pub envahissante Résolu/Fermé

Question

bonsoir je suis de nouveau anvahis par les pub voila mon rapport 
avec opera pas de pub merci @+

merciLogfile of HijackThis v1.99.1
Scan saved at 21:11:01, on 16/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\program files\softwin\bitdefender9\bdnagent.exe
C:\program files\softwin\bitdefender9\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\program files\softwin\bitdefender9\bdmcon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\program files\softwin\bitdefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\program files\softwin\bitdefender9\bdswitch.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

philae83 · Answer

bonsoir,

quels styles de pub ?

moisi · Answer

bonsoir des pub pour anti-virus  casino et vente en ligne  j ai enlever kerio qui ralenti mon pc 
merci

philae83 · Answer

re

j ai enlever kerio qui ralenti mon pc

et comme ça tu risques encore plus de choper des cochonneries....
on va nettoyer, mais remets le firewall stp

* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)

Enregistre le sur ton Bureau.
Double-clique blbeta.exe
Clique sur "I ACCEPT" .
clique Scan puis Next<*gras>

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé <gras>fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe

moisi · Answer

re voici donc le rapport 

03/16/07 22:28:57 [Info]: BlackLight Engine 1.0.55 initialized
03/16/07 22:28:57 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/16/07 22:29:00 [Note]: 7019 4
03/16/07 22:29:00 [Note]: 7005 0
03/16/07 22:29:06 [Note]: 7006 0
03/16/07 22:29:07 [Note]: 7011 1636
03/16/07 22:29:07 [Note]: 7026 0
03/16/07 22:29:07 [Note]: 7026 0
03/16/07 22:29:07 [Note]: 7024 3
03/16/07 22:29:07 [Info]: Hidden process: C:\windows\system32\srbeuadnxw.exe
03/16/07 22:29:14 [Note]: FSRAW library version 1.7.1021
03/16/07 22:31:43 [Info]: Hidden file: c:\WINDOWS\system32\srbeuadnxw.dat
03/16/07 22:31:43 [Note]: 10002 1
03/16/07 22:31:43 [Info]: Hidden file: C:\windows\system32\srbeuadnxw.exe
03/16/07 22:31:43 [Note]: 10002 1
03/16/07 22:31:44 [Info]: Hidden file: c:\WINDOWS\system32\srbeuadnxw_nav.dat
03/16/07 22:31:44 [Note]: 10002 1
03/16/07 22:31:45 [Info]: Hidden file: c:\WINDOWS\system32\srbeuadnxw_navps.dat
03/16/07 22:31:45 [Note]: 10002 1
03/16/07 22:32:27 [Note]: 2000 1012
03/16/07 22:33:47 [Note]: 7007 0

philae83 · Answer

on poursuit

ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec

*  Télécharge  CCleaner

http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite).

Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

* télécharge Brute Force Uninstaller

http://www.merijn.org/files/bfu.zip
 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)
 

* FAIS UN CLIC-DROIT sur le lien ci dessous

http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".

Sauvegarde dans le dossier créé (c:\BFU)
 

* télécharge Navipromo.zip (par lazzzy)

http://perso.numericable.fr/~altshift/Info/Fichiers/Navipromo07H.zip
et décompresse-le sur ton bureau

* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici

https://forum.pcastuces.com/default.asp#haut

à la lettre C

Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.


* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Sélectionne l'option "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. 
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu 
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois. 

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. 
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. 
* Clique exit pour fermer le programme BFU.
Recommence encore une fois


* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" : 

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd" 

=> Supprime-les tous

* lance Ccleaner pour un nettoyage complet.

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

moisi · Answer

voici le rapport navipromo j ai pas reussi a avoir egdaccess.bfu et dans editeur approuve j ai electronicgroup thawte code signing ca


Rapport Navipromo.bat 0.71 effectué le 16/03/2007 à 23:21:08,50
L'opération se déroule en mode sans échec sous le compte "titia" 

** Recherche...

1/ srbeuadnxw trouvé, recherche de srbeuadnxw* 
C:\WINDOWS\system32\srbeuadnxw.dat
C:\WINDOWS\system32\srbeuadnxw.exe
C:\WINDOWS\system32\srbeuadnxw_nav.dat
C:\WINDOWS\system32\srbeuadnxw_navps.dat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    srbeuadnxw	REG_SZ	c:\windows\system32\srbeuadnxw.exe srbeuadnxw
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    srbeuadnxw	REG_SZ	c:\windows\system32\srbeuadnxw.exe srbeuadnxw

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode 

################################################

** Nettoyage...

1/ Déplacement de srbeuadnxw* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\srbeuadnxw* déplacé avec succès !

 ------------------
* Suppression clés et valeurs de registre 
2 entrées de registre netttoyées 
 

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\srbeuadnxw.dat
C:\Navipromo\Backups\srbeuadnxw.exe
C:\Navipromo\Backups\srbeuadnxw_nav.dat
C:\Navipromo\Backups\srbeuadnxw_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression
 
-------------

Rapport Navipromo.bat 0.72 effectué le 16/03/2007 à 23:22:46,50
L'opération se déroule en mode sans échec sous le compte "titia" 

## Suppression Heuristique 

* Backups :


 
Aucun résultat par la recherche heuristique  

## Fin du rapport Heuristique

philae83 · Answer

re

j ai pas reussi a avoir egdaccess.bfu 

ca veut dire quoi exactement ?

moisi · Answer

enregistrer sous na pas marcher comme winsoftware.bfu ca me met une 
icone fire fox que je ne trouve pas

philae83 · Answer

retourne ici
http://metallica.geekstogo.com/EGDACCESS.bfu
tu fais un clic droit puis tu procèdes comme sur le screen, (ne fait pas attention au nom ce n'est pas le même c'est alcanshorty, mais c'est la même chose à la place tu écris egdaccess.bfu)
https://www.casimages.com/i/070316115941395443.png.html

moisi · Answer

c est bon  je me suis tromper voila le rapport 

Rapport Navipromo.bat 0.71 effectué le 16/03/2007 à 23:21:08,50
L'opération se déroule en mode sans échec sous le compte "titia" 

** Recherche...

1/ srbeuadnxw trouvé, recherche de srbeuadnxw* 
C:\WINDOWS\system32\srbeuadnxw.dat
C:\WINDOWS\system32\srbeuadnxw.exe
C:\WINDOWS\system32\srbeuadnxw_nav.dat
C:\WINDOWS\system32\srbeuadnxw_navps.dat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    srbeuadnxw	REG_SZ	c:\windows\system32\srbeuadnxw.exe srbeuadnxw
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    srbeuadnxw	REG_SZ	c:\windows\system32\srbeuadnxw.exe srbeuadnxw

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode 

################################################

** Nettoyage...

1/ Déplacement de srbeuadnxw* vers C:\Navipromo\Backups...
C:\WINDOWS\System32\srbeuadnxw* déplacé avec succès !

 ------------------
* Suppression clés et valeurs de registre 
2 entrées de registre netttoyées 
 

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\pack.epk
C:\Navipromo\Backups\srbeuadnxw.dat
C:\Navipromo\Backups\srbeuadnxw.exe
C:\Navipromo\Backups\srbeuadnxw_nav.dat
C:\Navipromo\Backups\srbeuadnxw_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression
 
-------------

Rapport Navipromo.bat 0.72 effectué le 16/03/2007 à 23:22:46,50
L'opération se déroule en mode sans échec sous le compte "titia" 

## Suppression Heuristique 

* Backups :


 
Aucun résultat par la recherche heuristique  

## Fin du rapport Heuristique
 
-------------

Rapport Navipromo.bat 0.71 effectué le 17/03/2007 à  0:02:13,59
L'opération se déroule en mode sans échec sous le compte "titia" 

** Recherche...

Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode

Engagement de la méthode Heuristique

Rapport Navipromo.bat 0.72 effectué le 17/03/2007 à  0:02:13,73
L'opération se déroule en mode sans échec sous le compte "titia" 

## Suppression Heuristique 
 
-------------

Rapport Navipromo.bat 0.71 effectué le 17/03/2007 à  0:02:54,84
L'opération se déroule en mode sans échec sous le compte "titia" 

** Recherche...

Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode

Engagement de la méthode Heuristique

Rapport Navipromo.bat 0.72 effectué le 17/03/2007 à  0:02:54,90
L'opération se déroule en mode sans échec sous le compte "titia" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique
 
-------------

Rapport Navipromo.bat 0.72 effectué le 17/03/2007 à  0:03:10,40
L'opération se déroule en mode sans échec sous le compte "titia" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique
 
-------------

Rapport Navipromo.bat 0.71 effectué le 17/03/2007 à  0:03:26,25
L'opération se déroule en mode sans échec sous le compte "titia" 

** Recherche...

Fin du rapport de recherche
Adware Navipromo non trouvé avec cette méthode

Engagement de la méthode Heuristique

Rapport Navipromo.bat 0.72 effectué le 17/03/2007 à  0:03:26,31
L'opération se déroule en mode sans échec sous le compte "titia" 

## Suppression Heuristique 

* Backups :


Aucun résultat par la recherche heuristique  
 

## Fin du rapport Heuristique

philae83 · Answer

re

ok, as tu encore des problèmes ?

moisi · Answer

non c est bon pour le moment pas de pub et pc plus rapide  un grand merci philae83 tu est super cool salut @+

philae83 · Answer

tu peux maintenant supprimer

C:\Navipromo,

C:\BFU, a

insi que les fichiers

C:\Navipromo.txt et Navipromo.bat, puis vide ta corbeille. 

puis

démarrer-----------panneau de configuration------------système----------

onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------

redémarre l'ordinateur
et ré active la. Pour repartir sur du propre.

pense à mettre ton sujet en RESOLU stp
et un petit tour par ici
securite proteger un ordinateur contre les malwares d internet
et
https://forum.pcastuces.com/default.asp

bonne nuit

moisi · Answer

bonne nuit a toi aussi merci @+

Pub envahissante

14 réponses

Discussions similaires