navigation internet - stop aux pubRésolu/Fermé

Question

Bonjour,
Merci d'avance au pro qui se collera à mon problème.
Lors de mes navigation internet sur IE et maintenant sur firefos fraichement installé, tout un tas de fenetre publicitaire s'ouvre. 
Une ame charitable serait-elle en mesure de me néttoyer mon PC pour éviter cela.

pour info :
je ne navigue plus qu'avec firefox
je fais régulièrement spybot, adaware, ccleaner
antivirus regulièrement maj : AVG


voici le rapport HIJACKTHIS

encore merci pour votre aide


******************************************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:46:02, on 09/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Mes documents\ad aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\_protection PC\a squared (anti trojans)\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\_protection PC\zone alarm (parefeu)\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Mes documents\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\_PROTE~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - D:\Mes documents\EONRJ (écouter radio internet)\eoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\_protection PC\zone alarm (parefeu)\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\_protection PC\a squared (anti trojans)\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Mes documents\ad aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Claude Claude · Answer

asquare free de https://www.emsisoft.com/fr/home/antimalware/

boxer17 · Answer

si tu utilse firefox tu peut installer cette extention,elle est en mesure de tout bloquer images (gif, jpeg, fonds d'écrans, …), animations flash, cadres, scripts, 
voir sur ce lien : https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

g1blem · Answer

Je pensais avoir déjà fait cette installation mais du coup je l'ai de nouveau installé.

une fois l'installation effectuée, une page web s'est affichée toute seule, voici l'adresse :

http://www.spyware-secure.com/fullpage/017/?alfl=1&nums=N02DWWH8Z-FBrUQChAKd&login=672125&mediaid_prefix=005&asked_billing_id=2&time=312e323132

Je pense qu'il doit y avoir une ou plusieurs bestioles installées sur mon DD !?

merci déjà pour le premier coup de pouce.

Par ailleurs je ne comprends pas le message de ClaudeClaude :

----------------------------------------------------------------------

asquare free de https://www.emsisoft.com/fr/home/antimalware/
Soutenez le Comité de lutte
Contre le langage sms et les fautes volontaires sur Internet
-----------------------------------------------------------------------

je n'arrive pas à ouvrir cette page web

Claude Claude · Answer

C'est le logiciel asqaure free sur le site... qui est en mesure d'éradiquer pas mal de cochonneries.

g1blem · Answer

et une deuxieme pub sans attendre très longtemps !!!


http://www.spinpalace.com/francaisjuly07.asp?login=672125&mediaid_prefix=005&asked_billing_id=2&time=312e323132

g1blem · Answer

Claude Claude,

C'est un logiciel que j'avais déjà lancé il y a 2 à 3 semaines, je le mets à jour je le lance à nouveau et reviens vers toi pour te dire le résultat.

merci

g1blem · Answer

toujours des pub qui s'affichnt spontanément !!!

même après nettoyage : spybot / a squared free / ad aware

merci de me proposer d'autres solutions suite à l'envoie de hijackthis

guy44 · Answer

Salut

Utilise navilog et normalement tout redeviendra normal

g1blem · Answer

Ok Guy44, voici le rapport de navilog.

Dit moi maintenant ce qu'il faut en faire stp.

merci

*******************************
Search Navipromo version 2.0.2 commencé le 10/09/2007 à 18:45:44,80
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 17.05.2007 a 23h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 
MessengerSkinner


*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MessengerSkinner trouvé ! 


*** Recherche dossiers dans C:\Documents and Settings\All Users.WINDOWS\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Nout.SYLVAIN-X8BN7RU\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\kqgdliu.dat 
C:\windows\system32\kqgdliu.exe 
c:\WINDOWS\system32\kqgdliu_nav.dat 
c:\WINDOWS\system32\kqgdliu_navps.dat 

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\kqgdliu.exe 


*** Recherche fichiers *** 


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32
vs2.inf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-0EE2A110.pf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINDOWS\system32\kqgdliu.dat trouvé !
** 
C:\WINDOWS\system32\kqgdliu.dat trouvé !
*** 
**** 
C:\WINDOWS\system32\kqgdliu_navps.dat trouvé !
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 10/09/2007 à 18:48:28,54 *** 

*****************************************

guy44 · Answer

Salut

J'avais à peu près les memes fichiers, j'ai repassé Navilog avec nettoyage auto,

Avant cette manip, fait une recherche sur le net avec les noms de fichiers, tu sauras rapidemetn si ce sont des intrus et la ensuite repasse Navilog

Bon nettoyage

Guy

g1blem · Answer

Merci pour le conseil mais une première recherche de kqgdliu ne donne rien.

Y aurait-il un pro avec un peu de temps libre pour analyser le script et me dire ce que je dois faire sauter et ce qui doit rester ????

merci pour le coup de main

Sylvain

guy44 · Answer

Salut

Dans ce cas tu peut repasser Navilog avec option nettoyage auto,

je viens de la faire sur le PC de mon fils et nickel chrome now

Guy

g1blem · Answer

Bonsoir Guy,

biensur que je peux le faire. Et si je plante mon PC parce que j'ai retiré un log important, je te paie un billet d'avion pour venir me voir sur l'ile de la réunion et réparer mon PC... ;o)

Je réitère ma demande et merci à Guy de ne pas me refaire la même réponse, ni de poster de msg pour rien

A quoi cela sert de poster des script navilog et HIJACKTHIS s'il ne sont pas analysés....

merci d'avance à celui qui me filera un ti coup de main

Sylvain

guy44 · Answer

Bonsoir,

C'etait pour t'aider a toi de voir si tu prends le risque, tu l'as bien pris pour recuperer ces m...

En aucun cas je ne souhaite que ton PC soit plante, bonne suite

g1blem · Answer

Je ne souhaite pas prendre ce risque, et c'est  mon droit je pense. D'autant plus que le logiciel avertit bien l'utilisateur sur les risques d'un nettoyage automatique.

Je n'ai pris aucun risque antérieurement pour récupérer ce m... comme tu les dis si bien. J'ai simplement des enfants qui ont le droit d'utiliser mon PC !

Je réitère ma demande (et je remercie Guy de ne poster AUCUNE réponse pour laisser une autre personne m'aider) :

Merci au pro de l'informatique qui pourra m'aider à faire un vrai diagnostic de mon PC et supprimer toutes les saloperies qui peuvent s'y trouver

Je remercie Guy pour son aide, mais je ne suis pas suffisamment à l'aise en informatique pour appliquer ses conseils.

g1blem · Answer

problème résolu grace à FIREFOX

Navigation internet - stop aux pub

16 réponses

Discussions similaires

Newsletters