Infecté?

[fabien024]

Bonsoir, je viens par ce message voir si des fichiers douteux hantent mon ordi je vous poste les rapports et attend vos réponses
MERCI
PS je compte changer d'anti-virus et acheter une solution complète (kaspersky....) anti-virus+pare feu..
-----

[invite275db609]

Bonjour

Tu es effectivement infecté par magic.control/Navipromo, je vais t'aider à désinfecter :

• Télécharge Navilog1 de Il-Mafioso.
• Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
  
• Patiente jusqu'au message :
  *** Analyse Termine le ..... ***
• Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
• Poste le rapport en pièce jointe. Referme le bloc-note.
  Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

===========================

• Télécharge SearchLop de Sloshy.
• Décompresse l'archive dans un dossier (sur ton bureau) que tu nommeras SearchLop (Clique-droit sur le fichier, puis Extraire tout)
• Double-clique sur search_loop.bat
• Un rapport va etre généré, poste le ici, en pièce jointe.

==============================

Poste les rapports demandés : Navilog1 option1, et searchlop.

Bonne journée

[fabien024]

voilà les rapports...MERCI

[invite275db609]

Bonjour

Super, tu as bien posté le rapport de navilog, par contre, tu t'es trompé pour le 2eme rapport, tu m'as reposter un DiagHelp alors que je voulais le rapport de SearchLop de Sloshy, je l'attends dans ton prochain message.

• Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
• Au menu principal, choisis 2 et valide.
  
• Le fix va t'informer qu'il va alors redémarrer ton PC .
• Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
• Appuie sur une touche comme demandé.
  (si ton Pc ne redémarre pas automatiquement, fais le toi même)
• Au redémarrage de ton PC, choisis ta session habituelle.
  
• Patiente jusqu'au message :
  *** Nettoyage Termine le ..... ***
• Le bloc-note va s'ouvrir.
• Sauvegarde le rapport de manière à le retrouver.
• Referme le bloc-note. Ton bureau va réapparaitre.
  
  Note : Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
  Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter".
  Tape explorer et valide. Celà te fera apparaitre ton bureau.

============================== ===

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis poste le rapport généré (en pièce jointe) en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

=============================

Poste nous les rapports demandés : Navilog option2, KasperskyOnline, SearchLop et un nouveau rapport hijackthis.

Bonne journée

[A voir en vidéo sur Futura]

[fabien024]

voila les rapports j'espère ne pas me tromper bonne journée

[invite275db609]

Bonjour fabien

Super, impeccable, cette fois, tous les rapports sont là et ce sont les bons

On enchaine :

• Télécharge clean de Malekal_Morte, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
  
• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 1 et appuie sur Entrée pour valider.
• Poste le rapport (en piece jointe) qui apparait dans ta prochaine réponse.

============================== ====

J'ai besoin de confirmation pour le fichier detecté dans Kaspersky :
C:\WINDOWS\$hf_mig$\KB890859\S P2QFE\ntkrnlpa.exe Infecté : Trojan-Dropper.Win32.Agent.bwf
Logiquement, il me semble que ce fichier doit etre situé dans system32, je ne sais pas si je peux purement et simplement le supprimer ou s'il faut le remplacer par le fichier original contenu sur le CD de windows ...
Je me renseigne et repasse te dire quoi faire.

============================== ====

Clique sur Démarrer --> Exécuter --> Saisie ensuite ce qui suit :
SC stop FTRTSVC
Valide en cliquant sur Ok.
Recommence l'opération en saisissant ceci :
SC delete FTRTSVC
SC stop IDriverT
SC delete IDriverT

============================== ====

Tu peux deja désinstaller Navilog1 par Ajout/Suppression de Programmes, puis supprimer le dossier qui lui est associé : C:\Program Files\navilog1\

============================== ====

Où en sont tes dysfonctionnements ?? Comment se comporte ta machine ? As-tu encore des affichages de pub intempestives ?

Poste moi le rapport Clean option1, ainsi qu'un nouveau hijackthis.

Bonne journée

[fabien024]

RE dsl je n'était pas la de la semaine je poste les rapports, la machine ça va pouvez vous me dire ou j'en suis??? ya plus de virus ou autre MERCI

[invite275db609]

Bonjour

Super on touche au but :

============================== =====

• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 2 et appuie sur Entrée pour valider.
• Poste le rapport (en piece jointe) qui apparait dans ta prochaine réponse.

============================== =====

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

============================== =====

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

============================== =====

Cherche et supprime les fichiers/dossiers suivants (en gras), si présents :
C:\WINDOWS\$hf_mig$\KB890859\S P2QFE\ntkrnlpa.exe

============================== =====

Recachons nos fichiers et dossiers cachés (pour etre sur de ne pas faire une mauvaise manip ...)

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Désctive la case : "Afficher les fichiers et dossiers cachés"
• Active la case : "Masquer les extensions des fichiers dont le type est connu"
• Active la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

============================== =====

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait télécharger (sauf bien sur le firewall), tu peux aussi garder ATF-Cleaner.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Navipromo/Magic.Control/EgdAccess
Ton infection était Magic.Control/Navipromo, Trojan-Dropper.Win32.Agent.bwf

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne journée

[fabien024]

Merci beaucoup

[invite275db609]

Bonjour

Impeccable, il n'y a plus qu'a faire le reste de la procédure précédente, soit bien lire le dossier sur 'comment protéger sa machine' et porter plainte sur MalwareComplaints.

Bonne journée