Bonjour, je reprend, en partie, le post que j'avais édité il y a quelques jours :
 
"recement, j'ai enregistré le fichier nokia_19_jpg en provenance de msn.  
Je précise que je ne l'ai pas ouvert et que mon anti-virus bit defender la mis en quarantaine.  
 
J'ai regardé sur le forum comment s'en débarasser avec notement msnfix.  
 
J'ai lancé ccleaner et fais plusieurs scan en ligne ( kasspersky, panda, secuser.com ).  
 
Par contre, le lendemain, mon anti-virus m'a informé quil avait trouvé:  
-backdoor.sdbot.dexw ( il me semble que c'est ce fichier de nokia_19_jpg )  
-trojan.win32.Agent.bux ( trouvé par A2 )  
 
Je ne sais pas si c'est en rapport, mais du coup, ils sont repartis tout deux en quarantaine.  
J'ai alors désactivé la restauration du système et fait plusieurs scan en ligne et notement en mode sans échec."
 
Maintenant, en refaisant des scan avec A2, il me retrouve le trojan win 32 agent bux de temps en temps !
Mon pc se met a ramer, plus rien ne fonctionne, et je suis obliger de l'arreter en appuyant plus de 5 secondes sur boutton arret.  
 
j'ai essayé de poster le log hijackthis sur l'adresse que vous m'aviez donné, mais il semble que tout va bien !
Merci de bien vouloir prendre le temps de m'aider car je pense avoir un petit souci, et que les scan en ligne et autre logiciel ( spybot , ad aware ) ne me trouve rien, et très franchement je ne me sent pas trop de formater.
Merci
 
 

Salut,  
As-tu fais tous tes scans en mode sans echec ?

Bonsoir, en mode sans échec, j'ai fait a2, et avg free.
Je vais desuite désactiver la restauration système et refaire d'autre scan, je te tiens au courrant.

nokia_xx_jpg, ce n'est pas un virus mais un adware.
Les antivirus habituels ne le virent pas en général.
 
Essayes navilog1, c'est le seul qui m'en aie débarrassé définitivement.
 
http://perso.orange.fr/il.mafioso/ [...] ilog1.html
 

  Bonjour à tous ... .. .  
 
      Voilà, ayant pour une fois manqué 'totalement' de flair (!), je me retrouve avec cette sal... sur mon pc et je n'arrive pas à la virer !    
 
      Je vous joins le rapport post-analyse généré par le log. Navilog1 afin de savoir quelle option je dois choisir pour, je l'espère, éradiquer cette sal... Oui, oui j'y tiens à ce vocable car il s'applique parfaitement à une telle application !
 
      Merci pour votre aide plus qu'utile.
 
      Novalee
 
Search Navipromo version 3.3.3 commencé le 01/11/2007 à  9:44:05,90
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
 
Outil exécuté depuis M:\Program Files\navilog1
Mise à jour le 30.10.2007 à 19h00 par IL-MAFIOSO
 
 
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11  
 
 
*** Recherche Programmes installés ***
 
 
 
 
*** Recherche dossiers dans M:\WINDOWS ***
 
 
 
*** Recherche dossiers dans M:\Program Files ***
 
 
 
*** Recherche dossiers dans M:\Documents and Settings\All Users\Application Data ***
 
 
 
 
*** Recherche dossiers dans M:\Documents and Settings\Novalee\Application Data ***
 
 
*** Recherche dossiers dans M:\DOCUME~2\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 
 
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
 
Aucun fichier trouvé dans :
 
- M:\WINDOWS\system32
- M:\DOCUME~2\NOVALEE\LOCALS~1\APPLIC~1
 
 
 
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
 
* Recherche dans M:\WINDOWS\system32 *
 
* Recherche dans M:\DOCUME~2\NOVALEE\LOCALS~1\APPLIC~1 *
 
 
 
*** Recherche fichiers ***  
 
 
M:\WINDOWS\pack.epk trouvé !
 
 
*** Recherche clés spécifiques dans le Registre ***
 
 
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
 
1)Recherche fichiers connus:
 
2)Recherche Heuristique :
 
 
 
3)Recherche Certificats :
 
Certificat Egroup absent !
 
 
*** Analyse terminée le 01/11/2007 à  9:44:34,65 ***

Option 2 je dis.
 
 

(re) Alors vas pour l'option 2 ! Banzaïa !!!
 
 Merci 1.000 fois.
 
 Novalee

 
En général, ca suffit.
Il est parfois nécéssaire de passer en mode manuel, j'ai eu le cas une fois avec un malware bien pourri qui changeait de nom à chaque redémarrage.
 
   

(re) Bon, voilà le rapport post-nettoyage
 
Clean Navipromo version 3.3.3 commencé le 01/11/2007 à 11:26:45,70
 
Outil exécuté depuis M:\Program Files\navilog1
Mise à jour le 30.10.2007 à 19h00 par IL-MAFIOSO
 
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
 
Mode suppression automatique  
 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)  
 
*** Suppression avec sauvegardes résultats GenericNaviSearch ***
 
* Suppression dans M:\WINDOWS\System32 *
 
* Suppression dans M:\DOCUME~2\NOVALEE\LOCALS~1\APPLIC~1 *
 
*** Suppression dossiers dans M:\WINDOWS ***
 
*** Suppression dossiers dans M:\Program Files ***
 
*** Suppression dossiers dans M:\Documents and Settings\All Users\Application Data ***
 
*** Suppression dossiers dans M:\Documents and Settings\Novalee\Application Data ***
 
*** Suppression dossiers dans M:\DOCUME~2\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 
*** Suppression fichiers ***
 
M:\WINDOWS\pack.epk supprimé !
 
*** Suppression fichiers temporaires ***
 
Nettoyage contenu M:\WINDOWS\Temp effectué !
Nettoyage contenu M:\Documents and Settings\Novalee\Local Settings\Temp effectué !
 
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
 
1)Recherche fichiers connus
 
2)Recherche, création sauvegardes et suppression Heuristique :
 
*** Sauvegarde du Registre vers dossier Backupnavi ***
 
sauvegarde du Registre réalisé avec succès !
 
*** Nettoyage Registre ***
 
Nettoyage Registre Ok
 
*** Certificats ***
 
Certificat Egroup absent !
 
*** Nettoyage terminé le 01/11/2007 à 11:29:06,70 ***
 
-------------------------------   ----------------------------------
 
 Mais je suis tout de même 'inquiet' !
 
 Je retrouve dans le répertoire 'windows', 2 fichiers-application d'allure 'bizarroïde' que j'ai viré manuellement à plusieurs reprises et qui réapparaissent sans cesse !
 
 Ce sont: twunk_16 et twunk_32
 
 Je ne les avais encore jamais vus ces 2 là !/?
 
 Bon, je vais surfer quelques temps et je vais bien voir si j'ai des manifestations perturbatrices du style 'IE7' qui s'ouvre de lui-même, lenteur voir déconnexion lors des accès aux pages web, etc ...
 
 Merci encore.
 
 Novalee

twunk_xx.exe c'est en principe installé par MS Publisher.
http://support.microsoft.com/kb/139399/en-us
 
 

[re] Bah le truc bizarre c'est que j'ai pas 'MS Plublisher' sur mon pc ! / ? Enfin, je vais vérifier quand même ! Donc ce n'est pas un truc malin (malin = contagieux / grave).
 
Novalee
 

Ca doit pouvoir être installé par tout logiciel qui accède à un scanner ou un apn.
 

(re) Ha oui alors j'utilise de temps en temps un scanner et aussi un apn. Donc en théorie, pas trop d'inquiétudes à avoir.
 
 Sinon, il est difficile de savoir si le virus a été korréquement (à la Boudonni !) éradiqué !/? car je n'ose pas revenir sous 'msn'. Mais, je trouve tout de même que les temps d'accès à certaines pages web sont bien plus longs que d'habitude ! / ?  
 
 Si j'étais courageux, je crois bien que je reformaterais la machine, histoire d'être sûr à 200% ... .. . mais voilà je me tiens la flemme du siècle là ... .. .
 
 Novalee

ta quel anti virus ?
met le a jour et refais un scanne du pc ^^

(re) J'ai 'Avast' -=> je vais faire des scans méticuleux de chacun de mes HDDs. Je verrais bien s'il trouve quelque chose.
 Je pourrais aussi lancer le 'MSNfix' histoire de voir s'il retrouve quelque chose ?
 
 Novalee

eu oui  
si tu pense que ton pc rame encore  

(re) Bon, j'ai relancé 'msnfix' sur le hdd (système) et il ne trouve rien ! Ouf ... .. . Je vais refaire la manœuvre sur chacun de mes hdds car au moins 2 se sont trouvés infectés.
 
 Á plus tard... .. .
 
 Novalee

je mets un screenshoot de ce qui se passe de temps en temps sans que je ne fasse rien ? Cette fenêtre s'ouvre d'elle-même !
 

 
 Une idée ? Merci
 
 Novalee

eu je sais pas pourquoi il y a cette page qui apparait
depuis quand il apparait ?
fais un scanne d anti spyware

(re) Bah de mémoire c'est apparût +/- suite à l'infection par le virus 'nokia 19jpg' ... .. .
 
 Oui, je viens de D.L. une version free-trial de PestPatrol (v.8) que je vais me presser de lancer ! Sus aux ennemis !
 
 Bonne suite à vous, à toi ... .. .
 
 Novalee

Bonne chance, apparement, tu n'es pas seul..
 
http://www.google.com/search?q=int [...] urceid=ie7
 

oui , j ai aussi fais un recherche et j ai pu remarqué qu il etait pratiquement pour tous (sauf si je me trompe) recente

Bonsoir et désolé de ne pas avoir pu répondre avant.
J'ai fait le scan dont je pose le rapport, merci d'avance :
 
Search Navipromo version 3.3.4 commencé le 05/11/2007 à  0:09:55,75
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
 
Outil exécuté depuis I:\Program Files\navilog1
Mise à jour le 02.11.2007 à 12h00 par IL-MAFIOSO
 
 
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180  
 
 
*** Recherche Programmes installés ***
 
 
 
 
*** Recherche dossiers dans I:\WINDOWS ***
 
 
 
*** Recherche dossiers dans I:\Program Files ***
 
 
 
*** Recherche dossiers dans I:\Documents and Settings\All Users\Application Data ***
 
 
 
 
*** Recherche dossiers dans I:\Documents and Settings\PC\Application Data ***
 
 
*** Recherche dossiers dans I:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
 
 
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
 
Aucun fichier trouvé dans :
 
- I:\WINDOWS\system32
- I:\DOCUME~1\PC\LOCALS~1\APPLIC~1
 
 
 
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
 
* Recherche dans I:\WINDOWS\system32 *
 
* Recherche dans I:\DOCUME~1\PC\LOCALS~1\APPLIC~1 *
 
 
 
*** Recherche fichiers ***  
 
 
 
 
*** Recherche clés spécifiques dans le Registre ***
 
 
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
 
1)Recherche fichiers connus:
 
2)Recherche Heuristique :
 
 
 
3)Recherche Certificats :
 
Certificat Egroup absent !
 
 
*** Analyse terminée le 05/11/2007 à  0:10:51,79 ***

Et au fait, ......  encore une petite question, j'ai bit defender internet security v10 et quand je redémarre en mode sans echec, je n'ai pas la possibilité de le lancer pour analyser mon pc !  
J'ai bien le racourci sur le bureau et le logiciel dans "tous les programmes ", mais il ne le trouve pas quand je souhaite le lancer.
Quelqu'un sait pourquoi et ce qu'il faut faire ?
Merci d'avance

Personne ne sait ???  

Il me semble que bitdefender ne peut pas se lancer en mode sans échec.

Sinon j'ai vu sur le net que certains qui ce virus "nokia" ont chopés également AdobeR. Avez vous le fichier c:\windows\AdobeR.exe?

AdobeR.exe est un troyen assez facile à gicler.
 
Suffit de le killer dans le gestionnaire de tâches : il se laisse faire.
 
Puis de lancer msconfig en décochant son lancement automatique au démarrage.
 
Puis enfin de le rechercher dans le disque dur (avec l'option "afficher les fichiers cachés et systèmes" ) et de le supprimer.
 
A ma connaissance, il se réplique sur les lecteurs de stockage (les clés USB etc ...) en créant un autorun.exe

correction: autorun.inf (attributs du fichier: caché + système)
 
et c'est vrai qu'il est très facile à enlever.

Je viens de bien chercher et je n'ai pas ce fichier AdobeR.exe !
 
Par contre, a2 m'avait trouvé  
- le trojan.win.32.agent.bux
- Riskware.risk tool.win32.pskill.k
- Riskware.risk tool.win32.processor.20
- Riskware.risk tool.win32.reboot.f
 
et avg free m'avait trouvé :
- kernel32.dll
- hosts
 
Pensez-vous que cela est un lien avec mon ordinateur qui rame ?

pskill, processor et reboot viennent de msnfix. C'est une fausse alarme.
 
trojan.win.32.agent.bux est le cheval de troie à éradiquer.

Ok, merci pour les infos de pskill  processor et reboot.
 
Par contre pour trojan.win.32.agent.bux, ni mon anti-virus bit defender ni des scan en ligne ne me le trouve.
 
Le seul qui l'a trouvé, c'est A2 et je l'ai supprimé par son intermédiaire mais le problème est qu'il revient de temps en temps ! ( bien sur j'ai désactivé la restauration du système et scanner en mode sans échec ).
 
Y a t-il un fix spécifique a ce trojan s'il vous plait ?

J'ai rien trouvé sur le net.
 
Ce que tu peux faire, c'est d'envoyer le fichier contaminé sur ce site: http://www.virustotal.com/fr/
 
Il te donneras la liste des anti-virus pouvant le détecter.

ok, c'est sympa, merci, j'essai cet après-midi et je te tiens au courant.....

Bon, et ba je ne peux pas essayer car le fichier trojan.win.32.agent.bux a disparu de mon ordi !
 
Je pense que c'est avec A2 que j'ai du le supprimer, mais le souci c'est que mon ordi continu de ramer !
 
Alors si quelqu'un a une idée, ce sera la bienvenu, sinon, ce sera une soirée de formatage et de réinstalation de programmes .......... et franchement ca ne m'enchante guère !
 

Tiens , un peu de nouveau !!!!!
 
J'ai deux fenêtre qui s'ouvre :
 
internet explorer.exe "doit fermer"
suivi de drwtsn32.exe " doit fermer"
 
et mon ordinateur s'éteint tout seul !
Franchement c'est galère ! ......