Fenêtres antisypwares et pubs intempestives. Résolu

Question

Bonjour à tous,

comme bien d'autres malheureux internautes je me retrouve sujet à des pubs intempestives pour des anti spywares et autres logiciels, sans parle de pubs diverses et variées. Ces pubs apparaissent sous forme d'une nouvelle fenêtre firefox.

J'ai parcouru tout un tas de forums et me suis rendu compte qu'il n'y a pas, à priori, de solution miracle, il semblerait qu'il faille effectuer tout un tas d'opérations à la suite, qui n'ont rien de simples.

J'ai bien sur tenté auparavant de tout enlever avec spybot, adaware, bulletproofmachinchose. J'ai installé noscript et adblock. Mais ça continue (moins, puisque peu à peu j'interdis certains sites) mais ça popupise joyeusement...

J'ai lancé le fameux hijackthis qui m'a donc donné un rapport que je copie-colle ici. Que faut-il faire maintenant ? Et surtout, comment faire la prochaine fois que ça arrivera, chez moi ou chez un pote ? Merci :)

RAPPORT:


Logfile of HijackThis v1.99.1
Scan saved at 15:51:10, on 15/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Program 

Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program 

Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers 

communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers 

communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers 

communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Mozilla Thunderbird	hunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BulletProofSoft.com\BPS Spyware 

Remover\SpyRem.exe
C:\Program Files\Adobe\Acrobat 

7.0\Acrobat\AcrobatInfo.exe
D:\Mes documents\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start 

Page = https://www.google.fr/?gws_rd=ssl
O4 - HKLM\..\Run: [IgfxTray] 

C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] 

C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program 

Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program 

Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] 

C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program 

Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program 

Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel 

PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program 

Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 

2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 

2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] 

C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program 

Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program 

Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] 

"C:\Program Files\Fichiers 

communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program 

Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] 

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] 

C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers 

communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Program 

Files\Lavasoft\Ad-Aware Pro\aaw2007aw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] 

C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BPS Spyware Remover] C:\Program 

Files\BulletProofSoft.com\BPS Spyware Remover\SpyRem.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk 

= ?
O8 - Extra context menu item: Convertir en Adobe PDF - 

res://C:\Program Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF 

existant - res://C:\Program Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien 

en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien 

en un fichier PDF existant - res://C:\Program 

Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en 

Adobe PDF - res://C:\Program Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en 

un fichier PDF existant - res://C:\Program 

Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens 

sélectionnés en fichier Adobe PDF - res://C:\Program 

Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.htm

l
O8 - Extra context menu item: Convertir les liens 

sélectionnés en un fichier PDF existant - 

res://C:\Program Files\Adobe\Acrobat 

7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Download Link Using Mega 

Manager... - C:\Program Files\Megaupload\Mega 

Manager\mm_file.htm
O8 - Extra context menu item: E&xporter vers Microsoft 

Excel - 

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre1.5.0_11\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 

Files\Java\jre1.5.0_11\bin\ssv.dll (file missing)
O9 - Extra button: Recherche - 

{92780B25-18CC-41C8-B9BE-3C9C571A8263} - 

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - 

{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network 

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - 

{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network 

Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - 

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program 

Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - 

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program 

Files\Yahoo!\Messenger\YahooMessenger.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} 

(WUWebControl Class) - 

http://update.microsoft.com/windowsupdate/v6/V5Controls/e

n/x86/client/wuweb_site.cab?1122446875578
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} 

(MUWebControl Class) - 

http://update.microsoft.com/microsoftupdate/v6/V5Controls

/en/x86/client/muweb_site.cab?1173949830375
O17 - 

HKLM\System\CCS\Services\Tcpip\..\{5CAAA445-0A24-4CA5-8EA

B-2AB58116CB8A}: NameServer = 192.168.1.1
O18 - Protocol: livecall - 

{828030A1-22C1-4009-854F-8E305202313F} - 

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - 

{828030A1-22C1-4009-854F-8E305202313F} - 

C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - 

Acronis - C:\Program Files\Fichiers 

communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - 

C:\Program Files\Fichiers communs\Adobe Systems 

Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - 

Unknown owner - C:\Program Files\Alwil 

Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - 

C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - 

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" 

/service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - 

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" 

/service (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log 

(EvtEng) - Intel Corporation - C:\Program 

Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: lxcg_device -   - 

C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program 

Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service 

(RegSrvc) - Intel Corporation - C:\Program 

Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service 

(S24EventMonitor) - Intel Corporation  - C:\Program 

Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) 

- Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE



Merci d'avance pour votre précieuse aide :)

blondin777 · Answer

Salut.

Réinstalles hijackthis en suivant cette procedure:

télécharges « Hijackthis »:

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html


*Installes-le dans un dossier créé spécialement à la racine de ta partition principale (généralement c:\).
 Donc tu l'installes dans C:\ et pas dans C: \.........\........\. 
*Renommes le en hij.exe par exemple
*Double cliques sur hij.exe
*Cliques sur le fichier > « exécute » > « do a scan and save a logfile ».
*Une fois fini tu vas avoir un « rapport.txt » (dans le dossier où tu l’as installé)
*Postes ici ce rapport

Démo pour cocher et fixer les lignes:

http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm

theclaw · Answer

Voila le rapport:

Logfile of HijackThis v1.99.1
Scan saved at 16:17:33, on 15/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32	cpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Mozilla Thunderbird	hunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BulletProofSoft.com\BPS Spyware Remover\SpyRem.exe
C:\Program Files\RegCleaner\RegCleanr.exe
C:\hij\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware Pro\aaw2007aw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BPS Spyware Remover] C:\Program Files\BulletProofSoft.com\BPS Spyware Remover\SpyRem.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CAAA445-0A24-4CA5-8EAB-2AB58116CB8A}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: lxcg_device -   - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

blondin777 · Answer

Ton log est clean.

 Fais un clic droit sur ce lien :

http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 1 et valides.
Patientes jusqu'au message :

"Analyse Termine le ..... "

Appuies sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copies-colles l'intégralité içi. Refermes le bloc-notes.

theclaw · Answer

Re :)

Voila le log en question:


Search Navipromo version 1.0.7 commencé le 15/03/2007 à 17:42:22.26
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\APPIA\Bureau
avilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 
WebMediaPlayer


*** Recherche dossiers dans C:\WINDOWS ***


 

*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\WebMediaPlayer trouvé !  
 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***


 

*** Recherche dossiers dans C:\Documents and Settings\APPIA\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :


Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32
mqtyeiac.exe 


*** Recherche fichiers *** 




*** Recherche cles registre *** 


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
 
 
*** Module de recherche complémentaire *** 
(recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32
mqtyeiac.dat trouvé !
** 
C:\WINDOWS\system32
mqtyeiac.dat trouvé !
*** 
**** 
C:\WINDOWS\system32
mqtyeiac_navps.dat trouvé !
***** 
****** 
******* 
******** 
C:\WINDOWS\system32
mqtyeiac.exe trouvé !
 
 
*** Analyse Terminé le 15/03/2007 à 17:43:15.79 ***

blondin777 · Answer

Fais démarrer>>panneau de configuration>>ajout/suppr de programme et supprimes ce programme si présent:

WebMediaPlayer

Redémarres en mode sans échec :

Pour cela, tu tapotes la touche F8 ou F5 dès le début de l’allumage du pc sans t’arrêter
Déplaces toi avec les flèches du clavier sur démarrer en mode sans échec et tu valides.

Double clique sur navilog1.bat
Laisses-toi guider. Au menu principal, choisis 2 et valides.
Ton bureau va disparaître, c'est normal.
Indique le mode de nettoyage "automatique"
Laisses toi guider et réponds aux questions éventuelles
Patientes jusqu'au message :

"Nettoyage Termine le ..... "

Appuies sur une touche comme demandé, le bloc note va s'ouvrir.
Sauvegardes le rapport de manière à le retrouver
Refermes le bloc note. Ton bureau va réapparaître
Redémarres normalement et copies-colles l'intégralité dans une réponse.
Le rapport est sauvegardé à la racine du disque (cleannavi.txt)

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Cliques en haut à gauche sur fichiers et choisis "exécuter"
Tapes explorer et valides. 
Ton bureau devrais réapparaitre.

theclaw · Answer

Bon, je n'arrive pas à repartir en mode sans échec. 

A un moment ça me dit: press escape to skip STPD.sys loading et que je le fasse ou non, ça reboote en boucle. Je suis obligé de faire démarrer windows normalement.

theclaw · Answer

Précision:

Je me suis débarassé SPTD.sys en virant Dameon tools.

Maintenant, le mode sans échecs ne fonctionne simplement pas, quand je le sélectionne ça reboote simplement avec un très bref écran bleu (illisible).

Wala :)

blondin777 · Answer

Houla! T'esûr de bien l'avoir viré?

Regardes içi pour voir s'il est toujours présent:

C:\windows\system32\drivers

S'il n'est pas présent, ca sent la réparation


C'est étonnant parce que, depuis le début, on n'a jamais touché à ce fichier...

theclaw · Answer

Hello

oui il est bien viré :)

Par contre, j'ai utilisé BlackLight et il semble m'avoir éliminé des rootkits (5, dont 4 fois le même situé à des endroits différents). Depuis, je ne vois plus de fenêtres :croiselesdoigts: Je reviendrai sur ce topic si elles réapparaissent...

blondin777 · Answer

J'aurais bien aimé voir ton rapport blacklight.

Et un conseil: a l'avenir évites de prendre des initiatives concernant l'utilisation d'outils de désinfection sous peine d'aller au devant de sacré déconvenus. Mais bon c'est toi qui vois.

Le nettoyage n'est pas terminé et je ne sais même pas si tu peux de nouveau acceder au mode sans echec.

Donc, que decide tu? On arrète là ou on va jusqu'au bout?

theclaw · Answer

Hello,

Voila le rapport de Black Light:

03/16/07 13:54:14 [Info]: BlackLight Engine 1.0.55 initialized
03/16/07 13:54:14 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/16/07 13:54:14 [Note]: 7019 4
03/16/07 13:54:14 [Note]: 7005 0
03/16/07 13:54:25 [Note]: 7006 0
03/16/07 13:54:25 [Note]: 7011 1992
03/16/07 13:54:25 [Note]: 7026 0
03/16/07 13:54:25 [Note]: 7026 0
03/16/07 13:54:25 [Note]: 7024 3
03/16/07 13:54:25 [Info]: Hidden process: C:\windows\system32
mqtyeiac.exe
03/16/07 13:54:32 [Note]: FSRAW library version 1.7.1021
03/16/07 13:54:45 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NMQTYE~1.EXE
03/16/07 13:54:45 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NMQTYE~1.DAT
03/16/07 13:54:45 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NMQTYE~2.DAT
03/16/07 13:54:46 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\NMQTYE~3.DAT
03/16/07 13:55:13 [Note]: 7007 0


Le mode sans echec (MSE) ne marche tjs pas. Le fichier a bien été supprimé.

Je n'ai apparemment plus de fenêtres mais s'il y a d'autres tests à faire pour s'assurer que c'est clean dis le moi...

blondin777 · Answer

Ton rapport blacklight date d'avant ou après ton post<10>?

theclaw · Answer

C'est le rapport qu'a fait Blacklight avant que je ne lui dise de réparer.

Le rapport blacklight depuis donne ça:

03/16/07 14:40:29 [Info]: BlackLight Engine 1.0.55 initialized
03/16/07 14:40:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/16/07 14:40:29 [Note]: 7019 4
03/16/07 14:40:29 [Note]: 7005 0
03/16/07 14:40:34 [Note]: 7007 0

blondin777 · Answer

Tu peux refaire navilog en option 1, stp? Juste pour voir

theclaw · Answer

Et voila :


Search Navipromo version 1.0.7 commencé le 16/03/2007 à 14:59:33.39
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\APPIA\Bureau
avilog1
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 


*** Recherche dossiers dans C:\WINDOWS ***


 

*** Recherche dossiers dans C:\Program Files ***


 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***


 

*** Recherche dossiers dans C:\Documents and Settings\APPIA\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of April, 2007.
Version information: 2.2.1055.

[+] Started on 03/16/07 at 14:59:34.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items ..............
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 03/16/07 at 14:59:56 (return code = 0).


*** Recherche fichiers *** 




*** Recherche cles registre *** 


Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
 
 
*** Module de recherche complémentaire *** 
(recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
** 
*** 
**** 
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 16/03/2007 à 15:00:07.85 ***

blondin777 · Answer

Toujours pas possible de passer navilog en mode sans echec?

Si oui, fais démarrer>>executer, tu tapes regedit et tu valides.

Tu vas jusqu'à cette clé:

HKEY_CURRENT_USER\Software

Et vires Lanconfig

Repostes un log navi pour qu'on s'assure qu'il ai bien disparu.

theclaw · Answer

Oui c'est bon, il a bien disparu. Je teste le reboot MSE...

blondin777 · Answer

et....

theclaw · Answer

et...toujours pareil :)

blondin777 · Answer

Bon. En tout cas tu n'as plus de fenêtres intempestives?

On fini le nettoyage:

** télécharges « CCleaner »:
https://www.01net.com/404/
après l’install. lances-le et
Clic sur "Options" > "Avancé" et décoches la case "Effacer uniquement ...que 48 heures".
clic sur « erreurs » (à gauche) coches toutes les cases (sauf la dernière), puis
clic sur « chercher des erreurs » une fois fini,
clic sur « réparer les erreurs »
au message pour sauvegarder la base de registre clic « oui »
dans la fenêtre qui apparaît clic sur « corriger toutes les erreurs » puis sur « ok »
recommencer jusqu’a ce qu’il n’y aie plus d’erreurs.
dans la colonne de gauche clic sur « nettoyeur »puis « analyse ».
attendre la fin et clic sur « lancer le nettoyage » autant de fois que nécessaire.

** télécharges « spybot »: https://www.01net.com/
lances le apres install. >
dans « langue » choisis « fr » (si besoin est)
dans « mode » choisir « mode avancé »
clic sur « réglages » (à gauche) >> « modules add. », coches toutes les cases sauf la dernière (traceur...)
reviens sur l'onglet "spybot-S&D" (à gauche) cliques sur "vérif tout"
quand c'est fini supprimes tt ce q’il trouve en cliquant sur "corriger..."
(s'il te propose de redémarrer le pc pour finir le nettoyage acceptes et laisses-le faire, (mais dès que c'est fini redémarres en mode sans echec et continues les étapes)
utilises la rubrique "aide" si nécssaire

**Télécharge la version d'essai d'AVG Anti-Spyware 7.5 ici :
https://www.avg.com/en-ww/free-antivirus-download
et l'installer.

Son tuto (merci malekal_morte) : https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

Démarrer AVG antispyware. Cliquer sur "mise à jour", cliquer sur le bouton "Commencer la mise à jour" et attendre la fin de cette mise à jour puis, fermer le programme.
 Redemarrer en mode sans échec, relancer AVG AS et cliquer sur l'onglet "scanner" puis sur "Analyse complète du système".
Une fois le scan terminé, il t'affiche un rapport. Cliquer sur "configurer..." en bas a gauche et choisir "supprimer". Ensuite cliquer sur "Appliquer toutes les actions ", ca va supprimer toutes les infections détectées.
Ensuite cliquer sur "Enregistrer le rapport d'analyse" -> "enregistrer sous" et enregistrer le rapport où bon te semble, afin de me l'envoyer dans ta prochaine réponse.

Pour vérifier, scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) :
http://www.bitdefender.fr/bd/site/search.php#
Clique sur « Bitdefender scan on line » suis les instructions.
Et colle le rapport.

theclaw · Answer

Quel malpoli je fais, j'ai oublié de venir conclure ce thread... :/

Mon PC marche parfaitement maintenant, plsu de pubs ni rien. Seul soucis, je ne peux tjs pas faire de démarrage en MSE, mais ça ne me gêne pas plus que ça.

Voila

Merci pour le coup de main ! :)

blondin777 · Answer

Message reçu.

A+

Fenêtres antisypwares et pubs intempestives. - Page 2

Discussions similaires

Newsletters