probleme de pub qui s'ouvre sans arret Résolu/Fermé

Question

bonjour a tous et merci d'avance pour toute les reponses que vous pourrais m'apporté,
j'ai un probleme de pub d'anti-virus qui souvre tout le temps.

j'ai fait un scan avec hijackthis dont voici le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 03:39:10, on 23/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\WistitiSoft\Agent.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Mio Technology\MioSync\mioSync.exe
C:\Program Files\Eurobarre\eb.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\DVD Shrink\DVD Shrink 3.2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ExtraFilmHemmaAgent] "C:\Program Files\WistitiSoft\Agent.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [X'nBeep] C:\Program Files\X'nBeep 1.1\XnBeep.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: Eurobarre.lnk = C:\Program Files\Eurobarre\eb.exe
O4 - Global Startup: MioSync.lnk = C:\Program Files\Mio Technology\MioSync\mioSync.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CC323C1-0289-4B3A-8A4A-B35AFA36F52C}: NameServer = 84.103.237.146 86.64.145.146
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

merci de peut-etre pouvoir m'aider....

kris6943 · Answer

si tu es sous XP essaye ça (ne fonctionne pas sous vista)
pour les problèmes de fenêtres de pub intempestives télécharger http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
quand tu en seras ici
http://img525.imageshack.us/img525/197/sanstitre2hj5.jpg

tu choisiras l'option N°1
il va se créer un rapport qui t'indiquera si ton PC est infecté
 poster ce rapport ici si tu ne sais pas l'interpréter

sinon passe a l'etape 2 et le probleme devrait etre résolu

killertaz · Answer

voici le rapport de navifix :

Search Navipromo version 2.0.9 commencé le 23/08/2007 à 13:45:08,20
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 
InternetGameBox 
MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MessengerSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Mickael\Application Data ***


...\Application Data\MessengerSkinner trouvé !

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\icdysnhcga.dat 
C:\windows\system32\icdysnhcga.exe 
c:\WINDOWS\system32\icdysnhcga_nav.dat 
c:\WINDOWS\system32\icdysnhcga_navps.dat 

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\icdysnhcga.exe 


*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés :

C:\WINDOWS\system32\icdysnhcga.exe trouvé ! 

Fichiers suspects :

Aucun Fichier suspect trouvé !



*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
HKEY_CURRENT_USER\Software\mc trouvé !  


*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\icdysnhcga.dat trouvé !
** 
C:\WINDOWS\system32\icdysnhcga.dat trouvé !
C:\WINDOWS\system32\vfmyzwbex.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\icdysnhcga_navps.dat trouvé !
C:\WINDOWS\system32\vfmyzwbex_navps.dat trouvé !
***** 
****** 
******* 
******** 
C:\WINDOWS\system32\lhrogymb.exe trouvé !
C:\WINDOWS\system32\oaqcivp.exe trouvé !
C:\WINDOWS\system32\vfmyzwbex.exe trouvé !


3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 23/08/2007 à 13:55:55,89 ***

kris6943 · Answer

killertaz, passes a l'option 2 tu es infecté

killertaz · Answer

voici le rapport de navifix :     ( avec l'option 2 )


 Clean Navipromo version 2.0.9 commencé le 23/08/2007 à 17:09:23,29

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


*** Creation backups fichiers trouvés par Blacklight *** 

Copie vers "C:\Program Files
avilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\icdysnhcga.dat supprimé ! 
C:\windows\system32\icdysnhcga.exe supprimé ! 
c:\WINDOWS\system32\icdysnhcga_nav.dat supprimé ! 
c:\WINDOWS\system32\icdysnhcga_navps.dat supprimé ! 
 
** 2ème passage ** 
 
C:\WINDOWS\system32\icdysnhcga.exe absent ! 
C:\WINDOWS\system32\icdysnhcga.dat absent ! 
C:\WINDOWS\system32\icdysnhcga_nav.dat absent ! 
C:\WINDOWS\system32\icdysnhcga_navps.dat absent ! 
C:\WINDOWS\system32\icdysnhcga_navup.dat absent ! 
C:\WINDOWS\system32\icdysnhcga_navtmp.dat absent ! 
C:\WINDOWS\system32\icdysnhcga_m2s.xml absent ! 


C:\WINDOWS\prefetch\icdysnhcga*.pf trouvé ! 
Copie C:\WINDOWS\prefetch\icdysnhcga*.pf réalise avec succes !
C:\WINDOWS\prefetch\icdysnhcga*.pf supprimé !


*** Recherche avec GenericNaviSearch ***
!!! Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

Fichiers trouvés supprimés avec backups :

Aucun Fichier trouvé !

Fichiers suspects :

Aucun Fichier suspect trouvé !


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MessengerSkinner ...suppression... 
C:\Program Files\MessengerSkinner supprimé ! 


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Mickael\Application Data ***

...\Application Data\MessengerSkinner ...suppression... 
...\Application Data\MessengerSkinner supprimé ! 



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32
vs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Mickael\Local Settings\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

* 
** 
C:\WINDOWS\System32\vfmyzwbex.dat trouvé !
Copie C:\WINDOWS\system32\vfmyzwbex.dat réalise avec succes !
C:\WINDOWS\system32\vfmyzwbex.dat supprimé !

*** 
**** 
C:\WINDOWS\System32\vfmyzwbex_navps.dat trouvé !
Copie C:\WINDOWS\system32\vfmyzwbex_navps.dat réalise avec succes !
C:\WINDOWS\system32\vfmyzwbex_navps.dat supprimé !

***** 
C:\WINDOWS\System32\vfmyzwbex_nav.dat trouvé !
Copie C:\WINDOWS\system32\vfmyzwbex_nav.dat réalise avec succes !
C:\WINDOWS\system32\vfmyzwbex_nav.dat supprimé !

****** 
******* 
******** 
C:\WINDOWS\system32\lhrogymb.exe trouvé !
Copie C:\WINDOWS\system32\lhrogymb.exe réalise avec succes !
C:\WINDOWS\system32\lhrogymb.exe supprimé !

C:\WINDOWS\system32\oaqcivp.exe trouvé !
Copie C:\WINDOWS\system32\oaqcivp.exe réalise avec succes !
C:\WINDOWS\system32\oaqcivp.exe supprimé !

C:\WINDOWS\system32\vfmyzwbex.exe trouvé !
Copie C:\WINDOWS\system32\vfmyzwbex.exe réalise avec succes !
C:\WINDOWS\system32\vfmyzwbex.exe supprimé !


3)Certificats :

Certificat Egroup supprimé !

*** Sauvegarde du registre vers dossier Backupnavi ***

sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***

Nettoyage registre Ok


*** Nettoyage termine le 23/08/2007 à 17:15:29,40 ***

kris6943 · Answer

c'est clean tu ne devrais plus avoir de problème

killertaz · Answer

ok merci beaucoup kris6943, je n'ai plus qu'a attendre un peu pour voir mais pour l'instant sa a l'air ok

juste une derniere question :

comment tu fais pour voir si tu es infecté ou pas ?

( je parle dans les rapport )

!^^![ME] · Answer

salut,
si tu veux apprendre a voir si c'est infecté ou pas si tu a des questions va ici:
http://lyonnais92.aceboard.fr/index.php?login=246694&rub=
tu navique un peu dans les different forum et apres...!

kris6943 · Answer

dans ton 1er rapport il y avait tout ça qui deconnait


InternetGameBox
MessengerSkinner

tout le reste provient des deux ci dessus

C:\Program Files\MessengerSkinner trouvé !
c:\WINDOWS\system32\icdysnhcga.dat
C:\windows\system32\icdysnhcga.exe
c:\WINDOWS\system32\icdysnhcga_nav.dat
c:\WINDOWS\system32\icdysnhcga_navps.dat
C:\windows\system32\icdysnhcga.exe
C:\WINDOWS\system32\icdysnhcga.exe trouvé !
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
HKEY_CURRENT_USER\Software\mc trouvé !
C:\WINDOWS\system32\icdysnhcga.dat trouvé !
C:\WINDOWS\system32\icdysnhcga.dat trouvé !
C:\WINDOWS\system32\vfmyzwbex.dat trouvé !
C:\WINDOWS\system32\icdysnhcga_navps.dat trouvé !
C:\WINDOWS\system32\vfmyzwbex_navps.dat trouvé !
C:\WINDOWS\system32\lhrogymb.exe trouvé !
C:\WINDOWS\system32\oaqcivp.exe trouvé !
C:\WINDOWS\system32\vfmyzwbex.exe trouvé !
Certificat Egroup trouvé !

killertaz · Answer

il a l'air pas ma l comme site 

merci beaucoup pour tout , c'est sympa d'avoir des gens comme vous pour nous aider et nous imformer

!^^![ME] · Answer

ca fait plaisir qu'on nous dise merci...c'est pas tous les jours met resolu stp

killertaz · Answer

pour moi c ok plus de page web qui s'ouvre a chaque fois que je fais une recherche sur le net 

merci

Probleme de pub qui s'ouvre sans arret

11 réponses

Discussions similaires