Problème infection PC-antispyware

Résolu
matofs33 Messages postés 4 Statut Membre -  
 Utilisateur anonyme -
Bonjour, je suis actuellement confronté à un problème de pubs intempestives m'invitant à acheter le logiciel PC-antispyware ( des fenêtres s'ouvrent régulièrement ).
J'ai constaté en regardant à droite et à gauche qu'il s'agit visiblement d'un virus.
Je n'arrive malheureusement pas à m'en débarasser ...
Pour l'instant, j'ai lancé avast, ainsi que spybot - search & destroy, mais le problème persiste.

Quelqu'un pourrait-il me venir en aide ? D'avance merci !
Configuration: Windows Vista
Firefox 2.0.0.13

7 réponses

  1. Utilisateur anonyme
     
    Bonjour/Bonsoir!

    Avant toute chose, vide ta corbeille ;)

    Télécharger Ccleaner (http://www.commentcamarche.net/telecharger/ccleaner 168 avis opinions.php3)
    et l'installer sur le bureau en refusant l'installation de la barre Yahoo.

    • Fermer toutes les applications
    • Lancer CCLeaner
    S'il n'est pas en Français cliquer sur Options, Setting, Language
    et sélectionner Français
    • cocher dans le menu Nettoyeur - onglet Windows :
    Internet Explorer: Fichiers Internet Temporaires, Cookies
    • Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
    • Avancé: Vieilles données du Prefetch
    • Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
    • Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
    • Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
    Firefox/Mozilla: Cache Internet, Cookies
    • Click sur Analyse
    • Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
    • Click sur Registre
    • Sélectionner tout
    • Click sur Chercher des erreurs (En bas)

    Une fois le scan terminé sélectionner tout
    • Click sur Réparer les erreurs sélectionnées

    HijackThis (http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe)

    • Télécharger HijackThis
    • Installer HijackThis en se laissant guider

    • Renommer HijackThis.exe en Monjack.exe <== I M P O R T A N T

    ======================= BT Fix ==========================

    • Téléchargez BTFix (http://ftp1.toocharger.com/lo9UPiq/btfix_1_27178.zip) (par bibi26)
    • Décompresser l'archive (clique droit sur l'archive -> extraire tout) sur le Bureau.
    Il doit y avoir maintenant un dossier du nom de BTFix.
    • Sur le Bureau, ouvrir le dossier BTFix.
    • Double-click sur le fichier BTFix.exe.
    • Click sur Rechercher
    • En fin de procédure il affiche le rapport.
    • Copier/Coller le rapport dans le prochain message

    -------- Désinfection

    • Ouvrir BTFix.
    • Cliquer sur Nettoyer.
    • Un rapport va apparaître, le copier/coller dans la prochaine réponse.

    ==================================

    • Fermer toutes les applications
    • Se débrancher d'Internet (Enlever le cable, c'est encore la meilleure solution)
    • Lancer hitjackthis
    • Click sur Do a system scan and save a logfile
    • Copier/Coller le rapport dans le prochain message puis
    • Attendre la suite
    0
    1. matofs33 Messages postés 4 Statut Membre
       
      Voilà, j'ai suivi pas à pas ces instructions

      J'ai juste oublié (oups ! ) de noter le premier rapport de BT fix (il me disait n'avoir rien trouvé)
      ---------------------------------------------------------------------------------------------------------------------------------------------------------------
      ensuite, rapport de nettoyage BTfix :

      BTFix 1.095 (par bibi26) - 12/04/2008 15:07:32 - Nettoyage - Mode normal
      Lancé depuis C:\Users\fonchain\Desktop\BTFix\BTFix.exe

      ---> Fichiers/dossiers supprimés (Première passe)

      - Fichiers temporaires effacés

      ---> Nettoyage terminé le 12/04/2008 15:07:40
      ---------------------------------------------------------------------------------------------------------------------------------------------------------
      Rapport HiJackThis :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 15:12:07, on 12/04/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16643)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\Dwm.exe
      C:\ProgramData\qncbufgt\wrktwzqz.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Windows\RtHDVCpl.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Program Files\Common Files\Real\Update_OB\realsched.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Launch Manager\LManager.exe
      C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Windows\ehome\ehtray.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Windows\System32\slyvutmt.exe
      C:\Windows\System32\rundll32.exe
      C:\Windows\ehome\ehmsas.exe
      C:\Windows\System32\rundll32.exe
      C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
      C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
      C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
      C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
      C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
      C:\Windows\system32\conime.exe
      C:\Windows\system32\NOTEPAD.EXE
      C:\Windows\explorer.exe
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Trend Micro\HijackThis\Monjack.exe

      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O1 - Hosts: ::1 localhost
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: vnbptxlf - {D212F823-17B0-470A-832F-86D3B30EE0D1} - C:\Windows\vnbptxlf.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
      O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
      O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
      O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\nnnoPJYS.dll,#1
      O4 - HKLM\..\RunOnce: [SpybotDeletingA5966] command /c del "C:\Windows\system32smp\msrc.exe"
      O4 - HKLM\..\RunOnce: [SpybotDeletingC5623] cmd /c del "C:\Windows\system32smp\msrc.exe"
      O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
      O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
      O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
      O4 - HKCU\..\Run: [etljipbi] C:\Windows\system32\slyvutmt.exe
      O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\fonchain\AppData\Local\Temp\ssqRLBsq.dll,c
      O4 - HKCU\..\Run: [2aa81b5c] rundll32.exe "C:\Users\fonchain\AppData\Local\Temp\owrlvkmb.dll",b
      O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\fonchain\AppData\Local\Temp\ddcbXomM.dll,#1
      O4 - HKLM\..\Policies\Explorer\Run: [0gbvsp5aJS] C:\ProgramData\qncbufgt\wrktwzqz.exe
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
      O4 - Global Startup: Empowering Technology Launcher.lnk = C:\Acer\Empowering Technology\eAPLauncher.exe
      O9 - Extra button: TrioBet Poker - {019BB34E-96AC-4aa7-A5DE-3CC7442D4E38} - C:\Microgaming\Poker\TriobetMPP\MPPoker.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
      O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
      O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
      O9 - Extra button: Poker Host Poker - {6F0B853A-A2B7-4e17-8DA1-BBC6F2E8C8D5} - C:\Microgaming\Poker\PokerHostMPP\MPPoker.exe
      O9 - Extra button: PokerTime Poker - {7220F1C9-B7E0-47a6-A0BD-D5B3940BCC79} - C:\Microgaming\Poker\pokertimeMPP\MPPoker.exe
      O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe
      O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Program Files\UltimateBet\UltimateBet.exe
      O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~2\pacificpoker.exe
      O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
      O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - C:\Poker\CDPoker\casino.exe
      O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\Microgaming\Poker\UnibetpokerMPP\MPPoker.exe
      O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Microgaming\Poker\nordicbetMPP\MPPoker.exe
      O9 - Extra button: your Poker Room Poker - {FB389F33-303A-4490-9E18-B301A493FBF2} - C:\Microgaming\Poker\PokerMetroMPP\MPPoker.exe
      O9 - Extra button: ReeferPoker - 60a501e4-a078-4cb2-8728-3fab4264f3c1 - C:\Users\fonchain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ReeferPoker\ReeferPoker.lnk (HKCU)
      O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
      O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://register3.valueactive.com/mpp_652/webolr/OCX/FlashAX.cab
      O20 - AppInit_DLLs: eNetHook.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
      O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
      O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe
      O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
      O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
      O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
      O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
      O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
      O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
      O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
      O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
      O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
      O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio.exe (file missing)
      0
      1. matofs33 Messages postés 4 Statut Membre > matofs33 Messages postés 4 Statut Membre
         
        Quelques précisions supplémentaires :

        J'ai par la suite farfouillé un peu sur le forum, et ai trouvé quelques cas ressemblant au mien.
        Du coup, j'ai téléchargé et lancé le soft navilog1, qui n'a rien trouvé.

        Par contre, en utilisant l'explorateur de logiciels de windows defender, j'ai trouvé trois programmes de démarrage d'éditeur inconnus, qui m'ont semblé louches ( date d'installation aujourd'hui, ces programmes sont : C:\Windows\system32\slyvutmt.exe
        C:\ProgramData\qncbufgt\wrktwzqz.exe
        C:\Windows\system32\xapyhsno.exe
        )
        En regardant sur virustotal.com, il s'agirait de virus.
        Je les ai donc désactivés (pas supprimés pour l'instant). (Et ai également arrêté deux processus en cours répondant aux mêmes critères )

        Du coup, plus de messages intempestifs depuis plus d'une heure.

        Ma question maintenant, comment se séparer "proprement " de ces intrus indésirables ?

        D'avance merci !
        0
  2. Utilisateur anonyme
     
    Corbeille et loin ^^
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. predicateur57
     
    bonjour,

    laissons les gens juger par eux même !!!
    0
  5. Utilisateur anonyme
     
    Nous verrons bien ^^
    0
    1. matofs33 Messages postés 4 Statut Membre
       
      Bon décidément je ne m'en sors pas ...
      Après avoir parcouru le forum, j'ai lu ici et là qu'avast était une solution non satisfaisante, et qu'il fallait lui préférer antivir comme antivirus gratuit.
      J'ai donc téléchargé antivir, désinstallé avast puis installé antivir.
      Effectivement avast doit être un peu léger, puisqu'aussitôt installé, antivir me détectait immédiatement un cheval de troie "TR/Vundo.Gen".
      Le soucis étant que je ne parviens pas à m'en débarrasser : je n'ai apparemment pas les droits sur le dit fichier infecté.
      Donc j'ai beau demander à antivir de faire différentes actions dessus (quarantaine, supprimer le fichier, le renommer, etc ...), le même message d'alerte réapparait aussitôt ...
      J'ai essayé alors de passer en mode sans échec, j'ai fait alors un scan complet de mon disque, antivir a trouvé 11 malwares, en a supprimé 8, mais m'a notifié qu'il ne pouvait supprimer les 3 autres car ils étaient actuellement utilisés par un processus, et qu'ils seraient supprimés au prochain redémarrage de l'ordi.
      J'ai immédiatement redémarré, puis suis repassé au mode normal de windows, mais de nouveau le même message d'alerte d'antivir ...

      Je ne sais plus quoi faire, à l'aide !!!!!!!!
      0
  6. Utilisateur anonyme
     
    Tu as essayé le scan en ligne kaspersky ou bitdefender ?
    0