Spywares recalcitrants

Marsh Posté le 14-04-2006 à 21:48:58

Bouh, pas sympa ça: je possède Spybot Search & Destroy et je fais environ cinq analyses par semaines. Mais voilà, à chaque fois il me détecte environ trois spyware, généralement il y en un toujours nouveau, et, c'est là où est le problème, il m'en détécte deux qui reviennent à chaques analyses... :fou: . A chaque fois, je les supprimes...et ils reviennent à chaque fois!!!!
Merci, je vais devenir fous :pt1cable:

Reply

Marsh Posté le 14-04-2006 à 21:48:58

Reply

Marsh Posté le 14-04-2006 à 21:51:36

Précise surtout pas de QUELS spywares il s'agit... [:itm] !

---------------
Filmstory : gardez trace des films que vous avez vu ! :D

Reply

Marsh Posté le 15-04-2006 à 10:19:02

Oups pardon, toutes mes excuses, je m'agenouille devant vous... :lol:
Oui pardon, il s'agit du logiciel espion "Connect MFC Application". En plus, je ne sais pas si les deux sont liés, mais je n'arrive pas enlever de mon PC des pop up particulièrement génante, si vous voyez ce que je veux dire... :sarcastic: Le nom du site est bien mis en valeur: epass-key.com. Ce n'est que du c**... :sweat:
Merci de m'aider :hello:

Reply

Marsh Posté le 15-04-2006 à 11:25:30

Bonjour a tous,

* Télécharge et installe HijackThis :

http://telechargement.zebulon.fr/li[...]ense-1-160.html

* Fermez toutes las applications en cours sauf Hijackthis.

* Lance Hijackthis [ le logo avec la dynamite ]

* Choisir scanner disque et sauvegarder le log

* Le bloc - note s'ouvrira puis faire un copier - coller de tout le contenu du bloc note ici.

Reply

Marsh Posté le 15-04-2006 à 11:52:11

Ok, bon courage:

Logfile of HijackThis v1.99.1
Scan saved at 11:49:19, on 15/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\WF2K.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\OFFICE One6.0\program\soffice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F2B20B95-6FB6-FCA3-83DC-430E36721263} - C:\DOCUME~1\UTILIS~1\APPLIC~1\SEND2~1\vga gram.exe
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE Initial
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Startfindjunkplan] C:\Documents and Settings\All Users\Application Data\Soapencstartfind\pureglobal.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
O4 - HKLM\..\Run: [OFFICEOneNotesv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [beep rule] C:\DOCUME~1\UTILIS~1\APPLIC~1\SURFBA~1\OOZECHIN.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manage\fdm.exe -autorun
O4 - Startup: OFFICE One 6.0.lnk = C:\Program Files\OFFICE One6.0\program\quickstart.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\PROGRA~1\STARDO~1\sdie.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab
O16 - DPF: {AF7410C1-FBA3-415E-800A-4110CED40536} - http://scripts.dlv4.com/binaries/e [...] 060_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramew [...] b34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B8BE47D-C6B7-4E15-8FAC-DD1C9674D50C}: NameServer = 80.10.246.5 80.10.246.136
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

Reply

Marsh Posté le 15-04-2006 à 15:50:09

Avec ça faut pas s'étonner d'avoir des problèmes. A désinstaller :
C:\Program Files\Shareaza\Shareaza.exe

Reply

Marsh Posté le 15-04-2006 à 17:34:46

Slt,

Télécharge et lance ces deux fichiers :
http://lop.com/new_uninstall.exe
http://lop.com/toolbar_uninstall.exe
Redémarre et poste un nouveau log.

Si ton AV se manifeste, autorise le téléchargement.

Reply

Marsh Posté le 17-04-2006 à 18:13:49

Oups, désolé pour le retard de ma réponse, mais je ne sais pas pourquoi, mais j'ai recommencé un scan il y a deux jours et...plus de logiciel récalcitrant. Bon... Merci quand même!

Reply

Marsh Posté le 17-04-2006 à 21:05:51

Hum, super, voilà que je suis passé chez Fire Fox, super pas de problème de pop up envahisantes, elles sont toutes bloquées!!!!! Vive Fire Fox, ils l'emportent en matière de sécurité haut la patte sur Internet Explorer!!!!

Reply

Marsh Posté le 17-04-2006 à 21:28:38

salut,

en dehors de lop, il faut te débarrasser de l'éventuel adware navipromo, s'il existe (au vu des lignes O16 et du pourriciel mailskinner)

télécharge F-Secure Blacklight (738ko) http://www.f-secure.com/blacklight/try.shtml
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer

Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log
Ne ferme pas blbeta.

Reply

Marsh Posté le 17-04-2006 à 21:28:38

Reply

Marsh Posté le 19-04-2006 à 15:58:40

Salut!
J'ai vu dans un de tes messages sur ce forum que pour ceux qui avaient un problème avec des fenêtres intempestives du genre epass-key il fallait télécharger Hijackthis.
On a ce genre de fenêtres qui apparaissentà chaque fois qu'on va sur le net(il y a souvent des pub de c** alors c'est assez gênant!)
Je ne m'y connais pas trop en ordi,mais ce que je peux te dire c'est qu'on a essayé Spybot Search & Destroy,Ad-Aware SE Personal et Avast mais ça n'a pas marché.On a ensuite essayé Hijackthis en suivant minutieusement les instructions(qu'il ne faut pas tout supprimé,à quoi correspond bien chaque numéro:04,016...)ce qui nous a permis de virer des trojans... mais les pubs reviennent toujours.Alors on n'a sûrement pas su supprimer ce qu'il fallait.
Est-ce-que tu pourrais nous aider,ou quelqu'un d'autre qui verrait ce message,stp?

Reply

Marsh Posté le 19-04-2006 à 16:02:47

salut mamour16

je ne sais pas à qui tu t'adresses exactement mais le pb avec navipromo (si c'est bien le cas), c'est que les popups ne viennent pas d'internet mais un exécutable au nom aléatoire en est responsable, et de plus il est remarquablement bien caché les 3/4 du temps (HJT ne le montre pas toujours).

donc oui poste ton log et on verra comment procéder.

Reply

Marsh Posté le 19-04-2006 à 16:05:44

Merci!
voilà je te l'envoie:

Logfile of HijackThis v1.99.1
Scan saved at 15:59:45, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\FSScrCtl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Hugo\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rejoignez.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453443 14
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9A80B10-FB9B-4A7F-AE51-7421017F7BE4}: NameServer = 84.103.237.141 86.64.145.141
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Merci beaucoup

Reply

Marsh Posté le 19-04-2006 à 16:10:43

ok c'est bien navipromo, quand on regarde cette ligne par exemple

O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab

blbeta, s'il trouve qquechose) est une bonne solution (mais partielle), fais le et dépose le log (indiqué comment faire juste un peu plus haut). Et regardons les autres traces :
fais un clic droit sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus et poste le contenu du rapport qui va s'ouvrir au bout de quelques instants.

Reply

Marsh Posté le 19-04-2006 à 16:17:40

ok!voilà,je te met tout le contenu(je ne comprends rien à ce qui est écrit!!! :pt1cable: ) :

Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2

Rpertoire de c:\Program Files\Fichiers communs

18/10/2005 13:26 <REP> .
18/10/2005 13:26 <REP> ..
09/02/2005 20:05 <REP> Adobe
09/02/2005 20:10 <REP> Ahead
18/10/2005 13:26 <REP> Designer
15/05/2005 20:02 <REP> InstallShield
18/10/2005 13:25 <REP> Microsoft Shared
09/02/2005 19:49 <REP> MSSoap
18/03/2005 11:33 <REP> Nikon
09/02/2005 20:44 <REP> ODBC
09/02/2005 19:49 <REP> Services
09/02/2005 20:44 <REP> SpeechEngines
11/07/2005 16:08 <REP> Symantec Shared
15/04/2006 22:58 <REP> System
0 fichier(s) 0 octets
14 Rp(s) 6ÿ620ÿ868ÿ608 octets libres
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2

Rpertoire de c:\Program Files

19/04/2006 15:40 <REP> .
19/04/2006 15:40 <REP> ..
09/02/2005 20:05 <REP> Adobe
09/02/2005 20:11 <REP> Ahead
11/07/2005 13:57 <REP> Alwil Software
18/03/2005 11:32 <REP> ArcSoft
09/02/2005 19:48 <REP> ComPlus Applications
09/02/2005 20:07 <REP> CONEXANT
17/04/2005 19:51 <REP> CyberLink
24/03/2005 12:40 <REP> DVD Decrypter
24/03/2005 12:39 <REP> DVD Shrink
27/09/2005 17:02 <REP> EA GAMES
18/04/2006 18:06 <REP> eMule
08/03/2006 13:48 <REP> EZFace
18/10/2005 13:26 <REP> Fichiers communs
28/02/2006 14:40 <REP> Google
13/03/2005 18:33 <REP> Guitar Pro 4
18/04/2006 20:03 <REP> Internet Explorer
09/02/2005 20:12 <REP> InterVideo
15/05/2005 20:03 <REP> Kit ADSL
12/08/2005 10:57 <REP> K-Lite Codec Pack
20/10/2005 17:17 <REP> Lavasoft
12/08/2005 10:57 <REP> Messenger
18/10/2005 13:24 <REP> microsoft frontpage
18/10/2005 13:24 <REP> Microsoft Office
12/08/2005 10:57 <REP> Microsoft Works
09/02/2005 19:49 <REP> Movie Maker
17/04/2005 16:41 <REP> MSN
09/02/2005 19:48 <REP> MSN Gaming Zone
13/11/2005 11:20 <REP> MSN Messenger
09/02/2005 19:49 <REP> NetMeeting
18/03/2005 11:33 <REP> Nikon
09/02/2005 19:48 <REP> Online Services
15/04/2006 22:58 <REP> Outlook Express
18/03/2005 11:33 <REP> QuickTime
13/03/2005 12:54 <REP> Raccourcis de programmes
09/02/2005 19:49 <REP> Services en ligne
17/04/2006 17:17 <REP> Spybot - Search & Destroy
13/03/2005 20:07 <REP> Steinberg
12/04/2005 19:46 <REP> StreamCast
01/04/2005 18:29 <REP> USB Driver-Express
19/08/2005 12:37 <REP> VSoft
17/04/2006 20:30 <REP> Winamp
17/02/2006 11:12 <REP> Windows Media Player
09/02/2005 19:47 <REP> Windows NT
02/11/2005 20:16 <REP> WinRAR
09/02/2005 19:51 <REP> xerox
25/01/2006 20:02 <REP> Yahoo!
0 fichier(s) 0 octets
48 Rp(s) 6ÿ620ÿ868ÿ608 octets libres
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2

Rpertoire de C:\WINDOWS\system32

06/04/2006 21:05 135ÿ425 lpwqba_nav.dat
19/04/2006 16:14 746 lpwqba_navps.dat
2 fichier(s) 136ÿ171 octets

Total des fichiers listsÿ:
2 fichier(s) 136ÿ171 octets
0 Rp(s) 6ÿ620ÿ815ÿ360 octets libres
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2

Rpertoire de C:\WINDOWS\system32

18/04/2006 20:16 20ÿ992 msclock32.dll
18/04/2006 20:17 20ÿ992 msplock32.dll
2 fichier(s) 41ÿ984 octets

Total des fichiers listsÿ:
2 fichier(s) 41ÿ984 octets
0 Rp(s) 6ÿ620ÿ803ÿ072 octets libres
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2

Rpertoire de C:\WINDOWS\system32

06/04/2006 10:19 69ÿ632 EGACCESS.dll
30/01/2006 11:35 186ÿ880 eg_auth_srv_1049.dll
2 fichier(s) 256ÿ512 octets

Total des fichiers listsÿ:
2 fichier(s) 256ÿ512 octets
0 Rp(s) 6ÿ620ÿ803ÿ072 octets libres
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2

Rpertoire de C:\WINDOWS

30/01/2006 11:35 186ÿ880 p2esocks_1049.dll
1 fichier(s) 186ÿ880 octets

Total des fichiers listsÿ:
1 fichier(s) 186ÿ880 octets
0 Rp(s) 6ÿ620ÿ803ÿ072 octets libres
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2
Le volume dans le lecteur C s'appelle 415999
Le numro de srie du volume est 684C-60A2

Reply

Marsh Posté le 19-04-2006 à 16:27:28

voilà la procédure que je propose dans ce genre de cas :

Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir tout à l'heure.

1/ Télécharge :

- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS Remover (de Metallica), Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)

2/ Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous, ligne vide comprise à la fin (copie tout d'un trait) :

Citation :

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lpwqba]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lpwqba"=-
"Instant Access"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"lpwqba"=-
"Instant Access"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix0.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de fix0.reg doit ressembler à cela

*****Copie ce qui suit dans un bloc-notes et redémarre en mode sans échec*****

2 et demi/ désenregistrer si possible les dll

démarrer/exécuter et tu coles cette ligne avant de valider par ok (peu importe si tu as un message d'erreur)

regsvr32 /u C:\WINDOWS\system32\EGACCESS.dll

recommence avec :

regsvr32 /u C:\WINDOWS\system32\eg_auth_srv_1049.dll
regsvr32 /u C:\WINDOWS\p2esocks_1049.dll

3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

5/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

a) dans C:\WINDOWS\system32

lpwqba_nav.dat <- le fichier
lpwqba_navps.dat <- le fichier
lpwqba.dat <- le fichier
lpwqba.exe <- le fichier

msclock32.dll <- le fichier
msplock32.dll <- le fichier

EGACCESS.dll <- le fichier
eg_auth_srv_1049.dll <- le fichier

b) dans C:\WINDOWS\Prefetch, supprime tout fichier dont le nom commence par "lpwqba"

c) enfin supprime le fichier C:\WINDOWS\p2esocks_1049.dll

6/ Vide la corbeille.

7/ Démarrer/panneau de configuration/options internet
- onglet "contenu"
- onglet "certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs
electronic-group
egroup
Montorgueil
VIP
=> Supprime-les tous

8/ double clique sur fix0.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

9/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. Coche la case "show log after script ends"
Sous "scriptline to execute" copie/colle
c:\bfu\EGDACCESS.bfu
Clique sur execute et laisse-le faire son travail.
Attendre que complete script execution apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.

10/ Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.

11/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation (donc pour les pubs).

Reply

Marsh Posté le 19-04-2006 à 16:38:28

euh...ça ne te dérange pas si j'attends que mon copain rentre pour pouvoir faire tout ça parce que j'ai bien peur de ne pas y arriver :sweat:
c'est pas grave?tu comprends j'ai pas envie de faire n'importe quoi...

Reply

Marsh Posté le 19-04-2006 à 16:44:34

non aucun pb. La procédure est détaillée au maximum. Hésitez pas si vs avez des questions

Reply

Marsh Posté le 20-04-2006 à 08:31:05

Bonjour eZula! :hello:
C'est bon on a suivi ta procèdure et il n'y a plus de fenêtres intempestives qui s'accaparent notre écran!!!

J'ai eu quelques difficultées à comprendre certains trucs(normal puisque je ne m'y connais pas du tout!) mais mon copain a pris la relève et ça s'est très bien passé.Ca fait du bien de faire un bon nettoyage là-dedans!!!

On te remercie beaucoup. :jap:
Ciao!

Reply

Marsh Posté le 20-04-2006 à 11:09:32

bonjour mamour16

si tu as encore un peu de temps, je te propose de poster le rapport de ce scan en ligne http://www.ewido.net/en/onlinescan/

Reply

Marsh Posté le 20-04-2006 à 12:46:33

salut et bon appétit!
Je t'envoie donc le scan(il y avait encore un trojan que mon copain n'avait pas réussi à enlever,donc je vais l'enlever maintenant)

Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Hugo\Cookies\hugo@atdmt[2].txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\Hugo\Cookies\hugo@bluestreak[2].txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\Hugo\Cookies\hugo@ehg-neuftelecom.hitbox[1].txt
Risk: Medium

Name: TrackingCookie.Estat
Path: C:\Documents and Settings\Hugo\Cookies\hugo@estat[1].txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\Hugo\Cookies\hugo@hitbox[2].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: C:\Documents and Settings\Hugo\Cookies\hugo@serving-sys[2].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\Hugo\Cookies\hugo@tradedoubler[2].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Documents and Settings\Hugo\Cookies\hugo@weborama[2].txt
Risk: Medium

Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\YAYA\Cookies\yaya@atdmt[1].txt
Risk: Medium

Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\YAYA\Cookies\yaya@bluestreak[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\YAYA\Cookies\yaya@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\YAYA\Cookies\yaya@ehg-yvesrocher.hitbox[2].txt
Risk: Medium

Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\YAYA\Cookies\yaya@hitbox[2].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Documents and Settings\YAYA\Cookies\yaya@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: C:\Documents and Settings\YAYA\Cookies\yaya@serving-sys[1].txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\Documents and Settings\YAYA\Cookies\yaya@stats1.reliablestats[1].txt
Risk: Medium

Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\YAYA\Cookies\yaya@tradedoubler[1].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Documents and Settings\YAYA\Cookies\yaya@weborama[2].txt
Risk: Medium

Name: TrackingCookie.Smartadserver
Path: C:\Documents and Settings\YAYA\Cookies\yaya@www.smartadserver[1].txt
Risk: Medium

Name: Trojan.P2E.cl
Path: C:\WINDOWS\p2esocks_1049.dll
Risk: High

Encore une fois MERCI

Reply

Marsh Posté le 20-04-2006 à 13:09:57

c'est lui le trojan C:\WINDOWS\p2esocks_1049.dll

supprime-le comme ceci : Lance HijackThis,
"open the misc tool section"
"delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\p2esocks_1049.dll
puis clique sur "ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)

A ce moment-là, n'hésite pas à repasser le script bfu, avec le minimum de programmes ouverts.

après le redémarrage, vérifie simplement que ce fichier a bien disparu, si c'est le cas le pb est réglé et tu pourras supprimer C:\BFU, bfu.zip, fix0.reg et IA.bat
Puis remettre l'affichage des dossiers par défaut

Reply

Marsh Posté le 20-04-2006 à 16:54:46

Voilà ça y est je pense que c'est bon une bonne fois pour toutes! :bounce:
merci pour tout.bonne soirée

Reply

Marsh Posté le 20-04-2006 à 17:01:16

de rien, bonne soirée également et à+

Reply

Marsh Posté le 19-06-2006 à 18:15:04

Bonjour à tous !!
Bon, jai le même problème que vous, je reçois des pub depass-key très sympathiques !!!
En faisant deux-trois recherches, jai vu que je nétais pas la seule dans ce cas et jai suivi les manipulations qui étaient indiquées sur certains sites pour pallier ce problème. Jai notamment utilisé Brute Force Uninstaller, et ewido en mode sans échec en scannant, ewido a trouvé 32 objets infestés et les a mis en quarantaine, mais en me connectant de nouveau à internet, paf, je retombe sur une pubjen déduis donc que tout na pas marché !!!
Je viens donc de télécharger hijackthis et voici le rapport du scan (je précise que mes connaissances en informatique sont assez limitées^^) :

Logfile of HijackThis v1.99.1
Scan saved at 18:14:28, on 19/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\NormanS\Bin\Zanda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\NormanS\Nvc\bin\nvcoas.exe
C:\NormanS\bin\NJEEVES.EXE
C:\NormanS\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\Explorer.EXE
C:\NormanS\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\NormanS\bin\ZLH.EXE
C:\Program Files\Netropa\InetKb\Inetkb.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\NormanS\Nvc\BIN\NIP.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\NormanS\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NormanS\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{06912074-3EC7-419D-A660-5DA17CDC22D5}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{06912074-3EC7-419D-A660-5DA17CDC22D5}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NormanS\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NormanS\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NormanS\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NormanS\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NormanS\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

aidez-moi!!!!!!

Reply

Marsh Posté le 19-06-2006 à 18:51:57

bonjour

essaye la manip avec blacklight (voir message Posté le 17-04-2006 à 21:28:38) et dépose son rapport

Reply

Marsh Posté le 20-06-2006 à 16:35:24

merci!!!

voila le résultat!!!^^ :

06/20/06 16:29:13 [Info]: BlackLight Engine 1.0.37 initialized
06/20/06 16:29:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/20/06 16:29:13 [Note]: 7019 4
06/20/06 16:29:13 [Note]: 7005 0
06/20/06 16:29:15 [Note]: 7006 0
06/20/06 16:29:15 [Note]: 7011 376
06/20/06 16:29:15 [Note]: 7026 0
06/20/06 16:29:15 [Note]: 7026 0
06/20/06 16:29:15 [Note]: 7024 3
06/20/06 16:29:15 [Info]: Hidden process: C:\windows\system32\odbmsuwx.exe
06/20/06 16:29:15 [Note]: FSRAW library version 1.7.1015
06/20/06 16:30:56 [Info]: Hidden file: c:\WINDOWS\system32\odbmsuwx.dat
06/20/06 16:30:56 [Note]: 10002 1
06/20/06 16:30:56 [Info]: Hidden file: C:\windows\system32\odbmsuwx.exe
06/20/06 16:30:56 [Note]: 10002 1
06/20/06 16:30:56 [Info]: Hidden file: c:\WINDOWS\system32\odbmsuwx_nav.dat
06/20/06 16:30:56 [Note]: 10002 1

Reply

Marsh Posté le 20-06-2006 à 18:25:45

salut

c'était bien ça, donc.
Le but de notre manip ça va être de faire en sorte que blbeta ne trouve plus rien, au prochain démarrage (que ce soit la famille "odbmsuwx" ou une autre). Je te préviens qu'on n'y arrivera pas obligatoirement du 1er coup. Mais quand on y sera parvenu => adieu les pubs pour toi

0/ Relance HijackThis en cliquant sur "do a system scan only" et coche cette ligne (uniquement cette ligne) si tu la trouves encore :

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe

- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

1/ Télécharge PocketKillBox http://www.bleepingcomputer.com/fi [...] illBox.zip et dézippe-le sur ton bureau.

Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".

copie d'un trait les lignes de la citation suivante :

Citation :

C:\windows\system32\odbmsuwx.exe
c:\WINDOWS\system32\odbmsuwx.dat
C:\windows\system32\odbmsuwx.exe
c:\WINDOWS\system32\odbmsuwx_nav.dat

=> clic droit / "copier"

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge

Au deux messages qui vont s'afficher,tu réponds par "YES"

L'ordinateur doit redémarrer, sinon, fais le toi-même.

-------------------------

2/ Dès le redémarrage, supprime :
C:\!Killbox <- le dossier
vide ta corbeille.

3/ et nouveau rapport blbeta

Reply

Marsh Posté le 20-06-2006 à 19:40:19

voila le résultat :

06/20/06 19:32:15 [Info]: BlackLight Engine 1.0.37 initialized
06/20/06 19:32:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/20/06 19:32:15 [Note]: 7019 4
06/20/06 19:32:15 [Note]: 7005 0
06/20/06 19:32:17 [Note]: 7006 0
06/20/06 19:32:17 [Note]: 7011 832
06/20/06 19:32:17 [Note]: 7026 0
06/20/06 19:32:18 [Note]: 7026 0
06/20/06 19:32:44 [Note]: FSRAW library version 1.7.1015

... j'ai l'impresssion que c'est bon, non????

Reply

Marsh Posté le 20-06-2006 à 20:27:28

a oui, c'est bon

On continue le nettoyage, juste quelques babioles, à priori

fais un clic droit de souris sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus
Ne tiens pas compte de ce qui sera écrit dans la fenetre noire
un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.

Reply

Marsh Posté le 21-06-2006 à 22:59:58

voila le rapport :

*** Répertoires ***

Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C

Rpertoire de C:\Program Files\Fichiers communs

28/04/2006 12:14 <REP> .
28/04/2006 12:14 <REP> ..
09/06/2006 21:01 <REP> Adobe
28/04/2006 12:14 <REP> Adobe Systems Shared
01/10/2004 23:25 <REP> Ahead
12/10/2004 10:40 <REP> AOL
18/10/2004 15:29 <REP> Copernic
14/01/2006 14:54 <REP> DESIGNER
01/10/2004 19:09 <REP> FotoNation
16/01/2005 13:41 <REP> GTK
20/05/2006 14:18 <REP> InstallShield
14/01/2006 14:54 <REP> Microsoft Shared
10/09/2004 14:14 <REP> MSSoap
10/09/2004 15:12 <REP> ODBC
06/03/2005 00:22 <REP> Real
10/09/2004 14:14 <REP> Services
10/09/2004 15:12 <REP> SpeechEngines
14/04/2006 15:27 <REP> System
12/11/2005 15:31 <REP> Vbox
06/03/2005 00:22 <REP> xing shared
0 fichier(s) 0 octets
20 Rp(s) 175ÿ171ÿ866ÿ624 octets libres
Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C

Rpertoire de C:\Program Files

01/10/2004 18:04 <REP> %ALLUSERSPROFILE%
19/06/2006 12:48 <REP> .
19/06/2006 12:48 <REP> ..
09/06/2006 21:01 <REP> Adobe
28/08/2005 20:10 <REP> Ahead
21/11/2004 17:07 <REP> ArcSoft
30/04/2006 22:30 <REP> Black Isle
18/06/2006 15:46 <REP> Calendrier 2006
08/05/2006 11:46 <REP> CartaGoGo
18/06/2006 15:44 <REP> Cartes de visite
20/05/2006 17:18 <REP> Common Files
10/09/2004 14:14 <REP> ComPlus Applications
27/12/2004 12:54 <REP> Copernic Agent
11/04/2006 18:27 <REP> Core Design
27/03/2005 18:00 <REP> Dictionnaire
31/12/2004 17:43 <REP> directx
18/06/2006 18:34 <REP> ewido anti-malware
28/04/2006 12:14 <REP> Fichiers communs
26/12/2004 16:03 <REP> FinePixViewer
02/10/2004 21:08 <REP> Flat Panel Adjust
12/02/2005 19:01 <REP> GnaTique2004
18/06/2006 13:27 <REP> Google
20/06/2006 19:21 <REP> Hijackthis Version Franaise
12/05/2006 16:47 <REP> Illustrate
20/11/2005 18:08 <REP> InterActual
14/06/2006 20:15 <REP> Internet Explorer
10/06/2006 16:03 <REP> InternetGameBox
10/09/2004 14:18 <REP> InterVideo
01/10/2004 19:48 <REP> JavaSoft
01/10/2004 19:10 <REP> LightWork Design
09/12/2005 19:56 <REP> LucasArts
01/10/2004 19:47 <REP> Messager Wanadoo
13/09/2005 19:45 <REP> Messenger
15/06/2006 18:52 <REP> Micro Application
10/09/2004 14:15 <REP> microsoft frontpage
04/03/2005 14:27 <REP> Microsoft Office
13/12/2005 22:13 <REP> Microsoft Works
04/03/2005 14:27 <REP> Microsoft.NET
05/06/2005 14:58 <REP> Mihov Image Resizer
16/02/2005 17:51 <REP> Monopoly Star Wars
10/10/2004 21:27 <REP> Movie Maker
10/09/2004 14:14 <REP> MSN Gaming Zone
05/02/2006 16:55 <REP> MSN Messenger
12/05/2006 16:09 <REP> Musicmatch
10/10/2004 21:24 <REP> NetMeeting
01/10/2004 20:55 <REP> Netropa
14/12/2005 21:21 <REP> OfficeUpdate11
14/04/2006 15:27 <REP> Outlook Express
06/11/2005 16:15 <REP> Picasa2
26/12/2004 16:04 <REP> PIXELA
15/11/2005 16:33 <REP> QuickTime
06/03/2005 00:22 <REP> Real
26/12/2004 16:03 <REP> REGSHAVE
16/06/2006 12:24 <REP> Saloon Poker
10/06/2005 20:24 <REP> ScreenThemes
10/09/2004 14:14 <REP> Services en ligne
19/08/2005 16:41 <REP> Sigmatel
28/12/2004 18:32 <REP> Silver
30/09/2005 15:22 <REP> Skype
20/06/2006 20:12 <REP> Spybot - Search & Destroy
31/12/2004 17:54 <REP> Tantrum
30/01/2005 18:47 <REP> The Learning Company
10/11/2005 13:04 <REP> TIE FIGHTER
06/04/2006 12:23 <REP> Tomb Raider - Legend Demo
12/02/2005 18:53 <REP> Tracker Software
12/11/2005 13:11 <REP> VideoLAN
08/05/2006 11:26 <REP> Visiteurs
10/11/2005 13:12 <REP> vitesse lumiere
21/06/2006 22:34 <REP> Wanadoo
16/02/2006 14:58 <REP> Windows Media Player
09/01/2005 13:44 <REP> Windows NT
20/07/2005 20:07 <REP> WinPcap
25/02/2005 10:48 <REP> WinRAR
21/07/2005 19:11 <REP> WM Recorder 10
10/09/2004 14:15 <REP> xerox
19/04/2005 21:08 <REP> Yahoo!
0 fichier(s) 0 octets
76 Rp(s) 175ÿ171ÿ862ÿ528 octets libres

*** Fichiers ***

Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C

Rpertoire de C:\WINDOWS\system32

18/06/2006 18:33 178ÿ014 odbmsuwx_nav.dat
1 fichier(s) 178ÿ014 octets

Total des fichiers listsÿ:
1 fichier(s) 178ÿ014 octets
0 Rp(s) 175ÿ171ÿ805ÿ184 octets libres
Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C
Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C
Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C
Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C
Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C
Le volume dans le lecteur C s'appelle 53_03_40
Le numro de srie du volume est FC53-AA0C

*** Registre ***

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

C:\WINDOWS\system32\egaccess4_1063.dll REG_DWORD 0x1

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\CWINDOWS/system32/egaccess4_1063.dll

Magic Control

*** Terminé ***

Reply

Marsh Posté le 22-06-2006 à 00:14:27

salut!

1/ Télécharge : Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)

2/ Redémarre en mode sans échec, méthode : http://service1.symantec.com/SUPPO [...] 5112131924
(utilise la touche F8, c'est plus simple et plus sur)

3/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.

4/ Si à l'issue de cette manip tu vois encore ce fichier C:\WINDOWS\system32\odbmsuwx_nav.dat -> supprime-le

5/ Démarrer/exécuter, tape regedit et supprime les éléments entre * * ci-dessous, si tu les trouves :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
*C:\WINDOWS\system32\egaccess4_1063.dll* <- dans le panneau de droite de la clé "SharedDLLs"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\*CWINDOWS/system32/egaccess4_1063.dll*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*odbmsuwx*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
*odbmsuwx* <- dans le panneau de droite de la clé "Run"

6/ Démarrer/panneau de configuration/options internet
- onglet "contenu"
- onglet "certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs
electronic-group
egroup
Montorgueil
VIP
=> Supprime-les tous

7/ Redémarre normalement et Poste un rapport Panda

http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Reply

Marsh Posté le 22-06-2006 à 12:41:28

bouh!! ba, tout a bien marché dans les manip ... voila le rapport de panda (sniff!!^^):

Incident Statut Analyse

Outil indésirable:Application/Pskill.K No Désinfecté C:\Documents and Settings\Claire\Bureau\clean\pskill.exe
Spyware:Cookie/Advertising No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@advertising[2].txt
Spyware:Cookie/Falkag No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@as1.falkag[2].txt
Spyware:Cookie/Bluestreak No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@bluestreak[1].txt
Spyware:Cookie/Doubleclick No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@doubleclick[1].txt
Spyware:Cookie/Mediaplex No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@mediaplex[1].txt
Spyware:Cookie/Weborama No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@weborama[2].txt
Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Claire\Cookies\claire@xiti[1].txt
(eu...je vais devoir partir une semaine, je ne serais pas de retour avant mercredi prochain pour d'autres manip!!^^ )

Reply

Marsh Posté le 22-06-2006 à 13:03:04

salut

ça a l'air correct au niveau des résultats (plus que des cookies)

si tu n'as plus de problèmes de pubs je pense que tu peux considérer ton sujet comme résolu

supprime blbeta, killbox, C:\BFU, BFU.zip, IA.bat

je te conseille d'installer ce logiciel http://perso.orange.fr/jesses/Docs [...] laster.htm et de filtrer tes cookies http://perso.numericable.fr/~altsh [...] okies.html

à+

Reply

Marsh Posté le 22-06-2006 à 15:36:47

c'est nickel depuis deux jours je n'ai plus de pub!!!!^^
merci encore pour tout!!!!!^^

mais, donc, c'est rien cette application ( pskill )? parce que panda le mettait comme un logiciel espion...^^ :pt1cable:

Reply

Marsh Posté le 22-06-2006 à 16:24:42

tu t'es fait aider par Malekal_Morte ? car ce dossier "clean" me fait penser à un de ses utilitaires
le fichier pskill doit certainement servir à arrêter des processus pour faire des suppressions tranquillement.

Reply

Marsh Posté le 22-06-2006 à 20:49:46

eu...je sais po...j'ai utilisé ce fichier quand j'ai fait une manip qui était décrite sur un autre site (je sais po si je peux dire le nom) pour résoudre ce problème...
mais en tout cas, y a plus aucun problème de pub!!!! merci encore!!! vous etes génial!!! si je pouvais je vous embrasserais!!!

Reply

Marsh Posté le 23-06-2006 à 11:17:50

salut

bon je pense que c'est ça, le site doit être télécharger.com, ou zébulon.
Le plus simple c'est que tu supprimes le dossier clean directement
d'ailleurs il devrait contenir ceci

Citation :

clean.cmd
del2.cmd
delr.cmd
pskill.exe
remove.reg

de toutes façons c'est ça qui compte :

mais en tout cas, y a plus aucun problème de pub

à bientot

Reply

Marsh Posté le 29-06-2006 à 22:46:22

C'est bon, c'est effacé!!!!!^^
merci encore pour tout!!!^^

Reply

Marsh Posté le 01-08-2006 à 20:31:23

Bonjour,

J'ai le même problème de fenêtres intempestives, dues à egaccess selon mon antivirus. Mais en même temps, je ne sais pas si c'est lié ou non, j'ai de gros problèmes avec Mozilla et le flah player qui bug à tout bout de champ!!
Est-ce que quelqu'un pourrait m'aider svp? Je vous poste le log de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:17:28, on 01/08/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Real\Update_OB\evntsvc.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
D:\Programmes installés\HOTSYNC.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\PCI Audio Applications\Bin\WDM\noSPDIF\Mixer.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Documents and Settings\Allard\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [C-Media Mixer] C:\Program Files\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: HotSync Manager.lnk = ?
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resour [...] se5059.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38075D22-2A79-4AFC-BBC5-62883380DC1A}: NameServer = 84.103.237.144 86.64.145.144
O17 - HKLM\System\CS1\Services\Tcpip\..\{38075D22-2A79-4AFC-BBC5-62883380DC1A}: NameServer = 84.103.237.144 86.64.145.144
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Merci pour votre aide... j'ai essayé un tas de choses et ces fichus problèmes réapparaissent toujours :fou:

edit: voici le log blbeta...
08/01/06 21:51:29 [Info]: BlackLight Engine 1.0.42 initialized
08/01/06 21:51:29 [Info]: OS: 5.1 build 2600 ()
08/01/06 21:51:29 [Note]: 7019 4
08/01/06 21:51:29 [Note]: 7005 0
08/01/06 21:51:32 [Note]: 7006 0
08/01/06 21:51:32 [Note]: 7011 1512
08/01/06 21:51:33 [Note]: 7026 0
08/01/06 21:51:33 [Note]: 7026 0
08/01/06 21:51:33 [Note]: 7024 3
08/01/06 21:51:33 [Info]: Hidden process: C:\windows\system32\lghxde.exe
08/01/06 21:51:33 [Note]: FSRAW library version 1.7.1019
08/01/06 21:51:36 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\LGHXDE.DAT
08/01/06 21:51:38 [Info]: Hidden file: C:\windows\system32\lghxde.exe
08/01/06 21:51:39 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\LGHXDE~1.DAT
08/01/06 21:51:40 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\LGHXDE~4.DAT
08/01/06 21:51:43 [Info]: Hidden file: c:\WINDOWS\Prefetch\LGHXDE~1.PF

Message édité par Mellily le 01-08-2006 à 21:53:50

Reply

Marsh Posté le

Reply

Spywares recalcitrants

Sujets relatifs:

Leave a Replay