Help pub a répétition d'anti virus et autre Fermé

Question

Bonsoir 

Je sais plus comment faire avec ces pages de pubs qui s'ouvre j'ai ésséyé spybot j'utilise abp avec firfox j'ai ccleaner mais rien n'y fais ces pub sont toujours aussi présente aider s'il vous plais...
Merci d'avance pour vos réponse

lhionna · Answer

Bonsoir, 
Je tiens a précisé que je ne suis pas une spécialiste mais en attendant que quelqu'un de plus qualifié que moi t'aide, je connait quelques trucs qui pourront peut-être t'aider

alors télécharge hijackthis ici http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe

Ensuite, tu le lances et tu choisis "Do a system scan and save a logfile"

Un page va s'ouvrir, tu selectionnes tout et tu colles ici !

ce n'est qu'une 1ere étape
Au fait, tu n'as pas d'antivirus ?

loulou5711 · Answer

Merci pour ta réponse j'utilise avast comme anti virus je fais un scanne et je fais un copier coller

lhionna · Answer

ok,  un scan avec hijack hein ? ^^ pas avec ton antivirus ! ^^

loulou5711 · Answer

Je vais paraitre pour une beubeu mais je n'ai pas "Do a system scan and save a logfile"  j'ai juste scan sa va aussi?

loulou5711 · Answer

oui oui avec hijack lol

lhionna · Answer

euh c'est bizarre normalement, c'est le 1er bouton, do a system scanand save a logfile, non juste un scan ne suffira pas, j'ai besoin du log pour t'aider !

loulou5711 · Answer

lol j'ai trouvé voici le scan 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 02:13:15, on 03/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Profil\Bureau\HiJackThis_v2.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Raccourci vers ashDisp.lnk = C:\Program Files\Alwil Software\Avast4\ashDisp.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32	lntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

lhionna · Answer

ok je te dis si je trouve quelque chose dans 2mn

loulou5711 · Answer

ok merci encore

lhionna · Answer

bon je ne trouve rien d'anormal ds ton log d'hijackthis
J'ai trouvé ça dans un autre sujet :
Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 
Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt 

une fois que j'ai le log je pourrait t'aider

loulou5711 · Answer

Pour le moment il scan je tenvoi le contenu du rapport kan il a fini

lhionna · Answer

ok pas de souci j'attend !

loulou5711 · Answer

arf sa déconné il fo e je recommence le scanne je sui deg vu le temp ke sa prend je le refais demain si sa te gene pas .

loulou5711 · Answer

ah non sa marché dsl voici le log 
VundoFix V6.3.19

Checking Java version...

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 02:22:01 03/04/2007

Listing files found while scanning....

No infected files were found.

lhionna · Answer

je pense qu'il faudrait que tu fasses un scan avec ad aware
http://ukms.tucows.com/files2/aawsepersonal.exe
rassure toi ca prend du temps ! ^^
Une fois qu'il a fini, tu selectionnes tout ce qu'il trouve et tu supprimes.
Je vais dodo, je suis naze mais dès que tu as fini l'analyse dit moi s'il a trouvé quelquechose, je te repondrait demain (enfin tout a l'heure ! ^^) 
tu peux aussi aller te coucher, le résultat restera affiché tant que tu n'auras pas cliqué sur le bouton approprié ! ca peut atteindre que le soleil se lève, non?
A plus tard ^^

loulou5711 · Answer

pas de prob merci encore je t'envoi le résulta demain merci encore une foi et bonne nuit !!!!

lhionna · Answer

Bonjour !
Je suis là ! dès que tu es dispo fait moi signe !

loulou5711 · Answer

bonjours je suis la alors qu'es ce je dois t'envoyé?

lhionna · Answer

J'aurais besoin de plus de précision sur les pop-up, quel genre de publicité ? si possible le nom de la publicité ( c'est pour me mettre sur la piste d'une saleté plutôt qu'une autre)

lhionna · Answer

Et pour le scan d'Adaware, qu'est ce que ça donne ? il a trouvé quelque chose ?

loulou5711 · Answer

oui dans "scan summary il m'a trouvé un "microgaming" et un "tracking cookie"

lhionna · Answer

oki j'en déduit donc que tes pubs intempestives sont des pub de Casino c'est ca ? 
Tu as selectionné tout et supprimé avec adaware ?

loulou5711 · Answer

j'en recois aussi mais le plus que je recois c'est des pub d'anti virus genre " errorsafe " qui me demande de les installé et kan je clike sur annulé la page firfox se réduit

lhionna · Answer

(pris ans un autre post)
ErrorSafe est un programme alarmant l'utilisateur sur des problèmes de sécurité fictifs, afin d'encourager l'utilisateur à acheter une version payante du logiciel. 

Pour se débarrasser d'ErrorSafe, il suffit d'installer Ad-Aware SE Personal et de mettre à jour la base de données de Définitions, puis de lancer une analyse : 
---> ad aware 

En complément, il est possible de faire de même avec Spybot Search & Destroy : 
---> spybot 

Enfin, en dernier recours, si après avoir redémarré l'ordinateur le problème persiste, le mieux est de supprimer tout ce qui porte le nom Errorsafe dans le registre : 

-Cliquer sur menu démarrer/exécuter/, puis saisir : regedit

- Valider par OK, puis aller dans édition/rechercher et saisir errorsafe

- Cliquer sur Suivant et attendre que la recherche aboutisse, 
- Cliquer avec le bouton droit de la souris sur le dossier trouvé et choisir Supprimer, puis appuyer sur F3 (poursuite de la recherche) 
- Supprimer de la même manière l'ensemble des dossiers trouvés après avoir appuyé sur F3.

lhionna · Answer

j'ai oublié de te dire de mettre à jour adaware avant le scan, est ce que tu l'a fait ? sinon fait le et relance un scan

lhionna · Answer

tu as fait la manip avec demarrer executer regedit ?

loulou5711 · Answer

Oui j'ai vu se poste aussi et comme sa ressemblais a mon prob je me suis dis pourkoi pas ésséyé , mais quand je fais la recherche il me trouve pas "errorsafe"
 je vais dans qoi pour faire une mise a jour c'est en anglais je comprend rien lol

lhionna · Answer

tu clik sur le lien check for updates now

loulou5711 · Answer

Voila c'est fais je refais un scan?

lhionna · Answer

oui !
Quand t'aura fini le scan avec adaware 
Refait un scan vundofix car je croit que tout a l'heure, tu as poster un rapport de vundofix incomplet
instructions :
Double-clique VundoFix.exe afin de le lancer. 
Coche Run VundoFix as a task. 
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok 
Clique sur le bouton Scan for Vundo. 
Lorsque le scan est complété, clique sur le bouton Remove Vundo. 
Une invite te demandera si tu veux supprimer les fichiers, clique YES 
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK 
Démarre ton PC à nouveau. 
Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans le forum

J'ai trouvé plein de sujet sur errorsafe et pour certains seul vundofix les a aider ! ca me semble donc bizarre qu'il n'ai rien trouvé !

Ensuite tu peux refaire un scan avec hijackthis et colle le rapport

loulou5711 · Answer

Voici le log scan de adawre



Ad-Aware SE Build 1.06r1
Logfile Created on:mardi 3 avril 2007 10:30:28
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R164 02.04.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MicroGaming(TAC index:4):1 total references
MRU List(TAC index:0):14 total references
Tracking Cookie(TAC index:3):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


03-04-2007 10:30:29 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
    FilePath           : \SystemRoot\System32\
    ProcessID          : 764
    ThreadCreationTime : 03-04-2007 00:43:22
    BasePriority       : Normal


#:2 [csrss.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 1008
    ThreadCreationTime : 03-04-2007 00:43:25
    BasePriority       : Normal


#:3 [winlogon.exe]
    FilePath           : \??\C:\WINDOWS\system32\
    ProcessID          : 1032
    ThreadCreationTime : 03-04-2007 00:43:26
    BasePriority       : High


#:4 [services.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1080
    ThreadCreationTime : 03-04-2007 00:43:28
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Applications Services et Contrôleur
    InternalName       : services.exe
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : services.exe

#:5 [lsass.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1092
    ThreadCreationTime : 03-04-2007 00:43:28
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : LSA Shell (Export Version)
    InternalName       : lsass.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : lsass.exe

#:6 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1240
    ThreadCreationTime : 03-04-2007 00:43:29
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:7 [svchost.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1300
    ThreadCreationTime : 03-04-2007 00:43:30
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:8 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1336
    ThreadCreationTime : 03-04-2007 00:43:30
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:9 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1392
    ThreadCreationTime : 03-04-2007 00:43:31
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:10 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 1504
    ThreadCreationTime : 03-04-2007 00:43:31
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:11 [spoolsv.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 1844
    ThreadCreationTime : 03-04-2007 00:43:34
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
    ProductVersion     : 5.1.2600.2696
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Spooler SubSystem App
    InternalName       : spoolsv.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : spoolsv.exe

#:12 [aswupdsv.exe]
    FilePath           : C:\Program Files\Alwil Software\Avast4\
    ProcessID          : 1976
    ThreadCreationTime : 03-04-2007 00:43:34
    BasePriority       : Normal


#:13 [ashserv.exe]
    FilePath           : C:\Program Files\Alwil Software\Avast4\
    ProcessID          : 1988
    ThreadCreationTime : 03-04-2007 00:43:34
    BasePriority       : High
    FileVersion        : 4, 7, 936, 0
    ProductVersion     : 4, 7, 0, 0
    ProductName        : avast! Antivirus 
    FileDescription    : avast! antivirus service
    InternalName       : aswServ
    LegalCopyright     : Copyright (c) 2007 ALWIL Software
    OriginalFilename   : aswServ.exe

#:14 [btntservice.exe]
    FilePath           : C:\Program Files\IVT Corporation\BlueSoleil\
    ProcessID          : 2020
    ThreadCreationTime : 03-04-2007 00:43:35
    BasePriority       : Normal


#:15 [ccsetmgr.exe]
    FilePath           : C:\Program Files\Fichiers communs\Symantec Shared\
    ProcessID          : 2036
    ThreadCreationTime : 03-04-2007 00:43:35
    BasePriority       : Normal
    FileVersion        : 103.0.3.8
    ProductVersion     : 103.0.3.8
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Settings Manager Service
    InternalName       : ccSetMgr
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : ccSetMgr.exe

#:16 [gearsec.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 680
    ThreadCreationTime : 03-04-2007 00:43:37
    BasePriority       : Normal
    FileVersion        : 1, 0, 0, 6
    ProductVersion     : 1, 0, 0, 6
    ProductName        :   gearsec
    CompanyName        : GEAR Software
    FileDescription    : gearsec
    InternalName       : gearsec
    LegalCopyright     : Copyright © 2001-2003 GEAR Software
    OriginalFilename   : gearsec.exe

#:17 [richvideo.exe]
    FilePath           : C:\Program Files\CyberLink\Shared files\
    ProcessID          : 720
    ThreadCreationTime : 03-04-2007 00:43:37
    BasePriority       : Normal
    FileVersion        : 1.1.0808  
    ProductVersion     : 1.1.0808  
    ProductName        : RichVideo Module
    FileDescription    : RichVideo Module
    InternalName       : RichVideo
    LegalCopyright     : Copyright 2004
    OriginalFilename   : RichVideo.EXE

#:18 [svchost.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 744
    ThreadCreationTime : 03-04-2007 00:43:37
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Generic Host Process for Win32 Services
    InternalName       : svchost.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : svchost.exe

#:19 [wdfmgr.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 820
    ThreadCreationTime : 03-04-2007 00:43:38
    BasePriority       : Normal
    FileVersion        : 5.2.3790.1230 built by: dnsrv(bld4act)
    ProductVersion     : 5.2.3790.1230
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows User Mode Driver Manager
    InternalName       : WdfMgr
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : WdfMgr.exe

#:20 [winvnc.exe]
    FilePath           : C:\Program Files\UltraVNC\
    ProcessID          : 904
    ThreadCreationTime : 03-04-2007 00:43:38
    BasePriority       : Normal


#:21 [ccevtmgr.exe]
    FilePath           : C:\Program Files\Fichiers communs\Symantec Shared\
    ProcessID          : 164
    ThreadCreationTime : 03-04-2007 00:43:39
    BasePriority       : Normal
    FileVersion        : 103.0.3.8
    ProductVersion     : 103.0.3.8
    ProductName        : Client and Host Security Platform
    CompanyName        : Symantec Corporation
    FileDescription    : Symantec Event Manager Service
    InternalName       : ccEvtMgr
    LegalCopyright     : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
    OriginalFilename   : ccEvtMgr.exe

#:22 [ashmaisv.exe]
    FilePath           : C:\Program Files\Alwil Software\Avast4\
    ProcessID          : 1140
    ThreadCreationTime : 03-04-2007 00:43:42
    BasePriority       : Normal


#:23 [ashwebsv.exe]
    FilePath           : C:\Program Files\Alwil Software\Avast4\
    ProcessID          : 308
    ThreadCreationTime : 03-04-2007 00:43:43
    BasePriority       : Normal


#:24 [explorer.exe]
    FilePath           : C:\WINDOWS\
    ProcessID          : 1476
    ThreadCreationTime : 03-04-2007 00:43:46
    BasePriority       : Normal
    FileVersion        : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 6.00.2900.2180
    ProductName        : Système d'exploitation Microsoft® Windows®
    CompanyName        : Microsoft Corporation
    FileDescription    : Explorateur Windows
    InternalName       : explorer
    LegalCopyright     : © Microsoft Corporation. Tous droits réservés.
    OriginalFilename   : EXPLORER.EXE

#:25 [wgatray.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 2216
    ThreadCreationTime : 03-04-2007 00:43:51
    BasePriority       : Normal
    FileVersion        : 1.5.0540.0
    ProductVersion     : 1.5.0540.0
    ProductName        : Windows Genuine Advantage
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Genuine Advantage Notification
    InternalName       : WgaNotify
    LegalCopyright     : © 1995-2006 Microsoft Corporation
    OriginalFilename   : WgaTray.exe

#:26 [wscntfy.exe]
    FilePath           : C:\WINDOWS\system32\
    ProcessID          : 2244
    ThreadCreationTime : 03-04-2007 00:43:51
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Windows Security Center Notification App
    InternalName       : wscntfy.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : wscntfy.exe

#:27 [alg.exe]
    FilePath           : C:\WINDOWS\System32\
    ProcessID          : 2260
    ThreadCreationTime : 03-04-2007 00:43:52
    BasePriority       : Normal
    FileVersion        : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
    ProductVersion     : 5.1.2600.2180
    ProductName        : Microsoft® Windows® Operating System
    CompanyName        : Microsoft Corporation
    FileDescription    : Application Layer Gateway Service
    InternalName       : ALG.exe
    LegalCopyright     : © Microsoft Corporation. All rights reserved.
    OriginalFilename   : ALG.exe

#:28 [msnmsgr.exe]
    FilePath           : C:\Program Files\MSN Messenger\
    ProcessID          : 2884
    ThreadCreationTime : 03-04-2007 00:44:00
    BasePriority       : Normal
    FileVersion        : 8.1.0178.00
    ProductVersion     : 8.1.0178
    ProductName        : Messenger
    CompanyName        : Microsoft Corporation
    FileDescription    : Messenger
    InternalName       : msnmsgr.exe
    LegalCopyright     : Copyright (c) Microsoft Corporation.  All rights reserved.
    OriginalFilename   : msnmsgr.exe

#:29 [ashdisp.exe]
    FilePath           : C:\Program Files\Alwil Software\Avast4\
    ProcessID          : 2996
    ThreadCreationTime : 03-04-2007 00:44:02
    BasePriority       : Normal
    FileVersion        : 4, 7, 936, 0
    ProductVersion     : 4, 7, 0, 0
    ProductName        : avast! Antivirus 
    FileDescription    : avast! service GUI component
    InternalName       : aswDisp
    LegalCopyright     : Copyright (c) 2007 ALWIL Software
    OriginalFilename   : aswDisp.exe

#:30 [vundofix.exe]
    FilePath           : D:\Profil\Bureau\
    ProcessID          : 3336
    ThreadCreationTime : 03-04-2007 00:51:53
    BasePriority       : Normal
    FileVersion        : 6.03.0019
    ProductVersion     : 6.03.0019
    ProductName        : VundoFix
    CompanyName        : Atribune.org
    FileDescription    : VundoFix.exe
    InternalName       : VundoFix
    LegalCopyright     : © atribune.org
    OriginalFilename   : VundoFix.exe
    Comments           : Virtumonde Removal Tool

#:31 [firefox.exe]
    FilePath           : C:\Program Files\Mozilla Firefox\
    ProcessID          : 2868
    ThreadCreationTime : 03-04-2007 07:47:15
    BasePriority       : Normal


#:32 [ad-aware.exe]
    FilePath           : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
    ProcessID          : 2724
    ThreadCreationTime : 03-04-2007 08:15:39
    BasePriority       : Normal
    FileVersion        : 6.2.0.236
    ProductVersion     : SE 106
    ProductName        : Lavasoft Ad-Aware SE
    CompanyName        : Lavasoft Sweden
    FileDescription    : Ad-Aware SE Core application
    InternalName       : Ad-Aware.exe
    LegalCopyright     : Copyright © Lavasoft AB Sweden
    OriginalFilename   : Ad-Aware.exe
    Comments           : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 MicroGaming Object Recognized!
    Type               : Regkey
    Data               : 
    TAC Rating         : 4
    Category           : Malware
    Comment            : 
    Rootkey            : HKEY_USERS
    Object             : S-1-5-21-2000478354-484061587-682003330-1003\software\microgaming

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


 Tracking Cookie Object Recognized!
    Type               : IECache Entry
    Data               : elodie@weborama[1].txt
    TAC Rating         : 3
    Category           : Data Miner
    Comment            : Hits:1
    Value              : Cookie:elodie@weborama.fr/
    Expires            : 04-06-2007 02:02:54
    LastSync           : Hits:1
    UseCount           : 0
    Hits               : 1

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 2



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2

Disk Scan Result for C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2

Disk Scan Result for C:\DOCUME~1\Elodie\LOCALS~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 2


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
3 entries scanned.
New critical objects:0
Objects found so far: 2



 MRU List Object Recognized!
    Location:          : C:\Documents and Settings\Elodie\recent
    Description        : list of recently opened documents


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct3d


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


 MRU List Object Recognized!
    Location:          : software\microsoft\direct3d\mostrecentapplication
    Description        : most recent application to use microsoft direct X


 MRU List Object Recognized!
    Location:          : software\microsoft\directdraw\mostrecentapplication
    Description        : most recent application to use microsoft directdraw


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\mediaplayer\medialibraryui
    Description        : last selected node in the microsoft windows media player media library


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\search assistant\acmru
    Description        : list of recent search terms used with the search assistant


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\windows\currentversion\applets\regedit
    Description        : last key accessed using the microsoft registry editor


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
    Description        : list of recent programs opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
    Description        : list of recently saved files, stored according to file extension


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\windows\currentversion\explorer\recentdocs
    Description        : list of recent documents opened


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\windows\currentversion\explorer\runmru
    Description        : mru list for items opened in start | run


 MRU List Object Recognized!
    Location:          : S-1-5-21-2000478354-484061587-682003330-1003\software\microsoft\windows media\wmsdk\general
    Description        : windows media sdk 



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 16

10:36:29 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:06:00.110
Objects scanned:89428
Objects identified:2
Objects ignored:0
New critical objects:2

lhionna · Answer

ok super il a trouvé 2 nouveaux objets critiques !
Alors tu coche tout et tu met en quarantaine (move to quarantine)
tente quand même vundofix, ca ne peut pas lui faire de mal !

loulou5711 · Answer

kan je clike sur vundofix.exe une page s'ouvre et me dis vundofix.exe is already running puis je dois cliké sur ok c'est normal?

lhionna · Answer

oui click sur ok

loulou5711 · Answer

kan je clike ok  sa se lance pas rien se passe !

lhionna · Answer

bon ok regarde s'il n y a pas une icone dans la barre des taches
Pour l'instant est ce qu'une autre fenêtre publicitaire s'est ouverte depuis la suppression avec adaware ?

loulou5711 · Answer

J'ai rien dans la barre des tâches et oui j'ai toujours des page de pub mais c'est plus des anti virus c'est naviSearch

loulou5711 · Answer

C'est bon vundofix marche sa scan

lhionna · Answer

Télécharge Navilog

http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

Placez navilog1.zip sur le bureau puis faites un clic droit / Extraire tout ou Extraire ici afin de décompresser les fichiers (voir la capture ci-dessous).
Ne double-cliquez pas sur navilog1.zip


Double-cliquez sur le fichier navilog1.bat (il se peut que .bat n'apparaisse pas et que vous n'ayez que navilog1).
Une fenêtre noire semblable à celle ci-dessous s'ouvre.
Appuyez sur une touche pour passer à l'étape suivante


Appuyez sur une touche pour passer à l'étape suivante


L'étape suivante va vérifier que vous avez bien décompressé l'archive. Si ce n'est pas le cas, l'exécution va se terminer ici.
Vérifiez que vous avez bien décompressé navilog1.zip ENTIEREMENT sur votre bureau.
Appuyez sur une touche pour passer à l'étape suivante


Le menu du fix s'ouvre alors.
Choisissez l'option 1, pour cela, tapez sur la touche 1  de votre clavier puis appuyez sur la touche entrée de votre clavier.


La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes (de 5 à 10min), soyez patient et ne touchez à rien.
Des inscriptions comme ci-dessous peuvent apparaître.


Le rapport fixnavi.txt s'ouvre alors..
(si ce dernier ne s'ouvre pas : Ouvrez le poste de travail puis Disque C et enfin double-cliquez sur fixnavi.txt)
IMPORTANT : si vous vous faites aidé sur un forum de sécurité, postez le contenu complet de ce rapport.



La partie qui nous interresse est reproduite ci-dessous sur fond gris, elle débute à partir de Recherche Programmes installes
*** Recherche Programmes installes *** 
MailSkinner


*** Recherche dossiers dans C:\WINDOWS ***


*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MailSkinner trouvé ! 


*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

c:\WINDOWS\system32\ejffbidmap.dat 
c:\WINDOWS\system32\ejffbidmap_nav.dat
c:\WINDOWS\system32\ejffbidmap_navp.dat
C:\WINDOWS\system32\ejffbidmap.exe 

 

Dans la partie Recherche avec BlackLight Engine/F-secure apparaît les fichiers responsables de l'ouverture des popups.

Vous devez y trouver des fichiers dans le dossier system32 de Windows de la forme :
xxxxxxx.exe
xxxxxxx.dat
xxxxxxx_nav.dat
xxxxxxx_navps.dat
où xxxxxxx est une suite aléatoire de lettres.

Notez cette suite de lettres avant de passer à la partie désinfection.

Eradication de Magic.Control/Navipromo avec navilog1
Pour éradiquer Magic.Control/Navipromo, vous devez donc :

avoir noté cette suite de lettres aléatoires qui est apparue sur votre rapport. 
vous devez redémarrer en mode sans échec !
En mode sans échec, vous risquez de ne pas avoir de connexion internet, je vous conseil donc afin de pouvoir avoir les instructions à portée de main:

soit d'enregistrer la page, (fichier / enregistrer-sous)
soit d'imprimer le contenu de la page
Pour redémarrer en mode sans échec, suivez les instructions de la page : Comment Redémarrer en mode sans échec


Une fois en mode sans échec, double-cliquez sur navilog1.bat.. appuyez sur une touche à chaque message Appuyez sur une touche pour continuer.. pour arriver au menu de la capture ci-dessous
Vous devez choisir l'option Désinfection manuelle par saisie nom adware soit donc l'option 4
Appuyez sur touche 4 du clavier puis appuyez sur la touche Entrée du clavier


Le fix va se mettre à travailler, cela peut prendre plusieurs minutes... soyez patient !
Sur la fenêtre noire, le message Si des dll nefastes sont presentes, elles vont être desenregistrees peut apparaître.
Une petite fenêtre RegSrv32 peut alors apparaître avec le message DllUnregisterServer dans <nom de la dll> a réussi
Cliquez simplement sur OK, si d'autres fenêtres de ce type s'ouvrent, cliquez sur OK à chaque fois.


Vous devez ensuite spécifier le radical à supprimer, tapez simplement la suite de lettres que vous noté soigneusement
Appuyez sur la touche Entrée de votre clavier


Afin d'éviter les erreurs, tapez à nouveau cette suite de lettres
Appuyez sur la touche Entrée de votre clavier


Le nettoyage et la suppression de l'infection va se poursuivre.
Le rapport va s'ouvrir alors... Vérifiez bien que dans la partie Mode suppression manuelle, les fichiers soient bien mentionnés comme supprimé.
A ce stade, si vous avez bien suivi les étapes, votre ordinateur est désinfecté de Magic.Control/Navipromo.
Le rapport de désinfection est créé sur le bureau et porte le nom de cleanavi.txt
Si vous vous faites aidé sur un forum de sécurité, enregistrez ce rapport sur votre bureau.

Redémarrez l'ordinateur
Copier/collez le contenu de ce rapport
Si vous ne vous faites pas aidé sur un forum de sécurité :

Redémarrez l'ordianteur
Surfez pour vérifier que les popups de publicités ne s'ouvrent plus. 
Note : Si vous des fichiers sains ont été supprimés, ces derniers sont sauvegardés dans le dossier BackupNavi, vous pouvez donc les replacer à leurs emplacements d'origines.





Finir le nettoyageVous pouvez alors supprimer les fichiers de navilog1 qui ont été utilisés pour désinfecter votre ordinateur:  

blbetac.exe
blbeta.exe
navilog1.bat
Process,exe
regnavi.reg
traiteregfsbl.bat
traitementfsbl.bat
le dossier backupnavi

Enfin pour terminer : 

Cliquez sur menu Démarrer puis Panneau de configuration
Double-clicquez sur Options Internet
Cliquez sur l'onglet Contenu puis sur Certificats, dans la colonne Editeurs approuvés, supprimez si présent :
electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

loulou5711 · Answer

Houla je le fais en meme temp ke le scan de vundofix ou j'attend kil finisse son scan

loulou5711 · Answer

Es ce que je dois t'envoyé le rapport apres le scan?

lhionna · Answer

non pas en même temps
et oui si possible colle le raport 
désolée pour le retard mais je m'occupe des mes enfants en même temps ^^

loulou5711 · Answer

pas de prob , dsl d'avoir mi du temp pour répondre ausi je n'arrivai plus a retourné en mode normal vu ke j'étai en mode sans echec j'ai fais tout se ki étai marké je vai testé pour voir si sa marché

loulou5711 · Answer

SA MARCHE !!!!!!! plus de pub c'est génial merci mille fois pour ton soutien encore bravoooooo

lhionna · Answer

Génial ! fait quand même un scan en ligne pour etre sure

https://www.kaspersky.fr/downloads

observe ton pc pendant 48h et s'il y a qoui que ce soit n'hesite pas !

loulou5711 · Answer

je suis sur le site ke pour scanner je clike sur kasperskyonline scanner et une autre page s'ouvre en anglais biensur lol  je dois cliké sur accepte ou decline donc g cliké sur accepte mais rien se passe

lhionna · Answer

c'est surement parcequ'il faut que tu accepte qu'il installe le controle active X (petite barre jaune en haut de la fenetre click droit, installer le controle active X)

loulou5711 · Answer

excuse moi j'ai du mettre ma fille au lit , g pas la petite barre jaune en haut de la fenetre

lhionna · Answer

beh laisse tomber le scan en ligne, tu es sous firefox et moi je ne connait pas

Fait un scan avec ton antivirus
Je te conseille aussi de régulièrement faire un scan avec adaware (1 fois par semaine environ) et ce genre de ptit problème ne t'arrivera plus !

Bisous a ta ptite puce ! ^^
Moi j'ai 3 ptits mecs !

loulou5711 · Answer

ok je fais un scan avec avast , ils ont kel age ? ma fille va voir 2 ans le 24 de se mois ci

lhionna · Answer

Enzo né le 13/12/2000 (6ans)
Nolhan né le 31/12/2002 (4ans)
et Léo né le 01/06/2006 ( 10 mois)
^^ un mini harem pour moi toute seule !

loulou5711 · Answer

Sa donne de la vie 3 enfant surtout 3 petit homme , tu doi pa t'ennuyé lol moi je vois la mienne a elle toute seule elle me fais tournée en bourik lol sa te di kon échange nos adresse msn ?

lhionna · Answer

oui bien sur envoie moi ton adresse en message privé en cliquant sur l'enveloppe de la barre bleue en tête de mes messages
car j'ai fait l'erreur de mettre mon adresse dans un message normal et j'avais tout les jours des personnes qui voulaient s'ajouter a mes contacts !

loulou5711 · Answer

ah ouè d'accord jimagine le bordelle lol je te lenvoi de suite

Help pub a répétition d'anti virus et autre

54 réponses

Discussions similaires