Virus ? Probleme de pub et bannière Résolu/Fermé

Question

Bonjour,Depuis environ une bonne semaine, j’ai eu la désagréable surprise de voir arriver sur mon PC (XP edition familiale) des tas de fenêtres publicitaires lors d’une connexion internet. Je suis un passionné d’aquariophile et j’utilise Internet que pour me connecter sur des sites d’aquariophilies et sur Google pour effectuer des recherches documentaires. En l’état, je ne pensais pas avoir un jour un virus ou autre truc de ce genre sur mon PC. Toujours est-il qu’aujourd’hui, c’est le cas !Avant rencontre du problème, le PC tournait uniquement avec :Kaspersky Anti-spyware FAI AOLAujourd’hui, le PC tourne avec :Kaspersky ZoneAlarmeSpybotAD-AwareAnti-spyware FAI AOLCCleanerSmitfraudFixCleanup40A-Squared (compte créé, mais en attente du mail pour activation)J’ai également effectuée la procédure ci-dessous :popups ouverture de fenetres internet publicitaires pop upJe colle ci-dessous le rapport de l’analyse avec SmitfraudFix :SmitFraudFix v2.53Rapport fait à  0:00:15,78, 03/06/2006Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFixOS: Microsoft Windows XP [version 5.1.2600] - Windows_NTFix executé en mode sans echec»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos FixGenericRenosFix by S!Ri»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé.  »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!SrchSTS.exe by S!RiSearch SharedTaskScheduler's .dll»»»»»»»»»»»»»»»»»»»»»»»» FinMais malheureusement, même avec tout cela, mon problème perdure. J’ai donc toujours des soucis de pub et changement de bannières (dont du pornographique !!!) sur les sites d’aquario que je fréquente et sur ici aussi. Certains m’ont dit que mon PC avait chopé ce bug après fréquentation de sites porno. Bon ok. Mais je précise, non pas pour me justifier, mais dans un soucis de ciblage pour mieux m’aider a essayer de résoudre mon problème que, je ne fréquente pas les sites porno ;-) Mes enfants ont aussi accès au PC, mais avec contrôle parental de mon FAI AOL.Voilà, je ne comprends pas comment j’ai pu chopé ce bug et désolé d’avoir fait si long ;-)Par avance, merci de votre aide.PatrickPS : je suis nul en informatique

bernie61 · Answer

hellook tu as donc fais tous les scan? adaware, spybot, kasperskyrin de spécial dans smitfrau, donc donne un rapport hijackTu charges HijackThis là et enregistre le dans un répertoire spécifique comme c:\ProgramFiles\Hijack\ :HijackThis direct download: http://209.133.47.12/~merijn/files/HijackThis.exehttp://ww11.spywareinfo.com/~merijn/downloads.htmlOu làhttp://www.spychecker.com/download/download_hijackthis.htmltu le lances « Do a system scan and save log » et sauves le fichier hijackthis.log ou tu copie/colle avec cliq droit de la souris icitutor là http://pageperso.aol.fr/balltrap34/demohijack.htm (merci Balltrap)a+

bernie61 · Answer

re0. Installe ce nettoyeur CCLEANER https://www.ccleaner.com/   ou lien direct là http://www.filehippo.com/download_ccleaner.html  (la flèche)Tutorial là https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.phpensuite*Configure ton ordi  pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes- afficher les fichiers et dossier cachés- afficher contenu dossier systèmedécocher- masquer fichiers protégés du dossier systèmePuis cliquer APPLIQUER à TOUS les Dossiers2. Relances Hijackthis et coche (puis FIX)O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXEO4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exeO16 - DPF: {1CD4E2DC-2DA0-4154-8723-38CB04FB6A58} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1062_XP.cab3. Effacer ces programmes .EXE et .DLL( et à la fin vider la corbeille)C:… ALCXMNTR.EXETu recherche sur l’ordi tous fichiers contenant egaccess4   et tu effaces5. vider les répertoires temps et la corbeille, en lançant CcleanerRefais un hijackthis de contrôle et dis nous où en sont les problèmes a+

bernie61 · Answer

rerelances hjiack et coche/fix cette ligneO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll Lances Hijackhis, cliq sur Open the MISC Tool sectionLà cliq sur Open Uninstal ManagerPuis à droite cliq SAVE List que tu enregistre, il ouvre une fenêtre, tu copie/colle le rapport sur le Foruma+

bernie61 · Answer

reEwido http://users.skynet.be/BernieClub/index.html#antitrojan scan BitDefender en ligne : https://www.bitdefender.com/toolbox/essayons ceciretirer une BHO Browser Helper Objectclef du registre: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\procedure manuelle :a. Démarrer/PanneauConfig/OptionsInternet/ onglet Avancé là Navigationb. Décocher la ligne Activer les extensions tierce partie du navigateurc. Terminer IE et d. Effacer le fichier .dll Si la BHO est utilisée il faut alors procéder idem mais en mode sans échec

bernie61 · Answer

reterminer IE = sortir de internet explorerje recherche une procédure lopxpa+

bernie61 · Answer

resuis cecihttp://users.skynet.be/BernieClub/index.html#lopxpa+

Pat95 · Answer

Salut,Le registre c’est bien tous les éléments qui se trouvent dans le poste de travail ?Si oui, je n’ai rien trouvé qui contient ceux-ci :les BHO s'installent dans le registre: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ ainsi que sous HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ et HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad les valeurs suivantes sont OK : {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}= AcroIEHelper.dll / {53707962-6F74-2D53-2644-206D7942484F} = SDHelper.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}= ssv.dll (Java\jre1.5.0_06\) / {BCBCD383-3E06-11D3-91A9-00C04F68105C} = AUHOOK.DLL (Windows ME Microsoft AutoUpdate) / {AAA288BA-9A4C-45B0-95D7-94D524869DB5} = WPDShServiceObj.dll (Windows Portable Device Shell Service Object) et celles de LSP : rsvpsp.dll / mswsock.dll / winrnr.dll / nwprovau.dll / wshbth.dllPar contre, je trouve des éléments « rsvpsp.dll » & « mswsock.dll » (pas cherché les autres car gros doute sur la suite à donner) que dois-je en faire ?Merci pour ton aide,Patrick

bernie61 · Answer

res'il y avait eu d'autres dll c'était à tester, celles là sont ok (à moins d'être infectée)lances lopxp post4a+

bernie61 · Answer

reil est écrit: LOPXP infection type LOP ou NewDotNet ou EGACCES... alors suivre procédure lopxpa. lopxp (de Moe31 CCM) à télécharger là http://users.skynet.be/BernieClub/tools.htmlb. le décomprimerc. cliq sur lop.bat pour le lancerd. il génère un fichier lop.txt qu'il faut copier/coller sur le Forum/Sécurité pour lecture et savoir quoi effacer sur le lien télécharge lopxp-MOE31ccm.zipa+

Pat95 · Answer

Voici le fichier : Rapport fait à 14:22:13,67 le 04/06/2006 Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est CC4F-BE07 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 03/06/2006 01:37 Lavasoft 02/06/2006 23:33 62 desktop.ini 02/06/2006 23:33 Apple Computer 02/06/2006 23:33 Identities 02/06/2006 23:33 Intervideo 02/06/2006 23:33 Microsoft 02/06/2006 23:33 SampleView 02/06/2006 23:33 Sun 02/06/2006 23:33 . 02/06/2006 23:33 .. 02/06/2006 23:33 Symantec 1 fichier(s) 62 octets 10 R‚p(s) 142605737984 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est CC4F-BE07 R‚pertoire de C:\Documents and Settings\All Users\Application Data 30/05/2006 00:30 Spybot - Search & Destroy 10/02/2006 00:20 Kaspersky Anti-Virus Personal 30/12/2005 21:54 MSN Search Toolbar 30/12/2005 20:50 Windows Genuine Advantage 18/04/2005 22:49 nView_Profiles 20/12/2004 12:22 GTek 18/12/2004 03:07 Viewpoint 18/12/2004 03:05 AOL 19/11/2004 22:02 .. 19/11/2004 22:02 . 01/01/2004 22:04 Symantec 01/01/2004 18:57 Motive 01/01/2004 18:44 QuickTime 01/01/2004 18:44 Apple Computer 01/01/2004 18:39 Adobe 01/01/2004 18:36 InterVideo 01/01/2004 16:51 Hewlett-Packard 01/01/2004 16:41 2729 hpzinstall.log 01/01/2004 15:59 62 desktop.ini 01/01/2004 15:59 Microsoft 01/01/2004 15:11 SBSI 2 fichier(s) 2791 octets 19 R‚p(s) 142605737984 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est CC4F-BE07 R‚pertoire de C:\Documents and Settings\Default User\Application Data 18/12/2004 01:13 Intervideo 18/12/2004 01:13 Sun 18/12/2004 01:13 Apple Computer 18/12/2004 01:13 SampleView 18/12/2004 01:13 Symantec 19/11/2004 22:02 .. 19/11/2004 22:02 . 01/01/2004 15:59 62 desktop.ini 01/01/2004 15:59 Microsoft 01/01/2004 15:06 Identities 1 fichier(s) 62 octets 9 R‚p(s) 142605737984 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est CC4F-BE07 R‚pertoire de C:\Documents and Settings\HP_Propri‚taire\Application Data 30/05/2006 20:44 Lavasoft 21/09/2005 23:09 Google 08/04/2005 23:02 FUJIFILM 19/01/2005 00:20 63920 GDIPFONTCACHEV1.DAT 15/01/2005 19:29 Sonic 15/01/2005 19:28 Leadertech 08/01/2005 13:54 Mozilla 28/12/2004 21:24 AdobeUM 28/12/2004 21:23 Adobe 20/12/2004 12:22 GTek 18/12/2004 23:59 Motive 18/12/2004 23:30 Help 18/12/2004 03:23 Macromedia 18/12/2004 03:08 AOL 18/12/2004 03:07 You've Got Pictures Screensaver 18/12/2004 02:51 39342 wklnhst.dat 18/12/2004 01:20 62 desktop.ini 18/12/2004 01:20 Identities 18/12/2004 01:20 Apple Computer 18/12/2004 01:20 Intervideo 18/12/2004 01:20 Microsoft 18/12/2004 01:20 SampleView 18/12/2004 01:20 Sun 18/12/2004 01:20 .. 18/12/2004 01:20 . 18/12/2004 01:20 Symantec 3 fichier(s) 103324 octets 23 R‚p(s) 142605733888 octets libres Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est CC4F-BE07 R‚pertoire de C:\Documents and Settings\PATRICK ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks Le volume dans le lecteur C s'appelle HP_PAVILION Le num‚ro de s‚rie du volume est CC4F-BE07 R‚pertoire de C:\WINDOWS\Tasks 01/01/2004 22:53 65 desktop.ini 01/01/2004 15:08 6 SA.DAT 01/01/2004 15:04 .. 01/01/2004 15:04 . 2 fichier(s) 71 octets 2 R‚p(s) 142ÿ605ÿ733ÿ888 octets libres ****************************************** Recherche dans Program files Le dossier C:\Program Files\C2Media n'existe pas *************** Fin du rapport **************** Merci, Patrick

bernie61 · Answer

rec'est bon pas de lop apparent, tu fais un scan en installant Ewidohttps://www.avg.com/en-ww/homepage?section=featuresa+

Pat95 · Answer

Ci-dessous le rapport : --------------------------------------------------------- ewido anti-malware - Rapport de scan--------------------------------------------------------- + Créé le:		18:00:01, 04/06/2006 + Somme de contrôle:	601E9C85 + Résultats du scan:	C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyer et sauvegarder	C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@aolfr.122.2o7[1].txt -> TrackingCookie.2o7 : Nettoyer et sauvegarder	C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@as1.falkag[1].txt -> TrackingCookie.Falkag : Nettoyer et sauvegarder	C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyer et sauvegarder	C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyer et sauvegarder	C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@weborama[1].txt -> TrackingCookie.Weborama : Nettoyer et sauvegarder	C:\Documents and Settings\HP_Propriétaire\Cookies\hp_propriétaire@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyer et sauvegarder::Fin du rapportRien de méchant, non ?Merci,Patrick

bernie61 · Answer

reen effet rien de bien dangereuxoù en sont tes pbm?a+

Pat95 · Answer

Oui le problème est toujours là. A la différence que Explorer n’arrive plus à ouvrir les pages de pubs. Mais j’ai toujours les fenêtres qui s’ouvrent et les bannières qui sont remplacées.Je suis maudit et en totale déprime… ;-)J’ai refait un scan avec Ad-aware – Spybot – Ewido et plus rien à signaler.J’ai aussi lancé un nettoyage avec Ccleaner.Pas drôle ce truc :-(A+,Patrick

Pat95 · Answer

Re-moi,J'ai relancé un scan avec Kaspersky et il vient cette fois de me trouver cela : https://securelist.fr/?VN=not-a-virus:Porn-Dialer.Win32.EgroupDial.wL'anti spyware AOL me l'a déjà bloqué plusieurs fois. Aurait-il réussi à passer malgré tout, un jour...Je le supprime et te tiens au courant de la suite.a+,Patrick

Pat95 · Answer

Kaspersky m’a bloqué aussi ça. Ca ne semble pas être bien loin du premier. https://securelist.fr/?VN=not-a-virus:Porn-Dialer.Win32.EgroupDial.wEt là, immédiatement sur le net, il me bloque l’accès à C:\windows\system32\wasfnoextz.exe en me recommandant de le supprimer. Mais quand je dis ok, il me dit qu’il est impossible de supprimer l’objet ? J’ai lancé une recherche sur le poste de travail avec « wasfnoextz », mais sans résultat.Et en moins de 2 minutes de connexion, je me rends compte que le problème est toujours là (pubs/bannières) !Découragent…Qu’en penses-tu ?Merci,Patrick

bernie61 · Answer

reConfigure ton ordi  pour tous scan à exécuter complétement, il faut pouvoir scanner tous les dossiers caché et système donc faire :Démarrer/PanneauConfiguration/OptionsDossiers /ongletAffichage et là cocher les lignes- afficher les fichiers et dossier cachés- afficher contenu dossier systèmedécocher- masquer fichiers protégés du dossier systèmePuis cliquer APPLIQUER à TOUS les Dossiersrefais une recherche de C:\windows\system32\wasfnoextz.exeet effaces le manuellement, si résiste utilise Procédure effaceur HT: ouvrir Hijackthis là en bas droite CONFIG puis onglet MISCtools, là " Delete a file on reboot ", cliq dessus et suivre chemin de fichier à effacer, il indique alors " voulez-vous redémarrer maintenant ", cliq sur NON si d'autres fichiers sont à sélectionner et à nouveau " Delete a file on reboot " .. puis cliq OUI quand tous les fichiers sont sélectionnéspeux-tu lister le contenu de clef du registre: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\a+

bernie61 · Answer

repour les clefs HKLM qu'est ce qui après les {...}a+

bernie61 · Answer

re c'est okHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}  = googleHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = msnles 2 première j'ai aussia+

Pat95 · Answer

Ok.Encore une alerte de Kaspersky (sans être connecté à Internet) qui me renvoi pour info ici :https://securelist.fr/?VN=not-a-virus:AdWare.Win32.NaviPromo.tJ'ai supprimé.a+,PatrickPS : tout à l'heure, je suis resté connecté environ 10 minutes, j'ai fait un surf et R.A.S. pendant cette période. Les dieux seraient-ils avec moi :-) J'aurai pas du l'écrire, ça va me porter malheurs :-o

bernie61 · Answer

rerefais un scan avec Ewidoa+

bernie61 · Answer

reok, hors connection refais un scan complet Kasperskya+

Pat95 · Answer

Salut,J'ai lancé le scan dans la nuit et tout est ok.Là, je suis au boulot. Ce soir, je me fais un bon surf et je te tiens au courant.a+,Patrick

Pat95 · Answer

Ben après plus d’une ½ heure de connexion, pas une seule pub et les bannières sont ok.Tout semble être de nouveau normal :-)Tous mes remerciements pour l’aide précieuse que tu m’as apportée.Bonne continuation,Patrick

bernie61 · Answer

rede rien bon surf a+

clementine41 · Answer

bonjour je pense que mon pc est infecté je recois que des pubs et il marche au ralenti j'ai fais une analyse avec navilog1 pouvez vous me la controler et me dire ce que je dois faire merci 
Search Navipromo version 3.4.5 commencé le 19/02/2008 à 20:18:14,67

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Mise à jour le 11.02.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11 
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\clementine\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\clementine\locals~1\applic~1" *** 



*** Recherche dossiers dans "C:\Documents and Settings\clementine\MENUD?~1\PROGRA~1" *** 


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\clementine\locals~1\applic~1" * 



*** Recherche fichiers *** 




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\clementine\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 19/02/2008 à 20:19:12,09 ***

rorostarr · Answer

salut a tous je suis aussi embeter avec des pubs voila le rapport!
merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:41:31, on 19/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winsos\WINSOS.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SPC500NC_Monitor] C:\WINDOWS\Philips\SPC500NC\Monitor.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [warn default inter for] C:\Documents and Settings\All Users\Application Data\Time Dead Warn Default\dart online.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [VoloRunOnce100] regsvr32.exe /s "C:\Program Files\Fichiers communs\Autodesk Shared\brep.ocx"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [owns 64] C:\DOCUME~1\ADMINI~1\APPLIC~1\FLAWLO~1\each chic.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

maxi62 · Answer

bonjour,j'ai le mm probleme j'ai des pub tjrs je n'arrive pas a m'en debarrasser
aidez moi svp

RIDARUM · Answer

voila j'ai une avalanche de pub j'ai suivi la manip voici le tx hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:32, on 10/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\PnkBstrB.exe
C:\PROGRA~1\MYSECR~1\MSFMON.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Philips\SPC220NC\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {a42d1003-0179-4fa9-33a4-486633e4d060} - {060d4e33-6684-4a33-9af4-97103001d24a} - C:\WINDOWS\system32\dambie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {B9969B3D-1628-486D-BC13-66010D3A6816} - C:\WINDOWS\system32\cbXnmJYs.dll
O2 - BHO: (no name) - {D95F0C42-414D-4FDD-B095-71EE22F843B1} - C:\WINDOWS\system32\pgteierv.dll
O2 - BHO: (no name) - {FE27E908-4C06-4BAE-88A0-655D0CE752CB} - C:\WINDOWS\system32\jkkKaWOF.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSF_Monitor] C:\PROGRA~1\MYSECR~1\MSFMON.exe /Start
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\Philips\SPC220NC\Monitor.exe
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [444e07ba] rundll32.exe "C:\WINDOWS\system32\fxrvvebv.dll",b
O4 - HKLM\..\Run: [BM477d3426] Rundll32.exe "C:\WINDOWS\system32\xfdtdnpr.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Documents and Settingsida\Bureau\uTorrent.exe"
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: TrayMin220.lnk = ?
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\NOUVEA~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: jkkKaWOF - C:\WINDOWS\SYSTEM32\jkkKaWOF.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

RIDARUM · Answer

MERCI D AVANCE

popcorn59 · Answer

bonjour moi j'ai le meme probleme a chaque connexion une pages de pubs toujours diferrente, en fait kasperky detecte un fichier appeller "umwquy.exe" mais impossible de le detruire:

Scan saved at 08:03:02, on 27/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Ares\Ares.exe
C:\documents and settings\administrateur\local settings\application data\umwquyg.exe
C:\Program Files\VisualTooltip\VisualToolTip.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet explorer Tux G2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acronis Schedule] C:\Program Files\Fichiers communs\Acronis\Schedule\schedule.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AdobeUpdater] "C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe"
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [umwquyg] "c:\documents and settings\administrateur\local settings\application data\umwquyg.exe" umwquyg
O4 - .DEFAULT User Startup: VisualToolTip.lnk = ? (User 'Default user')
O4 - Startup: VisualToolTip.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slmdmsr.exe

plopus · Answer

Bonjour,

pop corn tu aurait pu te crer un nouveau sujet mais bon celui-ci n'est + utilisé depuis 2008 dionc je pense qu'on peut le recyclé ^^

donc infection navipromo qui te fait les pubs fait ceci :

    *  Télécharge sur le bureau Navilog1  https://www.androidworld.fr/

      (c est le numéro 1 en bas de la page) :
    * Si ton antivirus s'affole , le désactiver
    * sous vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur
    * sous XP : double-clic dessus pour l'installer et le lancer
    * taper F
    * Appuyer sur une touche jusqu' arriver aux options
    * Choisir Recherche ( = taper 1 )

      ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes
    * un rapport : fixnavi.txt dans ==> C :
    * le copier et le coller dans la réponse

popcorn59 · Answer

voici le rapport
Search Navipromo version 3.7.4 commencé le 27/02/2009 à 17:35:31,64

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm)   3000+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:37 Go (Free:1 Go)
D:\ (Local Disk) - NTFS - Total:195 Go (Free:31 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB) - FAT - Total:982 Mo (Free:0 Go)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)


Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"umwquyg"="\"c:\documents and settings\administrateur\local settings\application data\umwquyg.exe\" umwquyg"


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" : 

umwquyg.exe trouvé !
umwquyg.dat trouvé !
umwquyg_nav.dat trouvé !
umwquyg_navps.dat trouvé !

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 27/02/2009 à 17:39:01,46 ***

plopus · Answer

bonjour,

    *  Relance navilog1

    * Choisis cette fois option 2

      * note : le bureau disparaît

    * redémarrage du pc

    * mettre le rapport dans ta prochaine réponse

popcorn59 · Answer

Clean Navipromo version 3.7.4 commencé le 27/02/2009 à 18:22:32,28

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 16.02.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Sempron(tm)   3000+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrateur ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:37 Go (Free:1 Go)
D:\ (Local Disk) - NTFS - Total:195 Go (Free:31 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB) - FAT - Total:982 Mo (Free:0 Go)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)


Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Administrateur\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\umwquyg*.pf trouvé ! 
Copie C:\WINDOWS\prefetch\umwquyg*.pf réalisée avec succès !
C:\WINDOWS\prefetch\umwquyg*.pf supprimé !


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 


umwquyg.exe trouvé ! 
Copie umwquyg.exe réalisée avec succès !
umwquyg.exe supprimé !

umwquyg.dat trouvé ! 
Copie umwquyg.dat réalisée avec succès !
umwquyg.dat supprimé !

umwquyg_nav.dat trouvé ! 
Copie umwquyg_nav.dat réalisée avec succès !
umwquyg_nav.dat supprimé !

umwquyg_navps.dat trouvé ! 
Copie umwquyg_navps.dat réalisée avec succès !
umwquyg_navps.dat supprimé !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 27/02/2009 à 18:27:24,78 ***

c'est bon apparament je me suis connecté et plus de pub franchement merci pour ton aide super sympa

plopus · Answer

relance hijackthis choisit do a scan onlye t coche les cases a gauche des lignes :

 R3 - Default URLSearchHook is missing 
 O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll     
 O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"     
 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe     
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot     
 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE     
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install     
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
 O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background     
 O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe     
 O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h     
 O4 - .DEFAULT User Startup: VisualToolTip.lnk = ? (User 'Default user') 
 O4 - Startup: VisualToolTip.lnk = ? 

puis clic sur fix checked


ensuite fait un scan en ligen ici et poste le rapport en entier
http://www.bitdefender.fr/scan_fr/scan8/ie.html

puis

    *  Télécharge Malwarebytes  https://www.androidworld.fr/
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen RAPIDE"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

popcorn59 · Answer

voila:
BitDefender Online Scanner - Rapport virus en temps réel
  
  
 
Généré à: Sat, Feb 28, 2009 - 11:04:07
 

--------------------------------------------------------------------------------

 
  
  
 
Info d'analyse
  
  
 
Fichiers scannés
 62312
 
Infectés Fichiers
 14
 
  
  
 
 
  
  
 
Virus Détectés
  
  
 
Backdoor.Generic.73200
 1
 
Dialer.Generic.16632
 1
 
Trojan.Generic.4332
 2
 
GenPack:Virtool.22665
 1
 
Backdoor.Pcclient.GV
 2
 
Trojan.Generic.205868
 3
 
Virtool.4633
 2
 
Joke.Buttons
 2
 
  
  
 
 
  
  
 
 

--------------------------------------------------------------------------------
  
  
 
Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

popcorn59 · Answer

l examen malware n'a rien trouvé

plopus · Answer

la mise a jour de tes logiciels

- Par windows update OBLIGATOIRE

puis pour d'autres produits et logiciels sachant qu'il faut que tu desinstalle les ancienne versions des produits que tu met a jour :

- Soit par le biais de ce site internet il faut installer l'active X puis clic start scan et le site montre d'une croix rouge les faille de sécurité pour quelques produits important installé sur le PC comme java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html

- Soit on peut aussi passer par un logiciel a installer qui scan le PC et affiche TOUTES les mises a jour des logiciels et produits installé sur le PC
https://filehippo.com/windows/tuning-utilities/

puis  si tu as + de probleme fait la suite :

Passe Toolscleaner pour nettoyer les outils que tu as telecharge
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
clik sur recherche laisse le scanner ton pc et parès clik sur suppression et poste le rapport

puis purge ta restauration avec sa http://www.commentcamarche.net/faq/sujet 5097 virus system volume information
puis creer un point de restauration sain avec sa http://www.commentcamarche.net/faq/sujet 740 windows points de restauration


et met ton sujet en resolu

popcorn59 · Answer

comment tu fais pour mettre resolu?

plopus · Answer

tu vas sur on premier message te regarde en haut a droite tu coche resolu

Virus ? Probleme de pub et bannière

41 réponses

Discussions similaires