Pub antivirus et x - Page 2

Résolu
Précédent
  • 1
  • 2
  1. schuminator
     
    ps: je n'arrive pas à creer de nouveau message :'(
    0
  2. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    bonsoir schuminator
    ps: je n'arrive pas à creer de nouveau message :'(


    alors reste ici tant pis.

    * Télécharge Blacklight
    https://europe.f-secure.com/exclude/blacklight/index.shtml
    (de F-Secure)
    (le premier de la page)

    Enregistre le sur ton Bureau.
    Double-clique blbeta.exe
    Clique sur "I ACCEPT" .
    clique Scan puis Next<*gras>

    Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
    sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log
    (les xxxxxxx sont des chiffres).

    Copie et colle le contenu de ce rapport dans ta prochaine réponse.
    NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
    car des fichiers légitimes peuvent être présents, tel wbemtest.exe

    0
    1. schuminator
       
      déjà merci pr ta réponse et ton aide

      voici ce que j'ai sur le bureau
      03/07/07 22:21:50 [Info]: BlackLight Engine 1.0.55 initialized
      03/07/07 22:21:50 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      03/07/07 22:21:50 [Note]: 7019 4
      03/07/07 22:21:50 [Note]: 7005 0
      03/07/07 22:21:58 [Note]: 7006 0
      03/07/07 22:21:58 [Note]: 7011 152
      03/07/07 22:21:59 [Note]: 7026 0
      03/07/07 22:21:59 [Note]: 7026 0
      03/07/07 22:21:59 [Note]: 7024 3
      03/07/07 22:21:59 [Info]: Hidden process: C:\windows\system32\cwkicqezcq.exe
      03/07/07 22:22:05 [Note]: FSRAW library version 1.7.1021
      03/07/07 22:25:32 [Info]: Hidden file: c:\WINDOWS\system32\cwkicqezcq.dat
      03/07/07 22:25:32 [Note]: 10002 1
      03/07/07 22:25:32 [Info]: Hidden file: C:\windows\system32\cwkicqezcq.exe
      03/07/07 22:25:32 [Note]: 10002 1
      03/07/07 22:25:32 [Info]: Hidden file: c:\WINDOWS\system32\cwkicqezcq_nav.dat
      03/07/07 22:25:32 [Note]: 10002 1
      03/07/07 22:25:32 [Info]: Hidden file: c:\WINDOWS\system32\cwkicqezcq_navps.dat
      03/07/07 22:25:32 [Note]: 10002 1
      03/07/07 22:27:25 [Note]: 2000 1012
      03/07/07 22:27:25 [Note]: 2000 1012
      03/07/07 22:46:26 [Note]: 7007 0



      [img]http://img293.imageshack.us/img293/7645/sanstitreds1.jpg[/img]
      0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    re

    ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

    * Télécharge CCleaner

    http://www.filehippo.com/download_ccleaner.html

    ("Download Latest Version", sur la droite).

    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    * télécharge Brute Force Uninstaller

    http://www.merijn.org/files/bfu.zip

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://metallica.geekstogo.com/EGDACCESS.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * FAIS UN CLIC-DROIT sur le lien ci dessous

    http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

    et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

    afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

    Sauvegarde dans le dossier créé (c:\BFU)

    * télécharge Navipromo.zip (par lazzzy)

    http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
    et décompresse-le sur ton bureau

    * Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

    https://forum.pcastuces.com/default.asp#haut

    à la lettre C

    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.

    * lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
    * Sélectionne l'option "Recherche et suppression automatique". Patiente.
    S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
    Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

    * Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
    Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    Clique exit pour fermer le programme BFU.
    Recommence encore une fois.

    * Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
    * Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
    - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
    * Clique sur "Execute" et laisse-le faire son travail.
    Attendre que "Complete script execution" apparaîsse et clique sur OK.
    * Clique exit pour fermer le programme BFU.
    Recommence encore une fois

    * Démarrer -> panneau de configuration -> options internet

    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    => Supprime-les tous

    * lance Ccleaner pour un nettoyage complet.

    * redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
    1. schuminator
       
      Vraiment un grand merci pour t'ocuper des cas déespérés comme moi! ^^
      Alors j'ai déjà tout fait ce que tu avais demandé de faire...mais en mode sans echec, je me suis rendu compte que j'avais enregistré EGDACCESS.bfu et Winsoftware.bfu en format texte au lieu de "tous les fichiers" alors j'ai recommencé la manip' depuis le début.


      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      sugwjp REG_SZ c:\windows\system32\sugwjp.exe sugwjp

      ------------------
      2/ cwkicqezcq trouvé, recherche de cwkicqezcq*
      C:\WINDOWS\system32\cwkicqezcq.dat
      C:\WINDOWS\system32\cwkicqezcq.exe
      C:\WINDOWS\system32\cwkicqezcq_nav.dat
      C:\WINDOWS\system32\cwkicqezcq_navps.dat
      C:\WINDOWS\prefetch\CWKICQEZCQ.EXE-0140C951.pf

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      cwkicqezcq REG_SZ c:\windows\system32\cwkicqezcq.exe cwkicqezcq

      ------------------
      Fin du rapport de recherche
      Adware Navipromo trouvé 2 fois avec cette méthode

      ################################################

      ** Nettoyage...

      1/ Déplacement de sugwjp* vers C:\Navipromo\Backups...
      C:\WINDOWS\System32\sugwjp* déplacé avec succès !

      ------------------
      2/ Déplacement de cwkicqezcq* vers C:\Navipromo\Backups...
      C:\WINDOWS\System32\cwkicqezcq* déplacé avec succès !
      C:\WINDOWS\prefetch\cwkicqezcq* déplacé avec succès

      ------------------
      * Suppression clés et valeurs de registre
      2 entrées de registre netttoyées


      * Backups :

      C:\Navipromo\Backups\ARPCache.reg
      C:\Navipromo\Backups\cwkicqezcq.dat
      C:\Navipromo\Backups\cwkicqezcq.exe
      C:\Navipromo\Backups\CWKICQEZCQ.EXE-0140C951.pf
      C:\Navipromo\Backups\cwkicqezcq_nav.dat
      C:\Navipromo\Backups\cwkicqezcq_navps.dat
      C:\Navipromo\Backups\HKCURun.reg
      C:\Navipromo\Backups\HKLMRun.reg
      C:\Navipromo\Backups\pack.epk
      C:\Navipromo\Backups\sugwjp.dat
      C:\Navipromo\Backups\sugwjp_nav.dat
      C:\Navipromo\Backups\sugwjp_navps.dat
      C:\Navipromo\Backups\Uninstall.reg

      Ajout d'extension .off aux backups

      ## Fin du rapport de Suppression

      -------------

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 15:44:23,96
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 15:45:32,46
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 15:45:57,50
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :



      Aucun résultat par la recherche heuristique

      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.71 effectué le 08/03/2007 à 16:09:30,87
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ** Recherche...

      Fin du rapport de recherche
      Adware Navipromo non trouvé avec cette méthode

      Engagement de la méthode Heuristique

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:09:31,06
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :



      Aucun résultat par la recherche heuristique

      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.71 effectué le 08/03/2007 à 16:10:25,29
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ** Recherche...

      Fin du rapport de recherche
      Adware Navipromo non trouvé avec cette méthode

      Engagement de la méthode Heuristique

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:10:25,32
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:11:04,65
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.71 effectué le 08/03/2007 à 16:11:25,31
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ** Recherche...

      Fin du rapport de recherche
      Adware Navipromo non trouvé avec cette méthode

      Engagement de la méthode Heuristique

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:11:25,35
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:11:35,89
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Vérifications supplémentaires

      Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

      * Navipromo

      C:\WINDOWS\System32


      * Trojan Nebula



      * Trojan Vundo


      -------------

      Rapport Navipromo.bat 0.71 effectué le 08/03/2007 à 16:12:02,00
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ** Recherche...

      Fin du rapport de recherche
      Adware Navipromo non trouvé avec cette méthode

      Engagement de la méthode Heuristique

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:12:02,04
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :



      Aucun résultat par la recherche heuristique

      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.71 effectué le 08/03/2007 à 16:12:19,60
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ** Recherche...

      Fin du rapport de recherche
      Adware Navipromo non trouvé avec cette méthode

      Engagement de la méthode Heuristique

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:12:19,65
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique

      -------------

      Rapport Navipromo.bat 0.72 effectué le 08/03/2007 à 16:12:26,96
      L'opération se déroule en mode sans échec sous le compte "Admin"

      ## Suppression Heuristique

      * Backups :


      Aucun résultat par la recherche heuristique


      ## Fin du rapport Heuristique



      'a plein de fois heuristique car la deuxième fois...que je faisais "R" pr lancer la "recherche et suppression automatique", ben ça me mettait tjs heuristique...que je fasse "r" ou "h" donc c'est pr ça...bizarre...


      dans les certificats, j'avais un egroup ou electronic-group, enfin un des deux et je l'ai effacé.

      voilà.
      Là je viens de lancer internet donc je ne saurais pas te dire s'il y a eu du mieux.


      ps:
      j'ai fait analyse qui était pas demandé et je sais pas si tu as vu dans le rapport mais c'est écrit:
      * Trojan Nebula
      * Trojan Vundo

      Je connais rien, mais Trojan, je sais que c'est pas bien ^^
      Voilà, encore merci de ton aide!
      Ciao
      0
  4. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    'a plein de fois heuristique car la deuxième fois...que je faisais "R" pr lancer la "recherche et suppression automatique", ben ça me mettait tjs heuristique...que je fasse "r" ou "h" donc c'est pr ça...bizarre...


    oui comme tu dis, mais on va vérifier maintenant

    ps:
    j'ai fait analyse qui était pas demandé et je sais pas si tu as vu dans le rapport mais c'est écrit:
    * Trojan Nebula
     * Trojan Vundo


    c'est une recherche qui est faite automatiquement, ce ne veut pas dire que tu es infecté non +

    * reposte un rapport blacklight et un rapport hijackthis stp

    0
    1. schuminator
       
      Logfile of HijackThis v1.99.1
      Scan saved at 16:58:46, on 08/03/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
      C:\Program Files\PowerISO\PWRISOVM.EXE
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      D:\program files\BitComet\BitComet.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      D:\program files\VundoFix.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\program files\BitComet\tools\BitCometBHO.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
      O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
      O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB002" /M "Stylus DX4800"
      O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
      O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Bluetooth Manager.lnk = ?
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk879YYFR
      O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
      O8 - Extra context menu item: Download all links using BitComet - res://D:\program files\BitComet\BitComet.exe/AddAllLink.htm
      O8 - Extra context menu item: Download all videos using BitComet - res://D:\program files\BitComet\BitComet.exe/AddVideo.htm
      O8 - Extra context menu item: Download link using &BitComet - res://D:\program files\BitComet\BitComet.exe/AddLink.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
      O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
      O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
      O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
      O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O15 - Trusted Zone: http://toolbar.imageshack.us
      O16 - DPF: {33331111-1111-1111-1111-611111193423} -
      O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
      O16 - DPF: {33331111-1111-1111-1111-615111193427} -
      O16 - DPF: {33331111-1131-1111-1111-611111193428} -
      O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab
      O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\Fichiers communs\A&W\MidRadio.ocx
      O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe



      par contre, c'est quoi rapport blacklight?
      0
    2. schuminator
       
      c'est bon, j'ai retrouvé le fichier blacklight, je suis en train de faire un scan, le log arrive d'ici quelques minutes! ;-)
      0
    3. schuminator
       
      03/08/07 17:02:12 [Info]: BlackLight Engine 1.0.55 initialized
      03/08/07 17:02:12 [Info]: OS: 5.1 build 2600 (Service Pack 2)
      03/08/07 17:02:12 [Note]: 7019 4
      03/08/07 17:02:12 [Note]: 7005 0
      03/08/07 17:02:14 [Note]: 7006 0
      03/08/07 17:02:14 [Note]: 7011 1876
      03/08/07 17:02:14 [Note]: 7026 0
      03/08/07 17:02:14 [Note]: 7026 0
      03/08/07 17:02:20 [Note]: FSRAW library version 1.7.1021
      03/08/07 17:07:16 [Note]: 2000 1012
      03/08/07 17:07:16 [Note]: 2000 1012

      il n'y a que ça dans le log de blacklist
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok pour blacklight,
    je regarde ton rapport hijackthis, réponse dans qq minutes
    0
  7. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    lance hijackthis pour un "scan seulement" et coche ces lignes :

    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe"
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk879YYFR
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl29bd.cab
    O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll (file missing)

    * ferme toutes les applications ouvertes y compris Internet Explorer et clique sur "fixer objet"

    puis

    * Assure toi d'avoir accès à tous les fichiers

    -démarrer

    -poste de travail ou autre dossier

    -menu outils

    -options de dossier

    -onglet affichage

    puis

    - activer la case : Afficher les fichiers et dossiers cachés

    - désactiver la case : Masquer les extensions des fichiers dont le type est connu

    - désactiver la case : Masquer les fichier protégés du système d'exploitation

    Puis - Appliquer

    * et Supprime le(s) fichier(s) ci dessous si il(s) est (sont) présent(s) :

    C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders
    C:\WINDOWS\system32\vbsys2.dl

    * Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir. Retourne à la fenêtre Paramètres de dossiers et sélectionne Ne pas afficher les fichiers cachés ou les fichiers système

    puis

    * Télécharge CCleaner.

    https://www.pcastuces.com/logitheque/ccleaner.htm

    Installe le dans un répertoire dédié.

    Décoche pendant l'installation

    --- les deux cases "Ajouter l'option ... "

    --- Contrôler les mises à jour

    --- Ajouter la Barre d'Outils Yahoo! CCleaner

    * Lance Ccleaner pour un nettoyage complet.

    ------

    * télécharge AVG Anti-Spyware (ewido)

    https://www.avg.com/en-ww/free-antivirus-download

    * tu l'installes

    * lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

    puis

    Lance AVG Anti-Spyware

    Clique sur le bouton Analyse (de la barre d'outils)

    puis fait dans l'ordre stp. Tu sauvegardes le rapport APRES avoir mis les actions.

    Puis sur l'onglet Paramètres,
    sous : "Comment réagir "clique sur Actions recommandées. Sélectionne Quarantaine.

    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.

    A la fin du scan, choisis l'option 3

    "Appliquer toutes les actions " en bas.

    Clique sur "Enregistrer le rapport".

    Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    Poste le.

    ainsi qu'un nouveau rapport hijackthis

    0
    1. schuminator
       
      report de avg
      ---------------------------------------------------------
      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 18:58:33 08/03/2007

      + Résultat de l'analyse:



      Rien à signaler.



      Fin du rapport






      Logfile of HijackThis v1.99.1
      Scan saved at 18:59:51, on 08/03/2007
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
      C:\Program Files\PowerISO\PWRISOVM.EXE
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
      C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wscntfy.exe
      D:\program files\BitComet\BitComet.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\LVComsX.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
      C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\program files\BitComet\tools\BitCometBHO.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: (no name) - {6932D140-ABC4-4073-A44C-D4A541665E35} - (no file)
      O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O5 "LPT1:" /M "Stylus CX3600"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P36 "EPSON Stylus CX3600 Series (Copie 1)" /O6 "USB001" /M "Stylus CX3600"
      O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB002" /M "Stylus DX4800"
      O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - Global Startup: Bluetooth Manager.lnk = ?
      O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
      O8 - Extra context menu item: Download all links using BitComet - res://D:\program files\BitComet\BitComet.exe/AddAllLink.htm
      O8 - Extra context menu item: Download all videos using BitComet - res://D:\program files\BitComet\BitComet.exe/AddVideo.htm
      O8 - Extra context menu item: Download link using &BitComet - res://D:\program files\BitComet\BitComet.exe/AddLink.htm
      O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
      O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
      O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
      O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
      O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O15 - Trusted Zone: http://toolbar.imageshack.us
      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
      O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\Fichiers communs\A&W\MidRadio.ocx
      O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
      O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe



      j'etais pas sur le net pd que ça scannait le pc, mais pr le moment, j'ai pas eu de pubs...en espérant que ça fonctionne...
      0
  8. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    normalement tu ne devrais plus en avoir, à toi de faire le nécessaire pour éviter d'être à nouveau infecté.
    un petit tour sur ces liens

    securite proteger un ordinateur contre les malwares d internet
    https://forum.pcastuces.com/default.asp

    et pour peaufiner un peu

    Démarrer "Exécuter…" puis Tape "services.msc" et valide par OK
    la fenêtre des Services s'ouvre => vérifier dans la partie inférieure que l'onglet "Etendu" est bien sélectionné, sinon faites le.

    France Telecom Routing Table Service (FTRTSVC) - France Telecom -
    et le chemin
    C:\WINDOWS\System32\FTRTSVC.exe

    - Dans la colonne "Nom", DOUBLE CLIQUE sur le service noté en GRAS ci dessus, pour faire apparaître "Propriétés".
    - Vérifie dans "Chemin d'accès des fichiers exécutables" qu'il s'agit bien de l'emplacement souligné.
    - Puis clique sur Arrêter
    - Dans le menu déroulant "Type de démarrage", sélectionne "Désactivé".
    - valide la modification par OK
    - Ferme la fenêtre des Services.

    0
    1. schuminator
       
      merci :)
      je viens de faire la dernière manipulation que tu m'as conseillée
      elle sert à quoi exactement? de mettre "dsactiver"
      merci :)
      0
  9. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    disons que ce service n'a pas besoin d'être activé pour que tout fonctionne bien. Autant limité ce genre de services inutiles.
    0
  10. schuminator
     
    OK!
    ben merci bien pour ton aide!
    ça a l'air de bien fonctionner...j'ai pas reçu de pub depuis...et je croise les doigts pr que ça dure!
    merci beaucoup!
    bonne soirée! et à la prochaine si jamais j'ai rebesoin d'aide! :-)
    CIAO!
    0
  11. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    ok

    bonne soirée
    0
Précédent
  • 1
  • 2