trojan swizzor

[niagarafalls]

bj

Mon pc est infecté par le trojan swizzor.

Je l'ai découvert en faiSant un scan avec avast mais je ne peux le mettre en quarantaine comme recommandé.
Je l'ai donc "supprimé".

32 fichiers ont été infectés. D'après mes premières recherches ce trojan n'est pas récent, je suis donc surpris qu'un antivirus ne soit pas capable de le bloquer avant qu'il n'infecte des fichiers. Ce trojan est-il dangereux ? Me conseillez-vous de changer d'antivirus ?

Que dois-je faire maintenant ?

Merci par avance de vos précieuses réponses d'experts.

Laurent

[nardino]

Bonjour.

Fais un scan en ligne ici : http://www.bitdefender.fr/scan_fr/scan8/ie.html
Avec Internet Explorer, pour cause d'activeX.
Poste le résultat.
@+

[niagarafalls]

utilisation en ligne du scan rendue impossible.

Apparition d'un message "this website is not authorized to host this ActiveX control"

ou contacter le webmaster du site.

Je n'ai pas de réponse.

@+ Laurent

[nardino]

Bonjour.
Autre solution.
Télécharge :
"Antivir" de Avira : http://www.free-av.com/

Clique sur "download here" en bas de la colonne Classic et dans la fenêtre suivante clique sur la version de ton système.
(Attention pas disponible pour Vista 64 bits.)
Enregistre le fichier (16.4 Mo) et installe le programme.
Voici un tutoriel pour ce faire et bien paramétrer le programme.
http://speedweb1.free.fr/frames2.php?page=tuto5
Merci à Tesgaz.
Mets-le à jour et refermes-le.
Ce programme va cohabiter, le temps de faire la procédure suivante, avec l'antivirus en titre et sera désinstallé ou remplacera ce dernier selon ton libre choix.

-"Malwarebytes' Anti-Malware" : http://majorgeeks.com/downloadget.php?i ... 666f809b26

Installes-le, mets-le à jour, et refermes-le.
Tutoriel par nico_dodo
http://forum.pcastuces.com/malwarebytes ... -f31s3.htm

Redémarre en mode sans échec.

Important de faire la procédure sous ce mode.
Il faut choisir la même session que celle qui est infectée.
Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuie sur F8.
Une fenêtre de type DOS s'ouvre, sélectionne "Mode sans échec" à l'aide des flèches du clavier et clique sur Entrée (Enter).
Il peut se passer plusieurs minutes avant le démmarage, sois patient.
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire.

**Scans antivirus et antimalwares**
-Antivir
Tu cliques sur l'icône du bureau pour lancer ou sur celle près de l'horloge.
Dans l'onglet Scanner,; tu cliques sur la croix devant Manual Selection et tu coches Poste de travail.
Tu laisses tout coché pour la première analyse.
Tu cliques sur l'icône en forme de loupe en-dessous de Status pour lancer l'analyse qui peut durée une heure.
Il est préférable de ne pas s'éloigner pour répondre aux messages en cas de détection.
Tu choisis "Moved to quarantine" pour tout ce qu'il trouve et tu coches la case "Apply selection to all following detection".
Quand le scan est terminé, tu clique sur End.

-Malwarebytes
Lance Malwarebytes, dans l'onglet Recherche, tu coches Exécuter un scan complet.
Clique sur le bouton Rechercher.
Supprime tout ce qu'il trouve.
Un rapport final sera enregistré dans l'onglet Rapport/Logs.

**Envoi des rapports**
Tu postes le rapport Antivir, le rapport Malwarebytes.
Pour Antivir :
Tu ouvres le programme et dans l'onglet Reports, choisis Scan avec la date correspondante, double-clique dessus et ensuite sur Report file
Pour Malwarebytes :
Dans l'onglet Rapport/Logs.
@+

[niagarafalls]

installation rendue également impossible, elle est nterrompue par le message suivant : C:\Users\Laurent\App\Data\Local\Temp\Rar SFX0\basic\setup.exe

une référence a été envoyée par le serveur

Que cela signifie-t-il ?

@+ Laurent

[nardino]

Bonjour.
Clic droit sur le fichier d'installation et Exécuter en tant qu'administrateur.
@+

[chantal11]

Bonjour,

Voilà la procédure pour ton message " Une référence a été renvoyée par le serveur".

1) Tout d'abord, crées un point de restauration facilement identifiable, par exemple "Avant modif restriction"
Panneau de configuration --> Système --> Protection du système --> veiller à ce que la case C soit cochée --> Créer
Même si cela ne sert à rien dans ton cas, puisque tu es infecté, fais-le quand même par précaution

2) Démarrer --> Exécuter --> regedit
Tu vas à la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Tu mets System en surbrillance en cliquant dessus et tu cherches dans le volet de droite la valeur ValidateAdminCodeSignatures
Double-clic sur cette valeur ValidateAdminCodeSignatures
Une petite fenêtre apparaît "Modifier la valeur DWORD 32 bits"
Tu donnes la valeur 0
0 pour zéro
puis OK.
Tu refermes l'Editeur de registre.

Tu ré-essaies d'exécuter ton fichier téléchargé.

@+

[nardino]

Bonjour.
Si tu ne veux pas bidouiller dans la base de registre, fais ce qui suit.
Dans un blocnote ( Tous les programmes-Accessoires) tu copies-colles ce qui est ci-dessous.
Dans Format, veille à bien retirer la coche devant Retour à la ligne automatique.
Fais un retour chariot ( Entrée) après la dernière ligne.
Il faut une interligne en-dessous de la pemière ligne Windows Registry Editor...

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ValidateAdminCodeSignatures"=dword:00000000

Dans Fichier, Enregistrer sous, Tous les fichiers, sur le bureau tu enregistres sous le nom serveur-out.reg
Si le fichier obtenu est appelé serveur_out.reg.txt, tu le renommes en supprimant .txt à la fin

Ensuite tu cliques droit sur ce fichier, tu choisis Fusionner et tu acceptes.
Un message t'avertira de la bonne exécution du fix.
L'icône du fichier : http://i28.servimg.com/u/f28/11/05/93/83/iconer10.jpg

@+

[niagarafalls]

Voici les deux rapports demandés.
Que dois-je faire maintenant ?
MERCI pour tous ces précieux renseignements

@+ Laurent

Avira AntiVir Personal
Report file date: dimanche 20 juillet 2008 17:52

Scanning for 1476109 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows Vista
Windows version: (Service Pack 1) [6.0.6001]
Boot mode: Save mode
Username: Laurent
Computer name: PC-DE-LAURENT

Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 15:16:25
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 15/07/2008 15:16:29
ANTIVIR3.VDF : 7.0.5.140 325632 Bytes 20/07/2008 15:16:31
Engineversion : 8.1.1.11
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 20/07/2008 15:16:47
AESCN.DLL : 8.1.0.23 119156 Bytes 20/07/2008 15:16:45
AERDL.DLL : 8.1.0.20 418165 Bytes 20/07/2008 15:16:44
AEPACK.DLL : 8.1.2.1 364917 Bytes 20/07/2008 15:16:42
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 20/07/2008 15:16:41
AEHEUR.DLL : 8.1.0.43 1339767 Bytes 20/07/2008 15:16:39
AEHELP.DLL : 8.1.0.15 115063 Bytes 20/07/2008 15:16:37
AEGEN.DLL : 8.1.0.29 307573 Bytes 20/07/2008 15:16:36
AEEMU.DLL : 8.1.0.6 430451 Bytes 20/07/2008 15:16:35
AECORE.DLL : 8.1.1.6 172405 Bytes 20/07/2008 15:16:33
AEBB.DLL : 8.1.0.1 53617 Bytes 20/07/2008 15:16:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\ProgramData\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 20 juillet 2008 17:52

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'HelpPane.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsm.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'wininit.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
19 processes with 19 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '26' files ).


Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Users\Laurent\Downloads\messengerskinner.exe
[DETECTION] Is the Trojan horse TR/Dropper.Gen
[NOTE] The file was moved to '48f666c6.qua'!
C:\Windows\Temp\NSIS_install_msgskinner.exe
[DETECTION] Contains detection pattern of the dropper DR/NaviPromo.CC.49
[NOTE] The file was moved to '48cc6920.qua'!
Begin scan in 'D:\'
Search path D:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: dimanche 20 juillet 2008 18:43
Used time: 51:31 min

The scan has been done completely.

20051 Scanning directories
370806 Files were scanned
2 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
370804 Files not concerned
2710 Archives were scanned
1 Warnings
2 Notes





Malwarebytes' Anti-Malware 1.21
Version de la base de données: 971
Windows 6.0.6001 Service Pack 1

19:09:17 20/07/2008
mbam-log-7-20-2008 (19-09-17).txt

Type de recherche: Examen rapide
Eléments examinés: 62485
Temps écoulé: 5 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Spyware-Secure (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MessengerSkinner.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Laurent\Local Settings\Application Data\ptdhnh_navps.dat (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\Users\Laurent\Local Settings\Application Data\ptdhnh_nav.dat (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\Users\Laurent\Local Settings\Application Data\ptdhnh.dat (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Spyware-Secure trial.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Spyware-Secure.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Uninstall.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware-Secure\Website.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Windows\System32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Users\Laurent\Desktop\Spyware-Secure trial.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Users\Invité\Desktop\Spyware-Secure trial.lnk (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.

[nardino]

Bonsoir.
On enchiane.
1°- Télécharge Navilog1 depuis-ce lien : http://pagesperso-orange.fr/il.mafioso/ ... vilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.

2°- Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

Vas dans "Démarrer" puis "Panneau de configuration".
Double Clique sur l'icône "Comptes d'utilisateurs" et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".
Clique sur "Continuer".
Décoche la case "Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur".
Valide par "OK" et redémarre.

3°- Une fois redémarré, double clique sur "navilog1.exe" pour lancer l'installation.
L'installation terminée, fais un clic-droit sur le raccourci "Navilog1" présent sur ton bureau et choisis :
"Exécuter en tant qu'administrateur". C'est impératif.

Au menu principal, Fais le choix "1"
Laisse toi guider et patiente.
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse.
Referme le blocnote.

@+

[niagarafalls]

Voici le rapport demandé

@ tout de suite pour les nouvelles recommandations
MERCI

Laurent


Search Navipromo version 3.6.1 commencé le 20/07/2008 à 21:19:01,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Laurent"

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\Windows" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Recherche dossiers dans "C:\ProgramData" ***


*** Recherche dossiers dans "c:\users\laurent\appdata\roaming\micros~1\windows\startm~1\programs" ***

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\Users\Laurent\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\INVIT~1\AppData\Local\virtualstore\Program Files" ***


*** Recherche dossiers dans "C:\Users\Laurent\AppData\Roaming" ***

...\MessengerSkinner trouvé !

*** Recherche dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier Navipromo trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\Windows\system32" *

* Recherche dans "C:\Users\Laurent\AppData\Local\Microsoft" *

* Recherche dans "C:\Users\Laurent\AppData\Local\virtualstore\windows\system32" *

* Recherche dans "C:\Users\Laurent\AppData\Local" *

* Recherche dans "C:\Users\INVIT~1\AppData\Local" *



*** Recherche fichiers ***


C:\Users\Laurent\AppData\Local\Temp\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\Windows\system32" :


* Dans "C:\Users\Laurent\AppData\Local\Microsoft" :


* Dans "C:\Users\Laurent\AppData\Local\virtualstore\windows\system32" :


* Dans "C:\Users\Laurent\AppData\Local" :


* Dans "C:\Users\INVIT~1\AppData\Local" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 20/07/2008 à 21:46:15,93 ***

[nardino]

Bonsoir,
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Veille à ce que le le contrôle des comptes utilisateurs (UAC) soit toujours désactivé.
Fais un Clic-droit sur le raccourci "Navilog1" présent sur ton bureau et choisis "Exécuter en tant qu'administrateur". Impératif.

Au menu principal, Fais le choix "2"
Laisse toi guider et patiente.
Le fix va t'informer qu'il va alors redémarrer ton PC
Appuie sur une touche comme demandé, si ton Pc ne redémarre pas automatiquement, fais le toi même.
Au redémarrage de ton PC, choisis ta session habituelle, celle qui est infectée.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver et à le poster dans ta réponse.
Referme le blocnote. Ton bureau va réapparaitre
Réactive le contrôle des comptes utilisateurs (UAC)

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela fera réapparaitre ton bureau.

@+

[niagarafalls]

Voici le rapport de l'opération de nettoyage.

Que dois-je faire maintenant ?

@ tout de suite

Laurent





Clean Navipromo version 3.6.1 commencé le 20/07/2008 à 22:56:33,07

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Laurent"

Mise à jour le 19.07.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows Vista 6.0.6001
Internet Explorer : 7.0.6001.18000
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\Windows\System32" *


* Suppression dans "C:\Users\Laurent\AppData\Local\Microsoft" *


* Suppression dans "C:\Users\Laurent\AppData\Local\virtualstore\windows\system32" *


* Suppression dans "C:\Users\Laurent\AppData\Local" *


* Suppression dans "C:\Users\INVIT~1\AppData\Local" *



*** Suppression dossiers dans "C:\Windows" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !


*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***


*** Suppression dossiers dans "C:\ProgramData" ***


*** Suppression dossiers dans c:\users\laurent\appdata\roaming\micros~1\windows\startm~1\programs ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !


*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming\micros~1\windows\startm~1\programs" ***


*** Suppression dossiers dans "C:\Users\Laurent\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\INVIT~1\AppData\Local\virtualstore\Program Files" ***


*** Suppression dossiers dans "C:\Users\Laurent\AppData\Roaming" ***

...\MessengerSkinner ...suppression...
...\MessengerSkinner supprimé !


*** Suppression dossiers dans "C:\Users\INVIT~1\appdata\roaming" ***



*** Suppression fichiers ***

C:\Users\Laurent\AppData\Local\Temp\pack.epk supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Laurent\AppData\Local\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\Windows\system32" *


* Dans "C:\Users\Laurent\AppData\Local\Microsoft" *


* Dans "C:\Users\Laurent\AppData\Local\virtualstore\windows\system32" *


* Dans "C:\Users\Laurent\AppData\Local" *


* Dans "C:\Users\INVIT~1\AppData\Local" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche clés RUN orphelines Navipromo ***
!! Résultats temporairement non pris en charge !!
!! Les clés trouvées ne sont pas forcément infectées !!

Clés trouvés :

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ptdhnh"="c:\\users\\laurent\\appdata\\local\\ptdhnh.exe ptdhnh"



*** Nettoyage terminé le 20/07/2008 à 23:05:27,08 ***

[nardino]

Bonsoir,
Dans le dossier C:\Programmes\navilog1, tu vas doubles cliquer sur le Orph.reg et accepter la fusion avec le registre.
Et tu supprimes l'outil.
Au choix :

- Via Panneau de configuration/Programmes et fonctionnalités : (Navilog1)
- Via le fichier uninstall présent dans le dossier C:\Program Files\navilog1.

Supprime le dossier Navilog1 présent dans C:\Program Files
Réactive le contrôle des comptes d'utilisateurs.

Programmes responsables de cette infection :
* Instant access
* Go-astro
* GoRecord
* HotTVPlayer
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Sudoplanet
* WebMediaplayer (ne provenant pas du site : http://www.azertysite.new.fr/qui est sain)
* Emule (depuis ce site hxxp://www.official-emule.com)

Ton pc est maintenant propre.
Il faut le maintenir.

LUAC doit être réactivé.
Pour l'antivirus tu peux désinstaller Antivir par Programmes et fonctionnalités.
Face à cette infection proprement dite il faut un outil spécifique comme navilog.
Dans ton cas tu es "responsable" de l'infection.
Tu as installé un pack d'icônes sans faire attention à ce que tu téléchargeais.
Il faut être vigilant.
Voici ce qui se passe chez moi :


@+

[niagarafalls]

Bonjour et encore merci pour ton aide et ces précieux renseignements.

Toutefois, le novice que je suis en informatique ne comprend pas pourquoi, malgré la présence d'un antivirus et des scans réguliers, ce type d'infection est possible.

Je ne connais pas la plupart des programmes responsables de l'infection et je me demande quel pack d'icônes j'ai pu installer en est à l'origine.

Quelles précautions puis-prendre pour éviter que cela ne se reproduise : installer un antivirus différent ? Celui que j'utilise est gratuit mais me semble-t-il jouit d'une bonne réputation...

Dans l'attente et le plaisir de lire tes conseils

@ + Laurent