Fenêtres pubs s'ouvrent à nouveau!!!

Fermé
Pti.Lu Messages postés 53 Date d'inscription vendredi 9 mars 2007 Statut Membre Dernière intervention 19 avril 2007 - 16 avril 2007 à 14:04
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 19 avril 2007 à 18:50
Bonjour à tous,
Grace à vous, j'avais réussi à éliminer (pendant plus d'un mois) ces fenêtres publicitaires qui s'ouvraient de manière intempestive mais elles réapparaissent depuis 2 jours... voici le rapport hijackthis...
Merci pour votre aide précieuse!

Logfile of HijackThis v1.99.1
Scan saved at 14:03:47, on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\moi\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Eq Active Bows Delete] C:\Documents and Settings\All Users\Application Data\List regs eq active\Interteam.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [inside flag] C:\DOCUME~1\moi\APPLIC~1\okay bend jump\AdminClose.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

24 réponses

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
18 avril 2007 à 13:47
tu supprimes tout ce qu'on a utilisé pour la désinfection sauf ccleaner
tu recherches et supprimes ceci si tu les trouves
* blbetac.exe
* blbeta.exe
* navilog1.bat
* Process,exe
* regnavi.reg
* traiteregfsbl.bat
* traitementfsbl.bat
* le dossier backupnavi
*lopxpmh
C:\Navipromo, C:\BFU, ainsi que les fichiers C:\Navipromo.txt et Navipromo.bat,
* GenProc
etc... puis vide ta corbeille

télécharge AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation :
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse.
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions "
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


tu fais un scan en ligne avec panda, avec internet explorer et en acceptant l'activex tu désactives ton antivirus pendant le scan car ils ne s'aiment pas avec panda
http://pandasoftware.fr

et tu me postes les rapport avg et panda
0
Pti.Lu Messages postés 53 Date d'inscription vendredi 9 mars 2007 Statut Membre Dernière intervention 19 avril 2007 2
19 avril 2007 à 16:58
Bonjour,
Premier rapport...
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 16:46:41 19/04/2007

+ Résultat de l'analyse:



C:\Documents and Settings\moi\Cookies\moi@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\moi\Cookies\moi@bluestreak[2].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\moi\Cookies\moi@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\moi\Cookies\moi@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\moi\Cookies\moi@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
C:\Documents and Settings\moi\Cookies\moi@serving-sys[1].txt -> TrackingCookie.Serving-sys : Aucune action entreprise.


Fin du rapport
0
Pti.Lu Messages postés 53 Date d'inscription vendredi 9 mars 2007 Statut Membre Dernière intervention 19 avril 2007 2
19 avril 2007 à 17:03
Je suis en train d'analyser mes disques locaux avec Panda et il trouve des infections, pour l'instant...11 virus et 2 logiciels espions... hum!
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
19 avril 2007 à 17:20
j'attends ton rapport.
0
Pti.Lu Messages postés 53 Date d'inscription vendredi 9 mars 2007 Statut Membre Dernière intervention 19 avril 2007 2
19 avril 2007 à 17:37
Incident Statut Analyse

Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk[~0000050.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk[~0000068.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000088.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000109.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000143.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000190.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000243.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000305.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000316.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000359.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000480.~]
Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\moi\Cookies\moi@atdmt[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\moi\Cookies\moi@bluestreak[1].txt
Adware:Adware/NaviPromo No Désinfecté C:\WINDOWS\system32\zdcjiebuym.ex$
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
19 avril 2007 à 18:50
ce sont des courriers
regarde
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk[~0000050.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\Local Folders\Junk[~0000068.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000088.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000109.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000143.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000190.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000243.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000305.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000316.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000359.~]
Virus:Trj/Citifraud.A Désinfecté C:\Documents and Settings\moi\Application Data\Thunderbird\Profiles\2ifp734l.default\Mail\pop.free.fr\Inbox[~0000480.~]
et tous localisés au même endroit

je pense que tu devrais les supprimer


pour ceci

Adware:Adware/NaviPromo No Désinfecté C:\WINDOWS\system32\zdcjiebuym.ex$

on va faire ceci

· Télécharge Brute Force Uninstaller (de Merjin)
http://www.merijn.org/files/bfu.zip
et décompresse-le dans un dossier propre à lui (C:\BFU).
Fais un clic droit de souris sur ce lien :
http://metallica.geekstogo.com/EGDACCESS.bfu

et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..") afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (C:\BFU).
· Télécharge Navipromo.zip (de Lazzzy)
· http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip
et décompresse-le sur ton bureau.

· Copie la suite des instructions dans un fichier texte, sur ton bureau et Redémarre en mode sans échec
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.


* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.

* Sélectionne l'option "saisie".

et copie très exactement ceci (ne te trompe surtout pas , fais très attention)

zdcjiebuym

Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert

* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois.

* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois


* Démarrer -> panneau de configuration -> options internet

Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

=> Supprime-les tous

* lance Ccleaner pour un nettoyage complet

* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
0