je suis en train de m'occuper du pc de la mère de ma copine qui buggait sérieusement
j'ai fait les truc de base : nettoyage du disque et du registre par tuneup, un scan par bitdefender et suppression de tout les programmes et dossiers inutiles ou louches...
il a déjà l'air de mieux marcher la
mais j'ai un truc bizarre...
la "start up manager" de tuneup m'affiche un programme inconnu qui se lance a chaque démarrage : ohvcnyl.exe
ce nom de programme n'apparait qu'une fois sur le net (sur un rapport hijackthis datant d'il y a une semaine sur un forum espagnol... langue que je ne maitrise pas)
tuneup me donne le chemin d'accès : c:\windows\system32\ohvcnyl.exe ohvcnyl
mais une fois dans system32 ya rien...
si je le vire du démarrage avec tuneup il reviens au bout d'une minute
il n'apparait pas dans le menu démarrage de msconfig
quand je lance le gestionnaire de tache il est la mais disparait au bout d'une fraction de seconde (je l'ai vu grâce à une capture d'écran)
ça dépasse mes connaissances limitées
si quelqu'un connait ce truc ou a déjà eu a faire a lui...
merci d'avance
ps : je ne sais pas si je suis dans la bonne partie du forum, si ce n'est pas le cas merci de déplacer ce topic
La mère: Mon fils a un rhume.
Le docteur: Tuez-le et refaites un autre gosse
La mère: Bien Docteur. Merci.
Le docteur: Je vous en prie. Cela vous fera 23 €uros.
j'ai fait un scan hijackthis.... il ne mentionne pas la moindre fois "ohvcnyl"
je l'ai analysé avec http://hijackthis.de/fr et il relève que 3 entrées louches (que j'ai viré)
que faire...?
par ce que j'ai un peu peur de faire une connerie en supprimant juste les 2 entrées dans le registre...
edit :
bon bin j'ai essayer de le suprimer du registre et du démarage... il s'est régénéré
en fait il reste une entrée sur les 2
clé : HKEY_USERS\blablabla\software\microsoft\windows\ShellNoRoam\MUICache -> valeur : C:\windows\system32\ohvcnyl.exe -> données : "ohvcnyl"
la je suis perdu...
voila le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:43, on 29/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Télécharge Navilog1.exe (IL-MAFIOSO)
Enregistre-le sur ton Bureau.
Lance l'installation en double cliquant sur navilog.exe.
Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
(Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau)
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
! N'utilise pas l'option 2, 3 et 4 sans notre accord ! Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***" Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :
-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse
NOTE : Le rapport se trouve également ici : C:\fixnavi.txt
comme je l'ai dit ce n'est pas mon pc qui est infecté, c'est celui de la mère de ma copine
le problème c'est que je ne l'ai plus sous la main...
j'y retournerais sans doute le week end prochain, en attendant je ne peux rien faire a 100km de distance ^^
merci de ton aide en tout cas, je post tout ça dès que je peux
me revoila
ça y est j'ai enfin l'ordi sous la main donc voila le scan :
Search Navipromo version 3.5.0 commencé le 08/03/2008 à 14:21:35,21
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\HP_Propriétaire\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\HP_Propriétaire\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\HP_Propriétaire\menudm~1\progra~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\HP_Propriétaire\locals~1\applic~1" *
*** Recherche fichiers ***
C:\WINDOWS\Downloaded Program Files\EGAUTH.inf trouvé !
C:\WINDOWS\Downloaded Program Files\sysiasvc32.inf trouvé !
C:\WINDOWS\tmlpcert2007 trouvé !
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
Double clique sur le raccourci de Navilog1 présent sur ton Bureau.
Suis les instructions. Choisis ensuite l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.
L'utilitaire va t'informer qu'il va redémarrer l'ordinateur.
**Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts** Appuie maintenant sur une touche, comme demandé. (si ton PC ne redémarre pas automatiquement, fais-le manuellement)
Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"
Le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.
Poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Ainsi qu'un nouveau rapport Hijackthis.
Ferme Internet Explorer puis Démarrer/Panneau de Configuration/Options Internet. Choisis l'onglet Contenu puis onglet Certificats. Regarde si tu trouves les programmes suivant (en particulier dans Editeurs approuvés):
Montorgueil VIP "Sunny Day Design Ltd"
Si tu les trouves, fais ceci :
* Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau. * Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.
Ensuite pour chacun des certificats présents sur ton bureau :
* Va sur le site Web : http://www.bleepingcomputer.com/su [...] channel=35 * Copie/colle ceci dans la case 'Link to Topic' : le nom du certificat (Montorgueil ,......) * Copie/colle ceci dans la case 'Browse to the File' : Le certificat correspondant que tu avais exportés vers ton bureau
Si c'est fait, supprime enfin le certificat présent sur ton bureau.
Clean Navipromo version 3.5.0 commencé le 08/03/2008 à 14:45:12,09
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS
Mode suppression automatique avec prise en charge résultats Catchme et GNS
*** Creation backups fichiers trouvés par Catchme ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
Copie C:\WINDOWS\system32\ligycpnqa.dat réalisée avec succès ! Copie C:\WINDOWS\system32\ligycpnqa.exe réalisée avec succès ! Copie C:\WINDOWS\system32\ligycpnqa_nav.dat réalisée avec succès ! Copie C:\WINDOWS\system32\ligycpnqa_navps.dat réalisée avec succès !
*** Suppression des fichiers trouvés avec Catchme ***
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:26, on 08/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
)
