Sujet Précédent Sujet Suivant

Fenêtres DRIVECLEANER, Security Update, ...

Fermé
frelennic Messages postés 17 Date d'inscription lundi 19 mars 2007 Statut Membre Dernière intervention 20 mars 2007 - 19 mars 2007 à 11:01
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 - 20 mars 2007 à 20:33
Bonjour,

Je me suis inscrit aujourd'hui sur ce forum pour lancer un appel à l'aide !

Je ne peux plus aller sur internet explorer sans avoir toutes les 30 secondes une page intempestive qui s'ouvre...

DRIVE CLEANER, SECURITY UPDATE, SPYWARE SECURE
et j'en passe. Vous les connaissez... J'ai vu sur le forum que je ne ne suis de loin pas le seul à avoir ce souci !

J'aimerais bien savoir comment faire pour mettre fin à ces intrusions qui pourrissent mes connections.

Si quelqu'un peut m'indiquer la marche à suivre...

mon antivirus : AVG free
mes antispyware : Spybot, Adaware
Je viens de télécharger HIJACKTHIS également.

Un grand merci d'avance à tous ceux qui pourraient me filer un coup de main
A voir également:

32 réponses

Précédent
  • 1
  • 2
Réponse 21 / 32
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 mars 2007 à 12:08
Ok

Maintenant, tu alertes le modérateur ( au bas de ton message ) et tu lui demandes de supprimer les postes 17, 19, 22 et 23.

Il faudra peut-être faire une demande post par post .

Fais-le .

Merci
0
Réponse 22 / 32
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 mars 2007 à 13:13
Re,

1°- Supprimer les fichiers incriminés.

a)- Celui-là, doit partir en supprimant les fichiers temporaires ( ATF-Cleaner )
-C:\Documents and Settings\Audrey\Local Settings\Temporary Internet Files\Content.IE5\WG173LO2\ErrorSafe_GSeco[1].exe Infecté : Trojan-Downloader.Win32.VB.ft ignoré

b)-Celui-là, doit partir en faisant une restauration système comme ceci:
Si le système permet la restauration (XP par exemple), aller dans panneau de configuration > - système > - onglet restauration du système, cocher "désactiver restauration", OK, sortir, puis faire redémarrer l'ordi. Puis même opération et décocher "désactiver", OK etc... On perd tous les points de restauration, mais le virus normalement part avec.
-C:\System Volume Information\_restore{1A9B7404-6AE2-4AD1-A3BA-19DEBFDC696C}\RP93\A0111279.exe Infecté : not-a-virus:AdWare.Win32.Agent.c ignore

c)- Pour ces trois-là, profite que les fichiers et dossiers ont été rendus affichés au post # 4 -6° ; et tu suis le chemin indiqué pour aller les supprimer :

1) ces deux lignes sont identiques ( il faut vider le contenu de « Éléments supprimés.dbx » ) :

-C:\Documents and Settings\LENNE Frédéric.FROUDI\Local Settings\Application Data\Identities\{35C42DE8-1CB7-4154-BA91-1176F7B13505}\Microsoft\Outlook Express\Éléments supprimés.dbx/[From Bullock Biddy <liweu@smokingbeagle.com>][Date Thu, 8 Feb 2007 15:20:22 +0000]/UNNAMED Infecté : Email-Worm.Win32.Zhelatin.u ignoré

-C:\Documents and Settings\LENNE Frédéric.FROUDI\Local Settings\Application Data\Identities\{35C42DE8-1CB7-4154-BA91-1176F7B13505}\Microsoft\Outlook Express\Éléments supprimés.dbx Mail MS Outlook 5: infecté - 2 ignoré

2) Pour ce dernier : C:\WINDOWS\NDNuninstall7_14.exe Infecté : not-a-virus:AdWare.Win32.NewDotNet.e ignore

•… connais-tu vraiment ce programme « NDNuninstall7_14.exe » ??

•… c’est peut-être un faux-positif ( à garder ) .
Certains antivirus ou antispywares risque aussi de le signaler comme "NewDotNet". Vous n'en avez de toute façon plus besoin ??

•- Mais vous êtes peut-être victime de la variante que Symantec désigne par "Adware.NDotNet"
Chargez l'outil de nettoyage en tapant ceci dans la barre d'adresse de votre navigateur :
https://www.broadcom.com/support/security-center
Ceci vous permet de charger sur votre poste le fichier "FxNdotN.exe"
Bien que Symantec ne le spécifie pas, je vous recommande de l'utiliser en mode sans-échec.
- Utilisez le « poste de travail » pour trouver le fichier "FxNdotN.exe" que vous avez téléchargé.
- Lancez-le (double-cliquez dessus ou clic bouton droit -> "Ouvrir").
- Cliquez sur le bouton "Start" pour lancer le nettoyage.
- Laissez-le travailler et nettoyer.
- Redémarrez Windows
Si vous étiez en mode sans-échec, il se relancera en mode normal sans intervention de votre part.
- Relancez l'outil, il doit vous déclarer "Adware.NDotNet has not been found on your computer".
En bref, il ne trouve plus rien.


2°- Lance d'abord HJT et poste son rapport.

3°- ScanOnline PANDA
Fais un scan en ligne ici ( sous Internet explorer donc )< https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/fr/activescan_principal.htm >

Procédure : "Analyser votre pc" -> "suivant" -> remplir adresse mail (factice) -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "Poste de Travail" -> fermer la popup.

Un tuto < https://www.malekal.com/scan-antivirus-ligne-nod32/ > ) ou là < https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId23736 >

* A la fin du scanning, sauvegarde et fais un copier/coller du rapport d'analyse dans ta prochaine réponse


As-tu encore toutes les 30 secondes une page intempestive qui s'ouvre... ??
Merci
Al.

Rappel: Faite supprimer vos postes 17, 19, 22 et 23 comme indiqués plus haut. Je l'ai demandé pour toi.
0
Réponse 23 / 32
frelennic Messages postés 17 Date d'inscription lundi 19 mars 2007 Statut Membre Dernière intervention 20 mars 2007
20 mars 2007 à 13:51
Merci d'avoir fais la demande de suppression des postes pour moi. Non, je n'ai plus de pages intempestives qui s'ouvrent. C'est déja une très bonne nouvelle !

Je vais m'attaquer quand j'aurai le temps (le plus tôt possible) à la suppression des fichiers à l'origine des infections...

Merci encore
0
Réponse 24 / 32
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 mars 2007 à 14:36
Ok
lol

Prends ton temps
Mais je ne suis pas non plus en permanence devant ce PC

( 3 déclenchements du modem ce matin, avec tout mon boulot du jour foutu en l'air ) On a tous les siennes lol

Bonne journée Fred
Al.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 32
frelennic Messages postés 17 Date d'inscription lundi 19 mars 2007 Statut Membre Dernière intervention 20 mars 2007
20 mars 2007 à 17:16
Question...

J'ai fais l'analyse avec le removal tool de symantec. Rien trouvé.

Dois-je supprimer quand même ce fichier infecté (NDNuninstall7_14.exe) ??

Quand je clic dessus, voila le message qui s'affiche :

"WARNING! New.net Uninstall
If you uninstall the New.net software you may no longer be able to access websites with extensions such as .inc, .family, .shop and .travel.
Are you sure you want to remove New.net names and all of its components ?"

Qu'en penses-tu, afideg ?

Pour les autres virus, j'ai suivi les instructions à la lettre.
Voyons le HJT à présent...
0
Réponse 26 / 32
frelennic Messages postés 17 Date d'inscription lundi 19 mars 2007 Statut Membre Dernière intervention 20 mars 2007
20 mars 2007 à 17:18
nouveau rapport HJT :

Logfile of HijackThis v1.99.1
Scan saved at 17:15:43, on 20/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Sowedoo Shared\Sowedoo PDF Printer V4\SwPrnMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchFilter.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [DXDllRegExe] C:\WINDOWS\system32\dxdllreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB002" /M "Stylus C66"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SwPrnMon] "C:\Program Files\Fichiers communs\Sowedoo Shared\Sowedoo PDF Printer V4\SwPrnMon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?6a4805861a6d405390e71352c36302e
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?6a4805861a6d405390e71352c36302e
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Companion\Modules\messmod3\v4\yhexbmes.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Companion\Modules\messmod3\v4\yhexbmes.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 27 / 32
couscous boulette
20 mars 2007 à 17:52
Bonjour à tous.

J'ai le même problème que frelennic.

Dès que je me connect à internet, g droit à toute une série de popups intempestifs style Spyware secure, DRivecleaner, ect...

J'ai en plus fait une mauvaise manip en voulant fermé une pub Spyware secure, et me voilà avec ce logiciel qui s'ouvre dès que j'allume mon pc.

J'ai désinstaller le logiciel dans le panneau de configuration mais rien n'y fait, il reste toujours présent au démarrage.

Mon souhait (faites qu'un bon génis m'entende) serait de :
- me débarrasser de spyware secure
- me débarrasser de ces popups (qui me donnent de l'eczéma)

Merci d'avance (mon niveau pc est débutant mais se soigne)

Je suis sous Windows xp + antivirus Securittoo

J'ai scanné mon pc avec F-Secure Blacklight : rapport
03/20/07 15:45:35 [Info]: BlackLight Engine 1.0.55 initialized
03/20/07 15:45:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/20/07 15:45:35 [Note]: 7019 4
03/20/07 15:45:35 [Note]: 7005 0
03/20/07 15:45:38 [Note]: 7006 0
03/20/07 15:45:38 [Note]: 7011 3280
03/20/07 15:45:38 [Note]: 7026 0
03/20/07 15:45:38 [Note]: 7026 0
03/20/07 15:45:38 [Note]: 7024 3
03/20/07 15:45:38 [Info]: Hidden process: C:\windows\system32\vbpuhloi.exe
03/20/07 15:45:38 [Note]: 7024 3
03/20/07 15:45:38 [Info]: Hidden process: C:\windows\system32\vbpuhloi.exe
03/20/07 15:45:43 [Note]: FSRAW library version 1.7.1021
03/20/07 15:54:03 [Info]: Hidden file: c:\WINDOWS\system32\vbpuhloi.dat
03/20/07 15:54:03 [Note]: 10002 1
03/20/07 15:54:04 [Info]: Hidden file: C:\windows\system32\vbpuhloi.exe
03/20/07 15:54:04 [Note]: 10002 1
03/20/07 15:54:04 [Info]: Hidden file: c:\WINDOWS\system32\vbpuhloi_nav.dat
03/20/07 15:54:04 [Note]: 10002 1
03/20/07 15:54:05 [Info]: Hidden file: c:\WINDOWS\system32\vbpuhloi_navps.dat
03/20/07 15:54:05 [Note]: 10002 1
03/20/07 15:55:01 [Note]: 2000 1012
03/20/07 15:55:01 [Note]: 2000 1012
03/20/07 16:00:38 [Note]: 7007 0
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 mars 2007 à 18:06
Coucou la boulette,

1°- Fais une analyse par <gras>HijackThis, comme ceci</gras>:
- Avec connexion au Net en service,
- télécharge la version original de hijackthis < http://www.merijn.org/files/hijackthis.zip > https://www.pcastuces.com/logitheque/hijackthis.htm
- et un tuto dynamique ici < http://pageperso.aol.fr/balltrap34/Hijenr.gif >
- Déconnecte-toi du net pour installer le programme.
- Ensuite, installe HJT ( = HijackThis ) dans C:\Program Files par exemple. Pour cela : [Enregistrer] > « Poste de Travail » > « C:\ » > « Program Files » > [Enregistrer]
( s'il n'y est pas, crée un raccourci sur vers le bureau )

-Redémarre ton PC impérativement.

- Lance HJT en cliquant l'icône bureau, puis sur « Do a system scan and save a logfile »
- à la fin du scan le bloc-notes va s'ouvrir sur le bureau
- tu fais un copier/coller de tout son contenu.
- Et tu le postes sur le forum

POURQUOI l'installer là ?
Le problème consiste à avoir un dossier dédié à HijackThis;
car lors de l'utilisation il créera un dossier backup permettant de revenir en arrière en cas d'erreur.
L'emplacement de ce dossier importe peu à l'exclusion des dossiers temporaires qui sont vidés pratiquement systématiquement lors d'une procédure de nettoyage.
Ce nettoyage effacerait donc les backups; ce qui empêcherait tout retour en arrière.

Un "log" c'est la trace écrite de ce que un programme a fait et du résultat de son action.

2°- Donc, et puisqu'il nous faut désinfecter un maximum avant de poursuivre quoique ce soit, fais ceci:

Télécharge et installe AVG Anti-Spyware - ici: < http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw >

Si tu as besoin d'aide AVG-antispyware regarde ces tutoriels:
--> < http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html >
-- > < http://www.malekal.com/tutorial_AVG_AntiSpyware.html >
Tu enregistres le fichier dans Bureau.
A la fin du téléchargement, tu vois l’icône « avgas-setup… » sur le bureau.

Ensuite tu te déconnectes du Net, et tu fermes les sessions en cours.

Tu ouvres le fichier en faisant double-clic l’icône "avgas-setup-7.5.0.47.exe".
Une page s’ouvre ; tu clic sur « Exécuter » Tu suis les instructions.
Tu notes au passage que l’installation va se faire en :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5
Tu peux choisir le raccourci dans le menu « Démarrage »
Si on te demande de redémarrer ton ordinateur, tu le fais.
Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.
La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident ( clic sur « Modifier l’état » ).
Sur la page "mise à jour", tu coches les cases au § « mise à jour automatique »
et tu fais une mise à jour manuelle (clic sur « Commencer la mise à jour »).
Tu redémarres l'ordinateur si nécessaire.
-
Sur la page "Analyse", tu choisis d'abord l'onglet "Paramètres" > « Comment réagir »
--  clic sur « Action recommandées » et dans le menu déroulant, choisir « Supprimer »
-< http://bp3.blogger.com/... >
Tu coches à droite "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
Tu choisis ensuite l'onglet analyser, analyse complète du système.
A la fin de l'analyse, tu cliques sur "Action", "Appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous".
Tu suis les instructions dans la fenêtre qui s'ouvre.
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse.
-PS Pour les autres fois, pour lancer AVG, tu double-clic sur la deuxième icône bureau créée.

3°- Prends connaissance du contenu suivant:
http://www.f-secure.com/products/license-terms/eult_fra.pdf
Tu as donc pris connaissance et accepté les conditions d'utilisation du programme BlackLight qui est inclus dans le dossier compressé navilog1.zip que tu vas télécharger.

Maintenant fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
« Fichier » > "Enregistrer la cible (du lien) sous... " > et enregistre-le "sur ton bureau".
Fais un clic droit sur "navilog1.zip" et choisis "tout extraire"
Fais l'extraction dans un dossier propre à lui ( je le fais sur le bureau )
Ensuite double-clic sur "navilog1.bat " ( qui est donc sur ton bureau )
Laisse-toi guider. Au menu principal, choisis 1 et valide.
( ne fais pas le choix 2,3 ou 4 sans notre avis/accord )
Patiente jusqu'au message : *** Analyse : Terminé le ..... ***
Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
Copier/coller l'intégralité dans une réponse.
Referme le bloc-notes.

Merci
Al
0
Réponse 28 / 32
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 mars 2007 à 17:57
Re,

1°- « Dois-je supprimer quand même ce fichier infecté (NDNuninstall7_14.exe) ?? »

Réponse :OUI.

2°- Vider la poubelle en C:\RECYCLER\

3°- Panda ?

Merci
0
Réponse 29 / 32
frelennic Messages postés 17 Date d'inscription lundi 19 mars 2007 Statut Membre Dernière intervention 20 mars 2007
20 mars 2007 à 18:49
Analyse PANDA en cours, chef !
0
Réponse 30 / 32
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 mars 2007 à 18:53
Re,

Merci Fred

J'espère qu'après ça, ton PC ira mieux.

Al.
0
Réponse 31 / 32
frelennic Messages postés 17 Date d'inscription lundi 19 mars 2007 Statut Membre Dernière intervention 20 mars 2007
20 mars 2007 à 20:10
Analyse Panda terminée !
Y'a des trouvailles....

Mais pas de souci, la plupart des cookies qu'il y a là sont en train d'être bouffés par AVG anti-spyware, que j'ai mis en route !

Rapport Panda :


Incident Statut Analyse

Spyware:spyware/new.net No Désinfecté c:\windows\NDNuninstall7_14.exe
Adware:adware/beginto No Désinfecté c:\windows\system32\cache32_rtneg3
Adware:adware/zango No Désinfecté Registre Windows
Adware:Adware/NaviPromo No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Bureau\navilog1\Backupnavi\tlvohskcr.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Bureau\navilog1\Process.exe
Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Bureau\navilog1.zip[Process.exe]
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Cookies\lenne_frédéric@247realmedia[1].txt
Spyware:Cookie/RealMedia No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Cookies\lenne_frédéric@247realmedia[2].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Cookies\lenne_frédéric@bs.serving-sys[1].txt
Spyware:Cookie/Serving-sys No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Cookies\lenne_frédéric@serving-sys[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Cookies\lenne_frédéric@xiti[1].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\LENNE Frédéric.FROUDI\Cookies\lenne_frédéric@xiti[2].txt
Spyware:Cookie/RealMedia No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq3F.tmp
Spyware:Cookie/2o7 No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq40.tmp
Spyware:Cookie/Adtech No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq41.tmp
Spyware:Cookie/Serving-sys No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq43.tmp
Spyware:Cookie/Com.com No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq45.tmp
Spyware:Cookie/Comclick No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq46.tmp
Spyware:Cookie/MetriWeb No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq4A.tmp
Spyware:Cookie/Serving-sys No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq4B.tmp
Spyware:Cookie/Smartadserver No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq4C.tmp
Spyware:Cookie/Tribalfusion No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq4E.tmp
Spyware:Cookie/Weborama No Désinfecté C:\Program Files\Yahoo!\YPSR\Quarantine\ppq4F.tmp
0
Réponse 32 / 32
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
20 mars 2007 à 20:33
Re,

Avais-tu exécuté ceci avant de lancer Panda :

1°- « Dois-je supprimer quand même ce fichier infecté (NDNuninstall7_14.exe) ?? »
Réponse :OUI.

2°- Vider la poubelle en C:\RECYCLER\

???

3°- Et pour supprimer les cookies, relis le post # 18 .

4°- Pour c:\windows\NDNuninstall7_14.exe
essaie ainsi < https://leblogdeclaude.blogspot.com/2007/03/informatique-supprimer-un-programme.html > en plus de ce qui a été fait.
0

Discussions similaires

Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
hp bios update bloqué
almg -
Tkofficial -

9 réponses
Problème de clavier, des fenêtre s'ouvrent !!
Lyon691D -
tanteelise -

5 réponses