probleme anti virus warning

[dje]

bonjour a tous,

je suis envoyé par ma soeur jennifer qui vous a parlé de mon probleme et comme demandé je poste un nouveau sujet en esperant pouvoir trouver un peu d'aide. je viens de faire un nettoyage avc ccleaner deja si jamais voici donc mon soucis,

rentré de vacance,j'ouvre mon pc, et que vois je... un encadré :

warning attack detected
possible harmfull action has been detected from remote host
antivirus engine has detected possible action from remote computers on the network,blasters/sastser.Variant worm behavior detected.You have to register your copy to get full protection feature set and an ability to defeat upcoming  threats. To begin online registration ,please click 'active now' button below... et ensuite en dessous un click active now et un autre continue unprotected ,ca revient toujorus quand j'ouvre une page internet ou mon pc donc voilà, j'espère que vous pourrez m'aider...je suis sous windows xp et anti virus f secure..

merci a vous

jerome

[dje]

j'ai oublié de signaler en fait que c'est vista anti virus 2008, security center..et ca se met dans ma barre en bas a droite...merci

[saturnin]

Bonjour,

t'est sous xp ou vista ?¿

a 1ere lecture je dirais que t'est sous xp, et que ton anti virus est pour vista.

Les deux système sont de crosoft, mais différant aussi en apparence que dans certaines profondeur.

fin je dis sa pour essayer d'avancer un peu le boulot au helpeur, mais ton idée me parait louche d'utiliser un système et un soft de protection pour un autre.

bon courrage, t'inquiette pas ils vont pas tarder a éradiquer ce ti souci.

[jennifer]

comme c'est noté dans le 1er message de jerome, il l'a dit, il est sous xp et son anti virus n'est pas vista mais f secure...

[jennifer]

je crois que tu n'as pas du bien comprendre ni bien lire le message,...quand tu dis que notre idée te parait louche d'utiliser cela, il n'a pas utilisé vista 2008 comme anti virus, il est arrivé comme ca sur le pc qd nous sommes rentrés de vacance.. l'anti virus que on utilise est f secure et ca a tjrs eté le cas...

[no.ppp]

Hello,

C'est moche tout çà..

Télécharge HijackThis (de Trend Micro)
Installe le par défaut (C:\Program Files\Trend Micro\HijackThis)
Lance HijackThis en double-cliquant sur l'icône HijackThis
Clique sur Do a system Scan only and Save a Logfile
Un rapport sera généré dans le bloc-note (le rapport est également situé ici : C:\Program Files\Trend Micro\hijackthis.log)
Copie/colle le rapport dans ton prochain message.

[saturnin]

heu oui j'avais mal vu désolé.

son post est un peu pavé et pour trouvé les info fo un peu étendre :p

mais no.ppp a répondu et c'est le principal il me semble.
enfin dans le cas ou sa résous le souci.

pour ce qui est du truc qui se lance en retour de waccances il fraudais voir si il n'y a pas eu de maj automatique au redémarrage.
sp3, maj de secu ou autre.
si c'est pas le cas c'est que soit y a un trojan, soit le plus gros virus informatique a encore frappé.(c'est l'user )

De toute façon a ce niveau des choses il ne reste plus qu'a désinfecter, suivre les indication de no.ppp, et voir le résultat.

je donne qu'un avis passager, perso je suis sous linux, et win je suis plus que rouillé. et complètement novice sur ce qui est de vista.

j'ai vu vista, j'ai tester vista(vite fait), et je suis retourné en courant a nux!.

[jennifer]

lol ok merci a vous deux, demain matin a la première heure, je t'envoie le rapport...

malgré un anti virus, je comprends pas comment des choses comme ca arrive encore sur les pc :-( vive windows en effet:-)

merci a vous deux, bonne soirée et a demain alors

[no.ppp]

Hello,

À moins que tu n'habites à l'autre bout du monde, la première heure est largement dépassée :DDDD

À ce soir

[dje]

mille excuse voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:10, on 29/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\documents and settings\administrator\local settings\application data\ocoae.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\Anti-Virus\fsrw.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [ocoae] "c:\documents and settings\administrator\local settings\application data\ocoae.exe" ocoae
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program Files\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O8 - Extra context menu item: &Block this popup - C:\Program Files\F-Secure\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: IE Shield - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE Shield... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - F-Secure Automatic Update - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6584 bytes

[no.ppp]

Hello,

Pas de soucis.

Oulala..rien n'est à jour..

Tu as 2 infections visibles. Une que l'on va shooter avec Navilog1, puis l'autre avec un autre outil. Allez, on attaque.

Télécharge Navilog1 (d'IL-MAFIOSO) sur ton Bureau.
Double-clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation effectuée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valide.

/!\ Ne fais pas les choix 2, 3 ou 4 sans mon accord ! /!\

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le bloc-note.
(Le rapport est sauvegardé à la racine du disque C:\fixnavi.txt)

[dje]

Désolé pour tout ce retard,boulot bulot boulot pas facile :-(

voici le rapport navilog1..

Search Navipromo version 3.6.6 commencé le mer. 01/10/2008 à 23:21:18,20

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrator"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrator\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrator\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrator\startm~1\programs" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrator\locals~1\applic~1" :

ocoae.dat trouvé !
ocoae.exe trouvé !
ocoae_nav.dat trouvé !
ocoae_navup.dat trouvé !
ocoae_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le mer. 01/10/2008 à 23:24:27,56 ***


merci a vous

[no.ppp]

Bonjour,

Aucun souci.

On continue. Fais ce qui suit dans l'ordre.

Une partie de la procédure se faisant en Mode Sans Échec, je t'invite vivement à sauvegarder la page dans un fichier car tu n'auras pas accès à Internet. Tu peux également l'enregistrer dans un fichier .txt ou l'imprimer. L'enregistrement de la page Web reste la meilleure solution car tu garderas la mise en forme du texte.

• Si tu utilises Internet Explorer

Clique sur Fichier > Enregistrer sous
Dans Type, choisis : Archive web, fichier seul (*.mht)
Donne lui un nom et clique sur Enregistrer

• Si tu utilises Firefox

Clique sur Fichier > Enregistrer sous
Dans Type, choisis : Page Web, complète
Donne lui un nom et clique sur Enregistrer


--------------------


Double-clique sur le raccourci Navilog1 et laisse-toi guider.
Au menu principal, choisis l'option 2 et valide par ENTREE.

Le fix va t'informer qu'il va alors redémarrer ton PC.
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts.
Appuie sur une touche comme demandé.

(si ton PC ne redémarre pas automatiquement, redémarre-le normalement)

Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :

*** Nettoyage Termine le ..... ***

Le bloc-note va s'ouvrir.
Le rapport se situe à la racine de ton disque dur (C:\cleannavi.txt)
Referme le blocnote. Ton bureau va réapparaître.
Copie-colle le rapport final


----------------


Télécharge SDFix (créé par AndyManchesta)
Double-clique sur SDFix.exe
Choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

/!\ Je te conseille de copier ces instructions dans un document .txt car tu n'y auras pas accès en mode sans échec /!\

Redémarre en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé à la racine de ton disque dur C:\
Double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Appuie sur une touche pour redémarrer quand SDFix te demander d'appuyer sur une touche pour redémarrer.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira. Il porte le nom de Report.txt.
Copie/colle le contenu



Si SDFix ne se lance pas
Clique sur Démarrer > Exécuter
Copie/colle ceci :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.
Redémarre et essaie de relance SDFix.

[dje]

voici le rapport avec navilog1 option 2 dejà.. la suite arrive

Clean Navipromo version 3.6.6 commencé le sam. 04/10/2008 à 11:49:47,01

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Administrator"

Mise à jour le 29.09.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\startm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrator\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrator\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrator\startm~1\programs" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrator\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *


ocoae.exe trouvé !
Copie ocoae.exe réalisée avec succès !
ocoae.exe supprimé !

ocoae.dat trouvé !
Copie ocoae.dat réalisée avec succès !
ocoae.dat supprimé !

ocoae_nav.dat trouvé !
Copie ocoae_nav.dat réalisée avec succès !
ocoae_nav.dat supprimé !

ocoae_navps.dat trouvé !
Copie ocoae_navps.dat réalisée avec succès !
ocoae_navps.dat supprimé !

ocoae_navup.dat trouvé !
Copie ocoae_navup.dat réalisée avec succès !
ocoae_navup.dat supprimé !

C:\WINDOWS\prefetch\ocoae*.pf trouvé !
Copie C:\WINDOWS\prefetch\ocoae*.pf réalisée avec succès !
C:\WINDOWS\prefetch\ocoae*.pf supprimé !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le sam. 04/10/2008 à 11:53:52,48 ***

[dje]

en ce qui concerne sdfix impossible d'utiliser le runthis, rien ne s'ouvre, rien ne demarre.
Par contre mon probleme de base est résolu, la fenetre antivirus vista ne s'ouvre plus quand le pc redemarre, dejà une tres bonne chose