content pour toi

dans ton premier rapport hijack tu avait ceci
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
il faudrait que tu vérifies en faisant un autre hijack si tu as toujours cette ligne
si oui la supprimer

pour ce qui est de ton antivirus avast est bien mais il y a mieux
tu peut regarder sur ce lien tu verras la différence entre avast et antivir
à toi de voir
@+

salut

relance hijack et fixe la ligne

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

-----------------------

Faire
Démarrer==> Exécuter ==> Ecrire: services.msc
Dans le tableau qui s’ouvre chercher : Boonty Games - BOONTY
Double-clic dessus==> dans type de démarrage ==>Désactiver ==> en dessous
Arrêter

A++

ok shad c'est fait !
je l'ai mis sur désactivé.
il était déjà écrie arrêter !!
mais il est toujours là, je dois le laisser?
je pense l'avoir attraper sur un site jeu car je ne voyage pas temps que ça sur les sites bizarres.
je les évite au maximum.
en général les quelque infection que j'ai eu.
on me les a "passer" sur msn ou par Courier involontairement.
merci
pour le lien sur antivir intéressent je sais que avast nest pas le top .
en ce qui concerne antivir, peu il cohabiter avec avast ! ?
car je crois bien les avoir mis sur le pc de ma femme tout les deux ,ceux qui n'empêche pas qu'elle reçois plein de fenêtre intempestives.

en fait le "nec" serais d'avoir plusieurs antispy et antivirus et les faire tourner chaqu'un leurs tour régulièrement!!
ce qui est sur c'est que depuis ce nettoyage de fond ça tourne et il y a - de fenêtre a tir-la-rigo de spyndoctor et autre.
SUPER GRAND MERCI A VOUS

je vous laisse en week end ce soir!. nous parton 3days. biz;;

re

As tu fixer la ligne dans hijackthis?

bon week

A++

Bonjour à tous,

Veuillez faire bien attention s'il vous plaît aux résultats du rapport.
*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!

C:\WINDOWS\system32\anmqyxo.exe trouvé !
C:\WINDOWS\system32\cgyfmcr.exe trouvé !
C:\WINDOWS\system32\efffmenxh.exe trouvé !
C:\WINDOWS\system32\fmkhldifpy.exe trouvé !
C:\WINDOWS\system32\ipuzdinxde.exe trouvé !
C:\WINDOWS\system32\jofjjvk.exe trouvé !
C:\WINDOWS\system32\jvontt.exe trouvé !
C:\WINDOWS\system32\lgthnkntn.exe trouvé !
C:\WINDOWS\system32\lubeemkziu.exe trouvé !
C:\WINDOWS\system32\mbtwpulb.exe trouvé !
C:\WINDOWS\system32\nzyqllr.exe trouvé !
C:\WINDOWS\system32\opjhww.exe trouvé !
C:\WINDOWS\system32\ouimdw.exe trouvé !
C:\WINDOWS\system32\pafrgqshy.exe trouvé !
C:\WINDOWS\system32\pjtkjvjsl.exe trouvé !
C:\WINDOWS\system32\pyyqctmmu.exe trouvé !
C:\WINDOWS\system32\qbdelc.exe trouvé !
C:\WINDOWS\system32\qhypaiv.exe trouvé !
C:\WINDOWS\system32\svqrlwfbk.exe trouvé !
C:\WINDOWS\system32\tmtjkbf.exe trouvé !
C:\WINDOWS\system32\ubjkizqo.exe trouvé !
C:\WINDOWS\system32\uoqbjfdo.exe trouvé !
C:\WINDOWS\system32\wlkeink.exe trouvé !
C:\WINDOWS\system32\xicfxb.exe trouvé !
C:\WINDOWS\system32\zmqgewnbz.exe trouvé !

Comme vous pouvez le constater les fichiers ne sont PAS supprimés automatiquement.

Il est conseillé d'utiliser MoveIt! comme illustré ci-dessous.

Télécharge OTMoveIt.exe sur le bureau
----------------------------------------------------
= Copier le texte affiché en gras
C:\WINDOWS\system32\anmqyxo.exe
C:\WINDOWS\system32\cgyfmcr.exe
C:\WINDOWS\system32\efffmenxh.exe
C:\WINDOWS\system32\fmkhldifpy.exe
C:\WINDOWS\system32\ipuzdinxde.exe
C:\WINDOWS\system32\jofjjvk.exe
C:\WINDOWS\system32\jvontt.exe
C:\WINDOWS\system32\lgthnkntn.exe
C:\WINDOWS\system32\lubeemkziu.exe
C:\WINDOWS\system32\mbtwpulb.exe
C:\WINDOWS\system32\nzyqllr.exe
C:\WINDOWS\system32\opjhww.exe
C:\WINDOWS\system32\ouimdw.exe
C:\WINDOWS\system32\pafrgqshy.exe
C:\WINDOWS\system32\pjtkjvjsl.exe
C:\WINDOWS\system32\pyyqctmmu.exe
C:\WINDOWS\system32\qbdelc.exe
C:\WINDOWS\system32\qhypaiv.exe
C:\WINDOWS\system32\svqrlwfbk.exe
C:\WINDOWS\system32\tmtjkbf.exe
C:\WINDOWS\system32\ubjkizqo.exe
C:\WINDOWS\system32\uoqbjfdo.exe
C:\WINDOWS\system32\wlkeink.exe
C:\WINDOWS\system32\xicfxb.exe
C:\WINDOWS\system32\zmqgewnbz.exe
= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic sur MoveIt!
= Si redémarrage demandé ==> Clic : YES
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller dans la réponse
=======================================================

Des canned appropriés sont disponibles sur Zebulon ou d'autres forums.
NaviPromo est bien connu pour être très mal, voir absolument pas détecté par les éditeurs antivirus.
Pour en savoir d'avantage: "Adware NaviPromo"

Je découvre ce forum aux allures paisibles, félicitations pour le design, c'est très agréable !

Bonne fin de journée à tous.

Mad a écrit :

salut Mad et bienvenue sur VIC

tres bien vu, j'avais homis de voir cela dans le rapport

A++

bien
je fait cois maintenant ?

Bonjour Fredniro,

Dans la mesure où ton premier post remonte au 12/09/2007 et que nous sommes le 22, il semble bon de repartir complétement à zéro. De plus, Navilog 3.0.2 est passé en v3.0.4 avec d'importantes modifications techniques.

Relance un scan HijackThis puis télécharge la nouvelle release de Navilog1

Re-post les 2 rapports ci-dessous.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:55, on 23/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOCUME~1\NIROFR~1\LOCALS~1\Temp\Rar$EX01.078\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neufportail.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7522 bytes

et navi log:
Search Navipromo version 3.1.1 commencé le 23/09/2007 à 20:59:44,28

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 21.09.2007 a 18h00 by IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180


*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\niro frederic\Application Data ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 09/23/07 at 20:59:47.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/23/07 at 21:06:23 (return code = 0).


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

Fichiers trouvés :

anmqyxo.exe trouvé !
cgyfmcr.exe trouvé !
cgyfmcr.exe trouvé !
efffmenxh.exe trouvé !
fmkhldifpy.exe trouvé !
ipuzdinxde.exe trouvé !
ipuzdinxde.exe trouvé !
jofjjvk.exe trouvé !
jvontt.exe trouvé !
lgthnkntn.exe trouvé !
lubeemkziu.exe trouvé !
mbtwpulb.exe trouvé !
nzyqllr.exe trouvé !
opjhww.exe trouvé !
ouimdw.exe trouvé !
pafrgqshy.exe trouvé !
pafrgqshy.exe trouvé !
pjtkjvjsl.exe trouvé !
pyyqctmmu.exe trouvé !
qbdelc.exe trouvé !
qhypaiv.exe trouvé !
svqrlwfbk.exe trouvé !
tmtjkbf.exe trouvé !
ubjkizqo.exe trouvé !
uoqbjfdo.exe trouvé !
wlkeink.exe trouvé !
xicfxb.exe trouvé !
zmqgewnbz.exe trouvé !

* Scan C:\Documents and Settings\niro frederic\local settings\application data *



*** Recherche fichiers ***




*** Recherche cles registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :



3)Recherche Certificats :

Certificat Egroup absent !


*** Analyse Terminé le 23/09/2007 à 21:06:39,00 ***
voila

L'infection NaviPromo a été stoppée depuis la dernière fois.
En effet, on note qu'il n'y a pas de nouveaux fichiers téléchargé sur les 25 présents.

Réalise la procédure MoveIt! suivante.

Télécharge OTMoveIt.exe sur le bureau
----------------------------------------------------
= Copier le texte affiché en gras
C:\WINDOWS\System32\anmqyxo.exe
C:\WINDOWS\System32\cgyfmcr.exe
C:\WINDOWS\System32\efffmenxh.exe
C:\WINDOWS\System32\fmkhldifpy.exe
C:\WINDOWS\System32\ipuzdinxde.exe
C:\WINDOWS\System32\jofjjvk.exe
C:\WINDOWS\System32\jvontt.exe
C:\WINDOWS\System32\lgthnkntn.exe
C:\WINDOWS\System32\lubeemkziu.exe
C:\WINDOWS\System32\mbtwpulb.exe
C:\WINDOWS\System32\nzyqllr.exe
C:\WINDOWS\System32\opjhww.exe
C:\WINDOWS\System32\ouimdw.exe
C:\WINDOWS\System32\pafrgqshy.exe
C:\WINDOWS\System32\pjtkjvjsl.exe
C:\WINDOWS\System32\pyyqctmmu.exe
C:\WINDOWS\System32\qbdelc.exe
C:\WINDOWS\System32\qhypaiv.exe
C:\WINDOWS\System32\svqrlwfbk.exe
C:\WINDOWS\System32\tmtjkbf.exe
C:\WINDOWS\System32\ubjkizqo.exe
C:\WINDOWS\System32\uoqbjfdo.exe
C:\WINDOWS\System32\wlkeink.exe
C:\WINDOWS\System32\xicfxb.exe
C:\WINDOWS\System32\zmqgewnbz.exe
= Double-clic sur OTMoveIt.exe
= Dans le cadre de Gauche ==> clic-droit ==> coller
= Clic sur MoveIt!
= Si redémarrage demandé ==> Clic : YES
= Un rapport dans ==> C:\_OTMoveIt\MovedFiles\date du jour à copier/coller dans la réponse
=======================================================

As-tu encore des symptômes notoires ?
@++