Posté le: 06 Sep 2007 13:36 Sujet du message: [Résolu] tadjor.exe pages de pub
bonjour
j'ai des pages de pub qui montent sans cesse
j'ai lancé F-secure blacklight, il a trouvé tadjor.exe et d'autres choses.
j'ai lancé Hijackthis et Navilog1 je joins les rapports. de plus je n'arrive plus à ouvrir Navilog1.
maintenant je ne sais plus quoi faire !!
si quelqu'un peut m'aider? d'avance merçi
rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:39:50, on 06/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Search Navipromo version 2.0.9 commencé le 06/09/2007 à 13:04:12,87
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\lolo\Application Data ***
*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!
Fichiers trouvés :
C:\WINDOWS\system32\tadjor.exe trouvé !
Fichiers suspects :
Aucun Fichier suspect trouvé !
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
C:\WINDOWS\system32\cbadd.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\pqstv.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\uvvwa.bak1 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\cbadd.bak2 trouvé ! infection Vundo possible non traité par cet outil !
C:\WINDOWS\system32\pqstv.bak2 trouvé ! infection Vundo possible non traité par cet outil !
O2 - BHO: (no name) - {202ED369-ADCC-423C-AF20-49DFBE3735A5} - (no file)
O2 - BHO: (no name) - {61EEDE4B-69BE-4789-874E-EAAC1DD8DD46} - (no file)
O2 - BHO: (no name) - {6981AA3C-F321-0B34-32D5-B51FEEC486D8} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O2 - BHO: (no name) - {FA0AA99A-F065-4141-BF00-CFD5D119424E} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: ddabc - C:\WINDOWS\system32\ddabc.dll (file missing)
O20 - Winlogon Notify: ljjklmn - ljjklmn.dll (file missing)
O20 - Winlogon Notify: mljgdec - mljgdec.dll (file missing)
O20 - Winlogon Notify: vtsqp - C:\WINDOWS\system32\vtsqp.dll (file missing)
Clique sur Fix Cheched et confirme le message qui suit.
Supprime ta version de Navilog et retélécharge la sur ton bureau. Si ton antivirus couine un peu durant le téléchargement ou l'execution, dis lui d'ignorer les fichiers trouvés:
double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Au menu principal, choisis 2 et valide.
Le fix va alors t'informer qu'il va redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
"*** Nettoyage Termine le ..... ***"
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre
Fais Menu Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats"
Si tu trouves ces certificats ci-dessous en particulier dans "éditeurs approuvés", supprime les :
Va dans le dossier C:\Program Files\Trend Micro\HijackThis
Recherche le fichier HijackThis.exe et renomme le en candela.exe (Clic droit sur le fichier puis Renommer)
Poste un nouveau log HijackThis et dis nous si tu as encore des pages publicitaires.
N'oublie pas de poster le rapport Cleanavi _________________
j'ai fais tout comme tu as dis jusqu'a que l'ordi redémarre tout seul après rien ne se passe.*** nettoyage terminé ... ne vient pas
j'ai supprimé les certificats
log Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:16, on 06/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal
Inscrit le: 07 Mar 2006 Messages: 6850 Localisation: Toulon
Posté le: 06 Sep 2007 22:17 Sujet du message:
Et tu as toujours des pages de pub quand tu es sur internet?
Supprime les fichiers suivants:
C:\WINDOWS\system32\cbadd.bak1
C:\WINDOWS\system32\pqstv.bak1
C:\WINDOWS\system32\uvvwa.bak1
C:\WINDOWS\system32\cbadd.bak2
C:\WINDOWS\system32\pqstv.bak2
Double clique sur Poste de travail puis sur ton disque C: et recherche si tu as un fichier qui s'appelle Cleannavi.txt.
Si c'est le cas, poste son contenu dans ta prochaine réponse.
Essaie de relancer Navilog1 avec l'option 1 (Recherche) et poste le rapport dans ta prochaine réponse. _________________
*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!
Fichiers trouvés :
C:\WINDOWS\system32\tadjor.exe trouvé !
Fichiers suspects :
Aucun Fichier suspect trouvé !
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
Relance HijackThis et enregistre le rapport obtenu sur ton bureau.
Fais ctrl + alt + suppr pour lancer le gestionnaire de tâches et choisis l'onglet Processus.
Recherche un processus (dans la colonne nom de l'image) dont le nom est tadjor.exe.
Si tu le trouves, clique droit sur le processus et choisis Terminer le processus.
Relance Navilog en double cliquant sur l'icone Navilog1.
Au menu principal, choisis 2 et valide.
Le fix va alors t'informer qu'il va redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
"*** Nettoyage Termine le ..... ***"
Le bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc-notes. Ton bureau va réapparaitre
Fais Menu Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats"
Si tu trouves ces certificats ci-dessous en particulier dans "éditeurs approuvés", supprime les :
j'ai démarré en mode sans echec
j'ai lancé Hijackthis
j'ai ouvert le gestionnaires des taches mais il n'y avait pas de procesus tadjor.exe ouvert.
j'ai lancé Navilog1 coché 2 dans le menu, l'ordinateur a bien redémarré mais toujours rien, le bureau s'affiche rapidement et rien ne tourne, dans le gestionnaire des taches : processus innatif 99%
rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:07:30, on 07/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Safe mode
Clean Navipromo version 2.0.9 commencé le 07/09/2007 à 13:43:56,95
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO
Mode suppression automatique avec prise en charge résultats Blacklight
j'ai relancé une recherche navilog1 voiçi le resultat:
Search Navipromo version 2.0.9 commencé le 07/09/2007 à 13:29:24,60
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\lolo\Application Data ***
*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!
Fichiers trouvés :
C:\WINDOWS\system32\tadjor.exe trouvé !
Fichiers suspects :
Aucun Fichier suspect trouvé !
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
Inscrit le: 07 Mar 2006 Messages: 6850 Localisation: Toulon
Posté le: 07 Sep 2007 14:05 Sujet du message:
Ben on va faire la lessive à la main, alors!
Imprime ces instructions ou copie-colle les dans un fichier .txt que tu sauvegardes sur ton bureau: Tu n'auras pas accès à Internet en mode sans échec pour les lire.
Crée un point de restauration système:
Pour ça:
Fais Démarrer/Programmes/Accessoires/Outils système/Restauration système
Dans la fenêtre qui s'ouvre, sélectionne Créer un point de restauration.
Dans la fenêtre suivante, donne un nom au point de restauration que tu es en train de créer puis clique sur Créer.
Tu vas obtenir un message disant que le point de restauration a été créé corrctement. Clique sur Fermer
Supprime aussi si tu les trouves, les fichiers suivants:
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\nvs2.inf
Vide ta corbeille
Lance l'éditeur de registre: Démarrer/Exécuter, saisis regedit puis clique sur OK
Navigue jusqu'à la clé HKEY_CURRENT_USER\Software\Lanconfig (Si tu la trouves. Si tu ne la trouves pas, sors du registre sans rien toucher par la croix en haut de la fenêtre).
Clique droit sur Lanconfig et choisis supprimer
Sors de l'éditeur de registre par la croix en haut de la fenêtre
Fais Menu Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats"
Si tu trouves ces certificats ci-dessous en particulier dans "éditeurs approuvés", supprime les :
Relance Navilog avec l'option 1 (Recherche) et poste le rapport dans ta prochaine réponse.
Va sur ce site. Il permet de faire analyser un fichier par plusieurs antivirus en même temps.
Fais analyser le fichier c:\windows\system32\nwprovau.dll
Pour ce faire, une fois sur le site, clique sur Parcourir. L'arborescence de ton disque dur va s'ouvrir, recherche et sélectionne le fichier à analyser puis clique sur Submit.
Copie le résultat du scan dans ta prochaine réponse.
Ce fichier est un fichier légitime de Windows mais je ne comprends pas pourquoi il apparait dans ton log HijackThis. Normalement, il ne devrait pas. _________________
je n'ai pas trouvé les fichiers: pack.epk et nvs2.inf
voiçi le rapport Navilog1
Search Navipromo version 2.0.9 commencé le 07/09/2007 à 16:10:03,76
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\lolo\Application Data ***
Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.
[+] Started on 09/07/07 at 16:10:09.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .............................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 09/07/07 at 16:16:47 (return code = 0).
*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!
Fichiers trouvés :
Aucun Fichier trouvé !
Fichiers suspects :
Aucun Fichier suspect trouvé !
*** Recherche fichiers ***
*** Recherche cles registre ***
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
*** Analyse Terminé le 07/09/2007 à 16:18:36,70 ***
voiçi le resultat du scan:
Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1
File to upload & scan:
Service
Service load: 0% 100%
File: nwprovau.dll
Status: OK(Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5: b41b0cc4e32abfb0061de18b48a09903
Packers detected: -
Bit9 reports: No threat detected (more info)
Scanner results
Scan taken on 07 Sep 2007 14:11:35 (GMT)
A-Squared Found nothing
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Rising Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing
Powered by
Disclaimer
This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.
Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita.
Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.
Virus definitions are updated every hour. There is a 10Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.
Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.
Sponsored by donations (in random order) from: Stormbyte Technologies LLC, The ClamAV project, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, HotelScraper.com, people who donated in the past, and some people who prefer to remain anonymous... many thanks to all!
--------------------------------------------------------------------------------
Statistics
Last file scanned at least one scanner reported something about: 1.exe (MD5: e0b388175726bc7d391867350556e4ba, size: 23116 bytes), detected by:
Scanner Malware name
A-Squared X
AntiVir W32/Virut.U
ArcaVir X
Avast Win32:Small-GWM
AVG Antivirus Win32/Virut
BitDefender Win32.Virtob.V
ClamAV W32.Virut.Gen.C-5
CPsecure W32.Virut.L
Dr.Web Win32.Virut.5
F-Prot Antivirus X
F-Secure Anti-Virus Virus.Win32.Virut.o
Fortinet X
Kaspersky Anti-Virus Virus.Win32.Virut.o
NOD32 Win32/Virut.O
Norman Virus Control W32/Virut.N
Panda Antivirus X
Rising Antivirus X
Sophos Antivirus X
VirusBuster Win32.Virut.G
VBA32 Virus.Win32.Virut.f
You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives
We are not affiliated with any third parties that conduct tests using this service.
Inscrit le: 07 Mar 2006 Messages: 6850 Localisation: Toulon
Posté le: 07 Sep 2007 15:30 Sujet du message:
Le log Navilog est propre et le fichier nwprovau.dll est bien celui d'origine.
Est ce que ton PC fonctionne correctement maintenant? Les pages de pub ont-elles disparu?
Puisqu' AVG Anti-spyware est déjà installé sur ton PC, lance le.
Mets à jour la base virale: Dans la fenêtre principale, clique sur le lien Mise à jour.
Une fois la mise à jour terminée, va dans le menu Analyse, choisis l'onglet Paramètres. Sous Comment réagir, clique sur Actions recommandées et choisis Quarantaine. <-- Important sous peine d'être obligé de relancer le scan)
Dans le menu Analyse/Onglet Analyser, choisis Analyse complète du système.
A la fin du scan, clique sur le bouton Appliquer toutes les actions (<-- Important sous peine d'être obligé de recommencer le scan) pour mettre en quarantaine les objets trouvés par l'analyse.
Clique enfin sur Enregistrer le rapport puis, sur Enregistrer le rapport sous.
Enregistre le rapport de scan dans le répertoire Mes Documents de façon à le retrouver facilement et poste le dans ta prochaine réponse.
Inscrit le: 07 Mar 2006 Messages: 6850 Localisation: Toulon
Posté le: 07 Sep 2007 17:07 Sujet du message:
Contente que ton problème soit résolu.
Pour finir la désinfection, fais ceci:
Tu as trop d'anti-troyens sur ton PC.
Windows Defender, Spyware Terminator et AVG AS.
Il faut que tu n'en conserves qu'un avec bouclier temps réeel.
Désinstalle les autres ou désactive leur bouclier temps réel.
Désinstalle tous les outils que je t'ai fait installer (HijackThis, Navilog)
Vide les points de restauration système qui sont inévitablement infectés.
Ceci t'évitera de remonter un point de sauvegarde infecté si un jour tu veux lancer une restauration système.
Pour cela
Dans Panneau de configuration/Système/onglet Restauration du système, coche Désactiver la restauration du système sur tous les lecteurs puis clique sur OK.
Tout de suite après, décoche la case Désactiver ... puis clique sur OK de façon à remettre la restauration système en fonction.
Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints
Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.
Enregistre toi sur le forum à partir du bouton register en haut :
- Si tu as plus de 13 ans, choisis : I Agree to these terms and am over or exactly 13 years of age
- Si tu as moins de 13 ans, clique sur : I Agree to these terms and am under 13 years of age
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection NaviPromo: Tadjor.exe)
Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
j'ai cliqué sur le lien www.malwarecomplaints mais l'accès est interdit
ça écrit: Forbidden you don't have permission to acces/viewtopic.php on this server.
encore une petite chose: j'ai essayé de désintaller Hijackthis dans panneau de configuration/ ajout,suppression de programme mais lorsque je clique supprimer ça monte: fichier introuvable.
j'ai essayé avec Ccleaner c'est pareil
Hijackthis a l'air de bien fonctionner.
est-ce imprtant de le supprimer??
Affiche les fichiers cachés: 
voiçi les rapports:
