retour accueil

Références



Cette page peut servir de référence pour localiser les éléments nuisibles les plus souvent rencontrés lors d'une infection par l'adware Navipromo. On peut y voir les répertoires, fichiers (et leurs alias), certificats, clés de registre. Non exhaustif, évidemment.



   Ajout/suppression de programmes  

INSTANT ACCESS
MailSkinner
dzfpqyotw -> processus aléatoire


 Répertoires / Fichiers


C:\webcams_live.exe -> Dialer:Dialer.KW No Désinfecté

C:\Documents and Settings\Nom\Menu Démarrer\Instant Access.lnk -> dialer.b No Désinfecté
C:\Documents and Settings\Nom\Local Settings\Application Data\Mozilla\Firefox\Profiles\ssd2gdes.default\Cache\D28992D0d01/eg_auth_1049.dll -> Trojan.P2E.cl : Erreur durant le nettoyage
C:\Documents and Settings\PROPRI~1\LOCALS~1\Temp\ICD1.tmp\eg_auth_1049.dll Infecté Trojan.Win32.P2E.cl
C:\Documents and Settings\Nom\Local Settings\Temporary Internet Files\Content.IE5\\0D2RGNO7\EGDACCESS_1074_XP[1].cab/EGDACCESS_1074.dll -> Dialer.InstantAccess.m : Nettoyer et sauvegarder

C:\Program Files\DSB -> Dialer:dialer.mr No Désinfecté
C:\Program Files\INSTANT ACCESS
C:\Program Files\kit_pc -> Dialer:Dialer.Gen
C:\Program Files\MailSkinner
C:\Program Files\Masta\aaalesbiennes.exe -> Dialer:Dialer.OY No Désinfecté
C:\Program Files\Montorgueil -> Dialer.Generic
C:\Program Files\TELES\skyDSL\Proxy\http\d\scripts.dlv4.com\binaries\egaccess4\egaccess4_1058_XP.cab[egaccess4_1058.dll]

C:\WINDOWS\eg_auth_1049.dll
C:\WINDOWS\ExeDialer.exe -> Dialer.EGroup.k : Nettoyer et sauvegarder
C:\WINDOWS\NsUpdate.exe ( Dial/Laet-B premium rate dialer)
C:\WINDOWS\p2esocks_1049.dll -> Trojan.P2E.cl : Ignoré
C:\WINDOWS\pcconfig.dat -> Dialer:dialer.bny
C:\WINDOWS\sponsoradulto.dll -> Dialer:Dialer.BCI
C:\WINDOWS\tmlpcert2005 -> Dialer:dialer.b No Désinfecté
C:\WINDOWS\WMCRRS.exe -> Trj/Agent.BPB Disinfected
C:\WINDOWS\WMCRRSAPI.DLL

C:\WINDOWS\Downloaded Program Files\EGAUTH.inf
C:\WINDOWS\Downloaded Program Files\EGCOMSERVICE_pack.inf -> Dialer:Dialer.B Not disinfected
C:\WINDOWS\Downloaded Program Files\EGDACCESS.inf -> Dialer:dialer.b
C:\WINDOWS\Downloaded Program Files\sponsoradulto.dll Dialer:Dialer.BCI

C:\WINDOWS\system32\\__delete_on_reboot__msclock32.dll -> Adware.NaviPromo : Nettoyer et sauvegarder
C:\WINDOWS\system32\dialx.exe -> Dialer:Dialer.OY No Désinfecté
C:\WINDOWS\system32\eg_auth_srv_1049.dll
C:\WINDOWS\system32\EGACCESS.dll Dialer:Dialer.DNZ No Désinfecté
C:\WINDOWS\system32\egaccess4_1058.dll Dialer:Dialer.DNZ No Désinfecté
C:\WINDOWS\system32\EGCOMLIB_1035.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\EGCOMLIB2.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\EGCOMSERVICE_1039.0ll-> Downloader.Wintrim.b : Nettoyer et sauvegarder
C:\WINDOWS\system32\EGDHTML_1028.dll -> Downloader.Wintrim.al : Nettoyer et sauvegarder
C:\WINDOWS\system32\EGDACCESS.dll
C:\WINDOWS\system32\EGDACCESS_1070.dll : UPX!
C:\WINDOWS\system32\EGDial.dll -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\eglivecam_1027.dll -> Spyware.LiveCam : Nettoyer et sauvegarder
C:\WINDOWS\system32\LiveService.dll -> Dialer:Dialer.B
C:\WINDOWS\system32\LiveService_10.dll -> Dialer:Dialer.B No Désinfecté
C:\WINDOWS\system32\msclock32*.dll -> Adware.NaviPromo : Nettoyer et sauvegarder
C:\WINDOWS\system32\msegcompid.dll Adware:adware/navipromo No Désinfecté
C:\WINDOWS\system32\mseggrpid.dll -> dialer.b No Désinfecté
C:\WINDOWS\system32\msplock32*.dll -> Adware.NaviPromo : Nettoyer et sauvegarder
C:\WINDOWS\system32\sysinetsvc32.dll
C:\WINDOWS\system32\syswbsvc32.dll -> Dialer:Dialer.FWJ No Désinfecté

c:\windows\system32\dzfpqyotw_navps.dat
c:\windows\system32\dzfpqyotw_navup.dat
c:\windows\system32\dzfpqyotw.exe
c:\windows\system32\dzfpqyotw.nav.dat
c:\windows\system32\dzfpqyotw.dat

C:\WINDOWS\Temp\IAUninstall\uninstall.exe -> Dialer:Dialer.B No Désinfecté
C:\WINDOWS\Temp\tmp* Détecté: Adware.Navipromo.K



Certificats


options internet / onglet "contenu" / onglet "certificats" / "éditeurs approuvés" :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

Exemples :
-Délivré à: Electronic-group
-délivré par: Thawte Code Signing CA
-Date d'expiration: 16/09/2007
-Nom convivial: aucun

electronic-group thawte code signing CA valable jusqu'au 16/09/07
MONTORGUEIL thawte code signing CA valable jusqu'au 8/01/2005


Registre


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/eg_auth_1040.dll
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/EGDACCESS_1072.dll]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/EGDACCESS_ASPIV4_1072.dll]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/eglivecam_1030.dll]

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dzfpqyotw"="c:\\windows\\system32\dzfpqyotw.exe dzfpqyotw"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\dzfpqyotw]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\dzfpqyotw]
"UninstallString"="c:\\windows\\system32\\itkjcyf.exe -uninstall"
"DisplayName"="itkjcyf"
[HKU\S-1-5-21-3269134976-1466538746-2201053297-1008\Software\Emsi Software GmbH\a-squared\Allowed]
"C:\\windows\\system32\\dzfpqyotw.exe"="d94bae24a4662c622012afd87fb61009"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\\WINDOWS\\eg_auth_1040.dll"=dword:00000001
"C:\\WINDOWS\\eg_auth_1049.dll"=dword:00000001
"C:\\WINDOWS\\system32\\EGDACCESS_1072.dll"=dword:00000001
"C:\\WINDOWS\\system32\\EGDACCESS_ASPIV4_1072.dll"=dword:00000001
"C:\\WINDOWS\\System32\\eglivecam_1030.dll"=dword:00000001

[HKLM\SOFTWARE\Classes\CLSID\{39EA2F6F-3F50-4F58-9C63-4B3D53B0926E}\InprocServer32]
@="C:\\WINDOWS\\eg_auth_1049.dll"

[HKU\S-1-5-21-329068152-2049760794-725345543-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\windows\\system32\\dzfpqyotw.exe"="itkjcyf"
[HKU\S-1-5-21-1177238915-117609710-725345543-1008\Software\Microsoft\Windows\CurrentVersion\Run]
"Instant Access"="rundll32.exe C:\\WINDOWS\\eg_auth_1040.dll,InstantAccess /L"
[HKU\S-1-5-21-2856520603-2322712386-1997616605-1003\Software\MailSkinner]
"prog_site_url"="http://www.mailskinner.com/?grpid=35"
"update_url"="http://www.mailskinner.com/binaries/update.epk"

[HKCR\PHONEACCESSEXE.PHONEACCESSEXE] -> Dialer:dialer.fgw No Désinfecté

[HKCR\Interface\{C7EFC431-CB29-435F-8BCD-D24B77530649}] -> Dialer:dialer.ags No Désinfecté
[HKCR\Interface\{F8ACA5A0-060A-478A-8368-1407780D2251}] -> dialer.b

[HKCR\TypeLib\{AD9B275B-E42D-4C7F-9FFB-29B5FB81688B}] -> dialer.b Not disinfected



Haut de la page