forum Abc de la sécurité informatique

allan · 27-06-2007 21:26:07

merci pour ces informations

toutes ces fenetres intempestives commencent à m'agacer
je reviendrai poster quand j'aurai le rapport ou si je rencontre un probleme

allan · 27-06-2007 21:44:50

voici le rapport que j'ai obtenu apres avoir utiliser le scan

06/27/07 21:29:27 [Info]: BlackLight Engine 1.0.64 initialized
06/27/07 21:29:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/27/07 21:29:27 [Note]: 7019 4
06/27/07 21:29:27 [Note]: 7005 0
06/27/07 21:30:01 [Note]: 7006 0
06/27/07 21:30:01 [Note]: 7011 1560
06/27/07 21:30:01 [Note]: 7026 0
06/27/07 21:30:01 [Note]: 7026 0
06/27/07 21:30:01 [Note]: 7024 3
06/27/07 21:30:01 [Info]: Hidden process: C:\windows\system32\gyliweet.exe
06/27/07 21:30:04 [Note]: FSRAW library version 1.7.1022
06/27/07 21:37:50 [Info]: Hidden file: c:\WINDOWS\system32\gyliweet.dat
06/27/07 21:37:50 [Note]: 10002 1
06/27/07 21:37:51 [Info]: Hidden file: C:\windows\system32\gyliweet.exe
06/27/07 21:37:51 [Note]: 10002 1
06/27/07 21:37:51 [Info]: Hidden file: c:\WINDOWS\system32\gyliweet_nav.dat
06/27/07 21:37:51 [Note]: 10002 1
06/27/07 21:37:51 [Info]: Hidden file: c:\WINDOWS\system32\gyliweet_navps.dat
06/27/07 21:37:51 [Note]: 10002 1

merci pour votre aide

habana · 27-06-2007 22:47:37

<NomAléatoire>.exe
<NomAléatoire>.dat
<NomAléatoire>_nav.dat
<NomAléatoire>_navps.dat

Une procédure de suppression de navipromo est fournie sur cette adresse :
http://perso.orange.fr/jesses/Docs/Nuisibles/Navipromo.htm

allan · 28-06-2007 10:51:56

donc cela veut dire que navipromo est responsable de toutes ces fenêtres qui apparaissent et que je dois suivre la procedure indiquée sur le lien?
merci pour votre aide

JokuHech · 28-06-2007 11:24:25

Exécuter simplement l'outil spécifique tel que décrit plus bas dans le chapitre Outil spécifique.

Il te faudra peut être recommencer la procédure plusieurs fois de suite, avec à chaque fois redémarrage entre découverte et éradication en mode sans échec. Je recommande de débrancher le modem internet, durant toute cette période.

Lorsque BlackLight ne signalera plus de problème, refaire un rapport HijackThis et le poster avec le résultat de recherche navipromo.

allan · 28-06-2007 12:38:09

J'ai utilisé l'outil specifique pour detruire navipromo.
Blacklight ne dectecte plus rien et j'ai fait un rapport Hijackthis que voici

Logfile of HijackThis v1.99.1
Scan saved at 12:34:35, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\TVPlay\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\TVPlay\Kernel\TV\TVPCapSvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\HP\TVPlay\Kernel\TV\TVPSched.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Microsoft LifeCam\LifeTray.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\HP\TVPlay\TVPService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Xtreme Desktop\xdc\xdc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Jerome\LOCALS~1\Temp\Rar$EX00.735\HijackThis.exe

Voici également le rapport après utilisation de l'outil specifique

NvpFix version 2.20
Rapport de scan du 28/06/2007 12:01:45,70

Microsoft Windows XP [version 5.1.2600]
Dossier système : C:\WINDOWS\system32

Clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Inscription trouvée : gyliweet c:\windows\system32\gyliweet.exe gyliweet
Valeur gyliweet
Clé sauvegardée - Valeur supprimée

Fichiers Navipromo relatifs à cette inscription
- C:\WINDOWS\system32\gyliweet.dat
Renommé - Sauvegardé - Supprimé
- C:\WINDOWS\system32\gyliweet.exe
Renommé - Sauvegardé - Supprimé
- C:\WINDOWS\system32\gyliweet_nav.dat
Renommé - Sauvegardé - Supprimé
- C:\WINDOWS\system32\gyliweet_navps.dat
Renommé - Sauvegardé - Supprimé

Fichiers supplémentaires
- C:\WINDOWS\system32\msclock32.dll
Non trouvé
- C:\WINDOWS\system32\msplock32.dll
Non trouvé

Recherche d'autres occurences de Navipromo même non actives
Nom aléatoire de fichier : Plus aucune extension _nav.dat ou _navps.dat trouvée

Clé HKCU\Software\LanConfig
Sauvegardée - Supprimée

Fin du traitement

JokuHech · 28-06-2007 14:04:25

Il me faut la totalité du rapport HijackThis.

Tu dois créer un dossier spécifique pour HJT, soit en program files soit racine disque dur. Ceci est essentiel car HJT va générer des fichiers sauvegardes, et il lui faut une place pour ça. Il ne peut pas être utilisé correctement à partir d'un répertoire temporaire.
En tous cas, ce n'est pas fini pour ton problème. Il y a des résidus encore ne serait ce que pour un exécutable lancé et en cours au moment du scan HJT.

C:\WINDOWS\vVX3000.exe

allan · 28-06-2007 14:48:46

Desolé j'ai en effet oublié de poster une bonne partie du rapport de Hijackthis. Je viens de le placer dans c/program Files

Logfile of HijackThis v1.99.1
Scan saved at 14:45:16, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\TVPlay\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\runservice.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\TVPlay\Kernel\TV\TVPCapSvc.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\HP\TVPlay\Kernel\TV\TVPSched.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\vVX3000.exe
C:\Program Files\HP\TVPlay\TVPService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Xtreme Desktop\xdc\xdc.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Reminder] C:\Windows\CREATOR\Remind_XP.exe
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [TVPService] "C:\Program Files\HP\TVPlay\TVPService.exe"
O4 - HKLM\..\Run: [XDc] C:\Program Files\Xtreme Desktop\xdc\startxdc.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Media Library Service(HP TVPlay) - Cyberlink - C:\Program Files\HP\TVPlay\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: CyberLink Background Capture Service (CBCS HP TVPlay) (TVPCapSvc) - Unknown owner - C:\Program Files\HP\TVPlay\Kernel\TV\TVPCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS HP TVPlay) (TVPSched) - Unknown owner - C:\Program Files\HP\TVPlay\Kernel\TV\TVPSched.exe

JokuHech · 28-06-2007 17:03:40

1) Touches clavier Ctrl + Alt + Suppr ; ceci ouvre le gestionnaire des tâches. Il faut mettre fin au processus => vVX3000.exe. Donc clic dessus puis bouton fin de tache. Refermer le gestionnaire.

Ce fichier devra être supprimé en mode sans échec une fois le PC démarré dans ce mode. Pour rappel il est en racine dossier WINDOWS (poste de travail C:)

Démarrer / Exécuter. taper en zone saisie => services.msc puis OK ou Entrée (clavier) Mettre l'interface au maximum pour bien voir.

Rechercher le service => avast! Web Scanner. Double clic dessus, puis arrêter le service, et positionner en type démarrage sur Désactivé. En profiter pour faire de même avec l'interface paramétrage services dans Avast directement.
Explication: pour le peu de réactivité ce n'est pas la peine de l'avoir. C'est du simple gadget et rien de plus. Ceci est aussi valable (pour mon avis personnel pour le mail scanner, mais bon)

Refermer les services Windows.

lancer HJT bouton Do a scan only.

Repérer la ligne et cocher la case devant:

O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe

Puis presser le bouton FixChecked et refermer HijackThis. Redémarrer illico en mode sans échec et supprimer le fichier exécutable cité plus haut.

Ensuite aller dans C:\WINDOWS\Prefetch. Ouvrir ce dossier. Et supprimer tout ce qui s'y trouve, tu dois donc vider intégralement le dossier. Ensuite refermer ce dossier.
Procéder au vidage de la corbeille. nettoyer les fichiers temporaires de firefox (via outils de la barre menu) Si Ccleaner est installé, l'utiliser pour faire un bon nettoyage de tout fichier temp ou tmp, cookies et autres inutilités. lancer le défragmenteur de disque et faire une bonne défragmentation.

Tu as des inutilités au démarrage machine. Pour les désactiver, tu peux utiliser le gestionnaire démarrage. Pour le lancer => Démarrer Exécuter. Y mettre msconfig puis Entrée (touche clavier) onglet Démarrage. Ici tu trouveras tout ce qui est démarré automatiquement.

Liste d'inutiles :

msnmsgr.exe
realsched.exe
MSCamS32.exe
jusched.exe
LSSrvc.exe
ashWebSv.exe

par ce chemin tu peux les réactiver en cas de besoin. mais tu peux aussi passer par HJT et dans ce cas voilà les cases à cocher:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

Tout ceci c'est inutile au démarrage. Ne pas oublier de supprimer navipromo avec tout ce que contient le dossier.

En tous cas ta machine devrait aller mieux maintenant, et ton problème popup devrait être résolu.