:\Program Files\Boonty\BoontyBox\BoontyBox.exe" /boot
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGACCESS4_1064.dll,InstantAccess
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http//messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http//scripts.dlv4.com/binaries/egaccess4/egaccess4_1064_XP.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http//messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http//software-dl.real.com/229c4dc83da397b3ed17/netzip/RdxIE601_fr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http//messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A13516A3-BE86-4517-813C-B5FF0C8ACDF3} (Toontown Installer ActiveX Control French) - http//downloadtoontown.goa.com/sv1.5.11.6/ttinst-french.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http//messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http//messenger.zone.msn.com/binary/ZIntro.cab32846.cab

Clique sur Fix Checked et accepte les modifications.
Lance un scan complet avec Ewido et sauvegarde le rapport dans tes documents.
Donne toi accès aux fichiers cachés
Supprime les dossiers suivants, si présents, et vide la corbeille :

C:\Documents and Settings\gauche didier\Application Data\WinAntiVirus Pro 2006
C:\Program Files\instant access
C:\Documents and Settings\gauche didier\Application Data\systemdoctor 2006 free
C:\Program Files\systemdoctor 2006 free
Lance un scan complet avec Ewido , clique sur Apply all actions à la fin de l'analyse, et sauvegarde le rapport dans tes documents.
Fais un clic droit sur le fichier DelDomains.inf, dans le menu contextuel choisis installer.
Double-clicque sur Hoster
- Clique sur Restore original Hosts et rien d'autre
- Ferme le programme
- Suis ce chemin de fichier dans l'explorateur de Windows : C:\WINDOWS\system32\drivers\etc
- Repère les fichiers lmhosts.sam et HOSTS, clicque droit sur chacun d'entre eux, choisis Propriétés dans le menu contextuel et coche la case Lecture seule
Lance un scan complet de Spybot S&D et supprime tout ce qu'il trouve,
Nouveau passage de CCleaner et redémarre en mode normal, mais sans connexion internet,
Relance Blacklight, et lance le nettoyage (cleaning), clique sur Rename puis sur Next
Passe Cleanup et redémarre en mode normal
Fais un scan avec PestPatrol et poste le rapport,
Poste le rapport de Ewido, celui de Blacklight et nouveau log HijackThis.

Bon courage Clin d'oeil

@+
_________________

Invité · Posté le: 14 Sep 2006 9:36 Sujet du message:

Bonjour
Tout sempble s'etre déroulé sans problème sauf pour la déinstallation de Boonty où ca me marque:
le fichier "C:\programFiles\boontybox\unis000.dat" n'existe pas. Impossible de déinstaller.
Voici les différents rapport:
Ewido
http://cjoint.com/?jolC6hRq17

Pour Blacklist:
http://cjoint.com/?jolEkPW3yO

Pour pestpatrol:
http://cjoint.com/?jolGyXtoTY

pour Hijackthis:
http://cjoint.com/?jolIxF7CX7

Pestpatrol semble trouvé quelque chose "InstantAccess FuriaDeSexo" sinon les fenetre OLEOLE ne s'ouvrent plus ainsi que celle de Winantiviruspro.
Merci
THIERRY

Sév · Posté le: 14 Sep 2006 20:26 Sujet du message:

Bonsoir Thierry,

Il y a du mieux, mais ce n'est pas encore ça.

Pestpatrol n'est pas le seul à signaler la présence de Navipromo, par contre Winantimachin lui est bien parti Clin d'oeil

Pour moi Blacklight n'a rien supprimé du tout, tu es bien sûr de l'avoir manipulé correctement ? Il y a un tuto ICI , mais en anglais, si tu veux un peu d'aide Clin d'oeil

Déconnecte le pc d'internet et refais le nettoyage avec Blacklight,
Redémarre en mode sans échec,
Corrige cette ligne avec HJT :

Citation:

O16 - DPF: {CB5D474E-A510-40A4-B5A4-838933BCBA64} - http//scripts.dlv4.com/binaries/egaccess4/egaccess4_1065_XP.cab
Supprime le dossier Boonty dans Program Files, et le fichier ou dossier trouvé par Pestpatrol : C:\WINDOWS\tmlpcert2007
Lance un nouveau scan de Ewido et supprime bien tout ce qu'il trouve,
Nettoie avec CCleaner et redémarre le pc,
Relance Blacklight pour voir s'il trouve encore quelque chose
Nouveau log HijackThis et nouveau scan et rapport de PestPatrol, sans oublier les rapports de Ewido et Blacklight.

Bon courage Clin d'oeil

@+
_________________

Invité · Posté le: 15 Sep 2006 4:14 Sujet du message:

Bonjour
A la fin du scan de blacklight, j'ai surligné les différents éléments et j'ai cliqué sur "Rename". Blacklight ma ensuite indiqué en anglais que les élément avait été renommé.
j'y retourne ce matin à 8 heure et je fais cà.
THIERRY

Invité · Posté le: 15 Sep 2006 8:15 Sujet du message:

bonjour
Blacklight n'a rien trouvé, voici le rapport:
http://cjoint.com/?jpkjWNsBmo

Voici hijackThis:
http://cjoint.com/?jpkkVEVB1J

Voici ewido:
http://cjoint.com/?jpkl4UqSKk

Voici pestpatrol:
http://cjoint.com/?jpkm0PudRr

Pour info, je lui ai supprimé le navigateur wanadoo ainsi que l'espace wanadoo.
Bonne continuation et merci pour tout. Clin d'oeil

THIERRY