Spywares recalcitrants

Spywares recalcitrants - Sécurité - Windows & Software

Marsh Posté le 14-04-2006 à 21:48:58    

Bouh, pas sympa ça: je possède Spybot Search & Destroy et je fais environ cinq analyses par semaines. Mais voilà, à chaque fois il me détecte environ trois spyware, généralement il y en un toujours nouveau, et, c'est là où est le problème, il m'en détécte deux qui reviennent à chaques analyses... :fou:. A chaque fois, je les supprimes...et ils reviennent à chaque fois!!!!
Merci, je vais devenir fous :pt1cable:

Reply

Marsh Posté le 14-04-2006 à 21:48:58   

Reply

Marsh Posté le 14-04-2006 à 21:51:36    

Précise surtout pas de QUELS spywares il s'agit... [:itm] !


---------------
Filmstory : gardez trace des films que vous avez vu ! :D
Reply

Marsh Posté le 15-04-2006 à 10:19:02    

Oups pardon, toutes mes excuses, je m'agenouille devant vous... :lol:  
Oui pardon, il s'agit du logiciel espion "Connect MFC Application". En plus, je ne sais pas si les deux sont liés, mais je n'arrive pas enlever de mon PC des pop up particulièrement génante, si vous voyez ce que je veux dire... :sarcastic: Le nom du site est bien mis en valeur: epass-key.com. Ce n'est que du c**... :sweat:  
Merci de m'aider :hello:

Reply

Marsh Posté le 15-04-2006 à 11:25:30    

Bonjour a tous,
 
* Télécharge et installe HijackThis :
 
http://telechargement.zebulon.fr/li[...]ense-1-160.html
 
* Fermez toutes las applications en cours sauf Hijackthis.
 
* Lance Hijackthis [ le logo avec la dynamite ]
 
* Choisir scanner disque et sauvegarder le log
 
* Le bloc - note s'ouvrira puis faire un copier - coller de tout le contenu du bloc note ici.

Reply

Marsh Posté le 15-04-2006 à 11:52:11    

Ok, bon courage:
 
Logfile of HijackThis v1.99.1
Scan saved at 11:49:19, on 15/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\WF2K.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\program files\mailskinner\mailskinner.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\OFFICE One6.0\program\soffice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F2B20B95-6FB6-FCA3-83DC-430E36721263} - C:\DOCUME~1\UTILIS~1\APPLIC~1\SEND2~1\vga gram.exe
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinFoxV2] C:\WINDOWS\system32\WF2K.EXE Initial
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Startfindjunkplan] C:\Documents and Settings\All Users\Application Data\Soapencstartfind\pureglobal.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One PDF Manager v6\OoPDFSettingsv6.exe
O4 - HKLM\..\Run: [OFFICEOneNotesv6.exe] C:\Program Files\OFFICE ONE6.0\OFFICE One Notes v6\OFFICEOneNotesv6.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [beep rule] C:\DOCUME~1\UTILIS~1\APPLIC~1\SURFBA~1\OOZECHIN.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\mailskinner.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manage\fdm.exe -autorun
O4 - Startup: OFFICE One 6.0.lnk = C:\Program Files\OFFICE One6.0\program\quickstart.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Program Files\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Télécharger avec Star Downloader - C:\PROGRA~1\STARDO~1\sdie.htm
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:\Program Files\Download Express\Add_Url.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab
O16 - DPF: {AF7410C1-FBA3-415E-800A-4110CED40536} - http://scripts.dlv4.com/binaries/e [...] 060_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramew [...] b34246.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B8BE47D-C6B7-4E15-8FAC-DD1C9674D50C}: NameServer = 80.10.246.5 80.10.246.136
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
 

Reply

Marsh Posté le 15-04-2006 à 15:50:09    

Avec ça faut pas s'étonner d'avoir des problèmes. A désinstaller :
C:\Program Files\Shareaza\Shareaza.exe

Reply

Marsh Posté le 15-04-2006 à 17:34:46    

Slt,
 
Télécharge et lance ces deux fichiers :
http://lop.com/new_uninstall.exe
http://lop.com/toolbar_uninstall.exe
Redémarre et poste un nouveau log.
 
Si ton AV se manifeste, autorise le téléchargement.

Reply

Marsh Posté le 17-04-2006 à 18:13:49    

Oups, désolé pour le retard de ma réponse, mais je ne sais pas pourquoi, mais j'ai recommencé un scan il y a deux jours et...plus de logiciel récalcitrant. Bon... Merci quand même!

Reply

Marsh Posté le 17-04-2006 à 21:05:51    

Hum, super, voilà que je suis passé chez Fire Fox, super pas de problème de pop up envahisantes, elles sont toutes bloquées!!!!! Vive Fire Fox, ils l'emportent en matière de sécurité haut la patte sur Internet Explorer!!!!

Reply

Marsh Posté le 17-04-2006 à 21:28:38    

salut,
 
en dehors de lop, il faut te débarrasser de l'éventuel adware navipromo, s'il existe (au vu des lignes O16 et du pourriciel mailskinner)
 
télécharge F-Secure Blacklight (738ko) http://www.f-secure.com/blacklight/try.shtml
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
 
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log
Ne ferme pas blbeta.

Reply

Marsh Posté le 17-04-2006 à 21:28:38   

Reply

Marsh Posté le 19-04-2006 à 15:58:40    

Salut!
J'ai vu dans un de tes messages sur ce forum que pour ceux qui avaient un problème avec des fenêtres intempestives du genre epass-key il fallait télécharger Hijackthis.
On a ce genre de fenêtres qui apparaissentà chaque fois qu'on va sur le net(il y a souvent des pub de c** alors c'est assez gênant!)
Je ne m'y connais pas trop en ordi,mais ce que je peux te dire c'est qu'on a essayé Spybot Search & Destroy,Ad-Aware SE Personal et Avast mais ça n'a pas marché.On a ensuite essayé Hijackthis en suivant minutieusement les instructions(qu'il ne faut pas tout supprimé,à quoi correspond bien chaque numéro:04,016...)ce qui nous a permis de virer des trojans... mais les pubs reviennent toujours.Alors on n'a sûrement pas su supprimer ce qu'il fallait.
Est-ce-que tu pourrais nous aider,ou quelqu'un d'autre qui verrait ce message,stp?  :)

Reply

Marsh Posté le 19-04-2006 à 16:02:47    

salut mamour16
 
je ne sais pas à qui tu t'adresses exactement mais le pb avec navipromo (si c'est bien le cas), c'est que les popups ne viennent pas d'internet mais un exécutable au nom aléatoire en est responsable, et de plus il est remarquablement bien caché les 3/4 du temps (HJT ne le montre pas toujours).
 
donc oui poste ton log et on verra comment procéder.

Reply

Marsh Posté le 19-04-2006 à 16:05:44    

Merci!
voilà je te l'envoie:
 
Logfile of HijackThis v1.99.1
Scan saved at 15:59:45, on 19/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\FSScrCtl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Hugo\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rejoignez.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2453443 14
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9A80B10-FB9B-4A7F-AE51-7421017F7BE4}: NameServer = 84.103.237.141 86.64.145.141
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
 
Merci beaucoup

Reply

Marsh Posté le 19-04-2006 à 16:10:43    

ok c'est bien navipromo, quand on regarde cette ligne par exemple
 
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab  
 
blbeta, s'il trouve qquechose) est une bonne solution (mais partielle), fais le et dépose le log (indiqué comment faire juste un peu plus haut). Et regardons les autres traces :
fais un clic droit sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus et poste le contenu du rapport qui va s'ouvrir au bout de quelques instants.

Reply

Marsh Posté le 19-04-2006 à 16:17:40    

ok!voilà,je te met tout le contenu(je ne comprends rien à ce qui est écrit!!! :pt1cable: ) :
 
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 
 R‚pertoire de c:\Program Files\Fichiers communs
 
18/10/2005  13:26    <REP>          .
18/10/2005  13:26    <REP>          ..
09/02/2005  20:05    <REP>          Adobe
09/02/2005  20:10    <REP>          Ahead
18/10/2005  13:26    <REP>          Designer
15/05/2005  20:02    <REP>          InstallShield
18/10/2005  13:25    <REP>          Microsoft Shared
09/02/2005  19:49    <REP>          MSSoap
18/03/2005  11:33    <REP>          Nikon
09/02/2005  20:44    <REP>          ODBC
09/02/2005  19:49    <REP>          Services
09/02/2005  20:44    <REP>          SpeechEngines
11/07/2005  16:08    <REP>          Symantec Shared
15/04/2006  22:58    <REP>          System
               0 fichier(s)                0 octets
              14 R‚p(s)   6ÿ620ÿ868ÿ608 octets libres
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 
 R‚pertoire de c:\Program Files
 
19/04/2006  15:40    <REP>          .
19/04/2006  15:40    <REP>          ..
09/02/2005  20:05    <REP>          Adobe
09/02/2005  20:11    <REP>          Ahead
11/07/2005  13:57    <REP>          Alwil Software
18/03/2005  11:32    <REP>          ArcSoft
09/02/2005  19:48    <REP>          ComPlus Applications
09/02/2005  20:07    <REP>          CONEXANT
17/04/2005  19:51    <REP>          CyberLink
24/03/2005  12:40    <REP>          DVD Decrypter
24/03/2005  12:39    <REP>          DVD Shrink
27/09/2005  17:02    <REP>          EA GAMES
18/04/2006  18:06    <REP>          eMule
08/03/2006  13:48    <REP>          EZFace
18/10/2005  13:26    <REP>          Fichiers communs
28/02/2006  14:40    <REP>          Google
13/03/2005  18:33    <REP>          Guitar Pro 4
18/04/2006  20:03    <REP>          Internet Explorer
09/02/2005  20:12    <REP>          InterVideo
15/05/2005  20:03    <REP>          Kit ADSL
12/08/2005  10:57    <REP>          K-Lite Codec Pack
20/10/2005  17:17    <REP>          Lavasoft
12/08/2005  10:57    <REP>          Messenger
18/10/2005  13:24    <REP>          microsoft frontpage
18/10/2005  13:24    <REP>          Microsoft Office
12/08/2005  10:57    <REP>          Microsoft Works
09/02/2005  19:49    <REP>          Movie Maker
17/04/2005  16:41    <REP>          MSN
09/02/2005  19:48    <REP>          MSN Gaming Zone
13/11/2005  11:20    <REP>          MSN Messenger
09/02/2005  19:49    <REP>          NetMeeting
18/03/2005  11:33    <REP>          Nikon
09/02/2005  19:48    <REP>          Online Services
15/04/2006  22:58    <REP>          Outlook Express
18/03/2005  11:33    <REP>          QuickTime
13/03/2005  12:54    <REP>          Raccourcis de programmes
09/02/2005  19:49    <REP>          Services en ligne
17/04/2006  17:17    <REP>          Spybot - Search & Destroy
13/03/2005  20:07    <REP>          Steinberg
12/04/2005  19:46    <REP>          StreamCast
01/04/2005  18:29    <REP>          USB Driver-Express
19/08/2005  12:37    <REP>          VSoft
17/04/2006  20:30    <REP>          Winamp
17/02/2006  11:12    <REP>          Windows Media Player
09/02/2005  19:47    <REP>          Windows NT
02/11/2005  20:16    <REP>          WinRAR
09/02/2005  19:51    <REP>          xerox
25/01/2006  20:02    <REP>          Yahoo!
               0 fichier(s)                0 octets
              48 R‚p(s)   6ÿ620ÿ868ÿ608 octets libres
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 
 R‚pertoire de C:\WINDOWS\system32
 
06/04/2006  21:05           135ÿ425 lpwqba_nav.dat
19/04/2006  16:14               746 lpwqba_navps.dat
               2 fichier(s)          136ÿ171 octets
 
     Total des fichiers list‚sÿ:
               2 fichier(s)          136ÿ171 octets
               0 R‚p(s)   6ÿ620ÿ815ÿ360 octets libres
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 
 R‚pertoire de C:\WINDOWS\system32
 
18/04/2006  20:16            20ÿ992 msclock32.dll
18/04/2006  20:17            20ÿ992 msplock32.dll
               2 fichier(s)           41ÿ984 octets
 
     Total des fichiers list‚sÿ:
               2 fichier(s)           41ÿ984 octets
               0 R‚p(s)   6ÿ620ÿ803ÿ072 octets libres
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 
 R‚pertoire de C:\WINDOWS\system32
 
06/04/2006  10:19            69ÿ632 EGACCESS.dll
30/01/2006  11:35           186ÿ880 eg_auth_srv_1049.dll
               2 fichier(s)          256ÿ512 octets
 
     Total des fichiers list‚sÿ:
               2 fichier(s)          256ÿ512 octets
               0 R‚p(s)   6ÿ620ÿ803ÿ072 octets libres
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 
 R‚pertoire de C:\WINDOWS
 
30/01/2006  11:35           186ÿ880 p2esocks_1049.dll
               1 fichier(s)          186ÿ880 octets
 
     Total des fichiers list‚sÿ:
               1 fichier(s)          186ÿ880 octets
               0 R‚p(s)   6ÿ620ÿ803ÿ072 octets libres
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2
 Le volume dans le lecteur C s'appelle 415999
 Le num‚ro de s‚rie du volume est 684C-60A2

Reply

Marsh Posté le 19-04-2006 à 16:27:28    

voilà la procédure que je propose dans ce genre de cas :
 
Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPO [...] 5112131924
Tu vas t'en servir tout à l'heure.
 
1/ Télécharge :
 
- CCleaner http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
 
- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS Remover (de Metallica), Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)
 
2/ Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous, ligne vide comprise à la fin (copie tout d'un trait) :
 

Citation :

REGEDIT4
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\lpwqba]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lpwqba"=-
"Instant Access"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"lpwqba"=-
"Instant Access"=-
 


 
Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix0.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de fix0.reg doit ressembler à cela http://www.hiboox.com/images/4905/avnoztv.jpg
 
 
 
*****Copie ce qui suit dans un bloc-notes et redémarre en mode sans échec*****
 
2 et demi/ désenregistrer si possible les dll
 
démarrer/exécuter et tu coles cette ligne avant de valider par ok (peu importe si tu as un message d'erreur)
 
regsvr32 /u C:\WINDOWS\system32\EGACCESS.dll
 
recommence avec :
 
regsvr32 /u C:\WINDOWS\system32\eg_auth_srv_1049.dll
regsvr32 /u C:\WINDOWS\p2esocks_1049.dll
 
 
3/ Relance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :
 
O16 - DPF: {82FC4503-8459-4239-9B85-0617BEAA950A} - http://scripts.dlv4.com/binaries/e [...] 061_XP.cab  
 
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
 
 
4/ Assure toi d'avoir accès aux dossiers/fichiers cachés :
 

Citation :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


 
 
5/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :
 
a) dans C:\WINDOWS\system32
 
lpwqba_nav.dat <- le fichier
lpwqba_navps.dat <- le fichier
lpwqba.dat <- le fichier
lpwqba.exe <- le fichier
 
msclock32.dll <- le fichier
msplock32.dll <- le fichier
 
EGACCESS.dll <- le fichier
eg_auth_srv_1049.dll <- le fichier
 
b) dans C:\WINDOWS\Prefetch, supprime tout fichier dont le nom commence par "lpwqba"
 
c) enfin supprime le fichier C:\WINDOWS\p2esocks_1049.dll
 
6/ Vide la corbeille.
 
7/ Démarrer/panneau de configuration/options internet
- onglet "contenu"
- onglet "certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs
electronic-group
egroup
Montorgueil
VIP
=> Supprime-les tous
 
8/ double clique sur fix0.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
 
9/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. Coche la case "show log after script ends"
Sous "scriptline to execute" copie/colle
c:\bfu\EGDACCESS.bfu
Clique sur execute et laisse-le faire son travail.
Attendre que complete script execution apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.
 
10/ Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.
 
11/ Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation (donc pour les pubs).

Reply

Marsh Posté le 19-04-2006 à 16:38:28    

euh...ça ne te dérange pas si j'attends que mon copain rentre pour pouvoir faire tout ça parce que j'ai bien peur de ne pas y arriver :sweat:  
c'est pas grave?tu comprends j'ai pas envie de faire n'importe quoi...

Reply

Marsh Posté le 19-04-2006 à 16:44:34    

non aucun pb. La procédure est détaillée au maximum. Hésitez pas si vs avez des questions :)

Reply

Marsh Posté le 20-04-2006 à 08:31:05    

Bonjour eZula! :hello:  
C'est bon on a suivi ta procèdure et il n'y a plus de fenêtres intempestives qui s'accaparent notre écran!!!
 
J'ai eu quelques difficultées à comprendre certains trucs(normal puisque je ne m'y connais pas du tout!) mais mon copain a pris la relève et ça s'est très bien passé.Ca fait du bien de faire un bon nettoyage là-dedans!!!
 
On te remercie beaucoup. :jap:  
Ciao!  :)  

Reply

Marsh Posté le 20-04-2006 à 11:09:32    

bonjour mamour16
 
si tu as encore un peu de temps, je te propose de poster le rapport de ce scan en ligne http://www.ewido.net/en/onlinescan/

Reply

Marsh Posté le 20-04-2006 à 12:46:33    

salut et bon appétit!
Je t'envoie donc le scan(il y avait encore un trojan que mon copain n'avait pas réussi à enlever,donc je vais l'enlever maintenant)
 
Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\Hugo\Cookies\hugo@atdmt[2].txt
Risk: Medium
 
Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\Hugo\Cookies\hugo@bluestreak[2].txt
Risk: Medium
 
Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\Hugo\Cookies\hugo@ehg-neuftelecom.hitbox[1].txt
Risk: Medium
 
Name: TrackingCookie.Estat
Path: C:\Documents and Settings\Hugo\Cookies\hugo@estat[1].txt
Risk: Medium
 
Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\Hugo\Cookies\hugo@hitbox[2].txt
Risk: Medium
 
Name: TrackingCookie.Serving-sys
Path: C:\Documents and Settings\Hugo\Cookies\hugo@serving-sys[2].txt
Risk: Medium
 
Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\Hugo\Cookies\hugo@tradedoubler[2].txt
Risk: Medium
 
Name: TrackingCookie.Weborama
Path: C:\Documents and Settings\Hugo\Cookies\hugo@weborama[2].txt
Risk: Medium
 
Name: TrackingCookie.Atdmt
Path: C:\Documents and Settings\YAYA\Cookies\yaya@atdmt[1].txt
Risk: Medium
 
Name: TrackingCookie.Bluestreak
Path: C:\Documents and Settings\YAYA\Cookies\yaya@bluestreak[2].txt
Risk: Medium
 
Name: TrackingCookie.Doubleclick
Path: C:\Documents and Settings\YAYA\Cookies\yaya@doubleclick[1].txt
Risk: Medium
 
Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\YAYA\Cookies\yaya@ehg-yvesrocher.hitbox[2].txt
Risk: Medium
 
Name: TrackingCookie.Hitbox
Path: C:\Documents and Settings\YAYA\Cookies\yaya@hitbox[2].txt
Risk: Medium
 
Name: TrackingCookie.2o7
Path: C:\Documents and Settings\YAYA\Cookies\yaya@msnportal.112.2o7[1].txt
Risk: Medium
 
Name: TrackingCookie.Serving-sys
Path: C:\Documents and Settings\YAYA\Cookies\yaya@serving-sys[1].txt
Risk: Medium
 
Name: TrackingCookie.Reliablestats
Path: C:\Documents and Settings\YAYA\Cookies\yaya@stats1.reliablestats[1].txt
Risk: Medium
 
Name: TrackingCookie.Tradedoubler
Path: C:\Documents and Settings\YAYA\Cookies\yaya@tradedoubler[1].txt
Risk: Medium
 
Name: TrackingCookie.Weborama
Path: C:\Documents and Settings\YAYA\Cookies\yaya@weborama[2].txt
Risk: Medium
 
Name: TrackingCookie.Smartadserver
Path: C:\Documents and Settings\YAYA\Cookies\yaya@www.smartadserver[1].txt
Risk: Medium
 
Name: Trojan.P2E.cl
Path: C:\WINDOWS\p2esocks_1049.dll
Risk: High
 
 
Encore une fois MERCI

Reply

Marsh Posté le 20-04-2006 à 13:09:57    

c'est lui le trojan C:\WINDOWS\p2esocks_1049.dll
 
supprime-le comme ceci : Lance HijackThis,
"open the misc tool section"
"delete a file on reboot"
-> dans la fenêtre qui s'ouvre, colle ce chemin :
C:\WINDOWS\p2esocks_1049.dll
puis clique sur "ouvrir"
Valide le message, l'ordinateur va redémarrer (sinon fais-le toi-même)
 
A ce moment-là, n'hésite pas à repasser le script bfu, avec le minimum de  programmes ouverts.
 
après le redémarrage, vérifie simplement que ce fichier a bien disparu, si c'est le cas le pb est réglé et tu pourras supprimer C:\BFU, bfu.zip, fix0.reg et IA.bat
Puis remettre l'affichage des dossiers par défaut

Reply

Marsh Posté le 20-04-2006 à 16:54:46    

Voilà ça y est je pense que c'est bon une bonne fois pour toutes! :bounce:  
merci pour tout.bonne soirée :)

Reply

Marsh Posté le 20-04-2006 à 17:01:16    

de rien, bonne soirée également et à+ :)

Reply

Marsh Posté le 19-06-2006 à 18:15:04    

Bonjour à tous !!
Bon, j’ai le même problème que vous, je reçois des pub  d’epass-key très … sympathiques !!! …
En faisant deux-trois recherches, j’ai vu que je n’étais pas la seule dans ce cas et j’ai suivi les manipulations qui étaient indiquées sur certains sites pour pallier ce problème. J’ai notamment utilisé Brute Force Uninstaller, et ewido  en mode sans échec… en scannant, ewido a trouvé 32 objets infestés et les a mis en quarantaine, mais en me connectant de nouveau à internet, paf, je retombe sur une pub…j’en déduis donc que tout n’a pas marché !!!
Je viens donc de télécharger hijackthis et voici le rapport du scan (je précise que mes connaissances en informatique sont assez limitées…^^) :  
 
Logfile of HijackThis v1.99.1
Scan saved at 18:14:28, on 19/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\NormanS\Bin\Zanda.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\NormanS\Nvc\bin\nvcoas.exe
C:\NormanS\bin\NJEEVES.EXE
C:\NormanS\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\Explorer.EXE
C:\NormanS\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MESSAG~1\Demon.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\NormanS\bin\ZLH.EXE
C:\Program Files\Netropa\InetKb\Inetkb.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\NormanS\Nvc\BIN\NIP.EXE
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\NormanS\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {BE89472C-B803-4D1D-9A9A-0A63660E0FE3} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\PROGRA~1\COPERN~1\COPERN~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Norman ZANDA] C:\NormanS\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Program Files\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{06912074-3EC7-419D-A660-5DA17CDC22D5}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{06912074-3EC7-419D-A660-5DA17CDC22D5}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NormanS\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NormanS\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\NormanS\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NormanS\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NormanS\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
 
 
aidez-moi!!!!!! :(

Reply

Marsh Posté le 19-06-2006 à 18:51:57    

bonjour
 
essaye la manip avec blacklight (voir message Posté le 17-04-2006 à 21:28:38) et dépose son rapport

Reply

Marsh Posté le 20-06-2006 à 16:35:24    

merci!!! :)  
 
voila le résultat!!!^^ :
 
06/20/06 16:29:13 [Info]: BlackLight Engine 1.0.37 initialized
06/20/06 16:29:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/20/06 16:29:13 [Note]: 7019 4
06/20/06 16:29:13 [Note]: 7005 0
06/20/06 16:29:15 [Note]: 7006 0
06/20/06 16:29:15 [Note]: 7011 376
06/20/06 16:29:15 [Note]: 7026 0
06/20/06 16:29:15 [Note]: 7026 0
06/20/06 16:29:15 [Note]: 7024 3
06/20/06 16:29:15 [Info]: Hidden process: C:\windows\system32\odbmsuwx.exe
06/20/06 16:29:15 [Note]: FSRAW library version 1.7.1015
06/20/06 16:30:56 [Info]: Hidden file: c:\WINDOWS\system32\odbmsuwx.dat
06/20/06 16:30:56 [Note]: 10002 1
06/20/06 16:30:56 [Info]: Hidden file: C:\windows\system32\odbmsuwx.exe
06/20/06 16:30:56 [Note]: 10002 1
06/20/06 16:30:56 [Info]: Hidden file: c:\WINDOWS\system32\odbmsuwx_nav.dat
06/20/06 16:30:56 [Note]: 10002 1

Reply

Marsh Posté le 20-06-2006 à 18:25:45    

salut
 
c'était bien ça, donc.
Le but de notre manip ça va être de faire en sorte que blbeta ne trouve plus rien, au prochain démarrage (que ce soit la famille "odbmsuwx" ou une autre). Je te préviens qu'on n'y arrivera pas obligatoirement du 1er coup. Mais quand on y sera parvenu => adieu les pubs pour toi :)
 
0/ Relance HijackThis en cliquant sur "do a system scan only" et coche cette ligne (uniquement cette ligne) si tu la trouves encore :
 
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe  
 
- Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.
 
1/ Télécharge PocketKillBox http://www.bleepingcomputer.com/fi [...] illBox.zip et dézippe-le sur ton bureau.
 
Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".
 
copie d'un trait les lignes de la citation suivante :
 

Citation :

C:\windows\system32\odbmsuwx.exe
c:\WINDOWS\system32\odbmsuwx.dat
C:\windows\system32\odbmsuwx.exe
c:\WINDOWS\system32\odbmsuwx_nav.dat


 
=> clic droit / "copier"
 
Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.
- clique sur le bouton "all files"
- clique ensuite sur la croix rouge
 
Au deux messages qui vont s'afficher,tu réponds par "YES"
 
L'ordinateur doit redémarrer, sinon, fais le toi-même.
 
-------------------------
 
2/ Dès le redémarrage, supprime :
C:\!Killbox <- le dossier
vide ta corbeille.
 
3/ et nouveau rapport blbeta :)

Reply

Marsh Posté le 20-06-2006 à 19:40:19    

voila le résultat :
 
06/20/06 19:32:15 [Info]: BlackLight Engine 1.0.37 initialized
06/20/06 19:32:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/20/06 19:32:15 [Note]: 7019 4
06/20/06 19:32:15 [Note]: 7005 0
06/20/06 19:32:17 [Note]: 7006 0
06/20/06 19:32:17 [Note]: 7011 832
06/20/06 19:32:17 [Note]: 7026 0
06/20/06 19:32:18 [Note]: 7026 0
06/20/06 19:32:44 [Note]: FSRAW library version 1.7.1015
 
... j'ai l'impresssion que c'est bon, non????  :)  :)  :)  :)  :)

Reply

Marsh Posté le 20-06-2006 à 20:27:28    

a oui, c'est bon :)
 
On continue le nettoyage, juste quelques babioles, à priori
 
fais un clic droit de souris sur ce lien http://perso.numericable.fr/~altsh [...] ers/IA.bat / "enregistrer sous"
Mets le fichier sur le bureau, double-clique dessus
Ne tiens pas compte de ce qui sera écrit dans la fenetre noire
un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.

Reply

Marsh Posté le 21-06-2006 à 22:59:58    

voila le rapport : :)  :)  
 
*** Répertoires ***
 
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 
 R‚pertoire de C:\Program Files\Fichiers communs
 
28/04/2006  12:14    <REP>          .
28/04/2006  12:14    <REP>          ..
09/06/2006  21:01    <REP>          Adobe
28/04/2006  12:14    <REP>          Adobe Systems Shared
01/10/2004  23:25    <REP>          Ahead
12/10/2004  10:40    <REP>          AOL
18/10/2004  15:29    <REP>          Copernic
14/01/2006  14:54    <REP>          DESIGNER
01/10/2004  19:09    <REP>          FotoNation
16/01/2005  13:41    <REP>          GTK
20/05/2006  14:18    <REP>          InstallShield
14/01/2006  14:54    <REP>          Microsoft Shared
10/09/2004  14:14    <REP>          MSSoap
10/09/2004  15:12    <REP>          ODBC
06/03/2005  00:22    <REP>          Real
10/09/2004  14:14    <REP>          Services
10/09/2004  15:12    <REP>          SpeechEngines
14/04/2006  15:27    <REP>          System
12/11/2005  15:31    <REP>          Vbox
06/03/2005  00:22    <REP>          xing shared
               0 fichier(s)                0 octets
              20 R‚p(s)  175ÿ171ÿ866ÿ624 octets libres
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 
 R‚pertoire de C:\Program Files
 
01/10/2004  18:04    <REP>          %ALLUSERSPROFILE%
19/06/2006  12:48    <REP>          .
19/06/2006  12:48    <REP>          ..
09/06/2006  21:01    <REP>          Adobe
28/08/2005  20:10    <REP>          Ahead
21/11/2004  17:07    <REP>          ArcSoft
30/04/2006  22:30    <REP>          Black Isle
18/06/2006  15:46    <REP>          Calendrier 2006
08/05/2006  11:46    <REP>          CartaGoGo
18/06/2006  15:44    <REP>          Cartes de visite
20/05/2006  17:18    <REP>          Common Files
10/09/2004  14:14    <REP>          ComPlus Applications
27/12/2004  12:54    <REP>          Copernic Agent
11/04/2006  18:27    <REP>          Core Design
27/03/2005  18:00    <REP>          Dictionnaire
31/12/2004  17:43    <REP>          directx
18/06/2006  18:34    <REP>          ewido anti-malware
28/04/2006  12:14    <REP>          Fichiers communs
26/12/2004  16:03    <REP>          FinePixViewer
02/10/2004  21:08    <REP>          Flat Panel Adjust
12/02/2005  19:01    <REP>          G‚n‚aTique2004
18/06/2006  13:27    <REP>          Google
20/06/2006  19:21    <REP>          Hijackthis Version Fran‡aise
12/05/2006  16:47    <REP>          Illustrate
20/11/2005  18:08    <REP>          InterActual
14/06/2006  20:15    <REP>          Internet Explorer
10/06/2006  16:03    <REP>          InternetGameBox
10/09/2004  14:18    <REP>          InterVideo
01/10/2004  19:48    <REP>          JavaSoft
01/10/2004  19:10    <REP>          LightWork Design
09/12/2005  19:56    <REP>          LucasArts
01/10/2004  19:47    <REP>          Messager Wanadoo
13/09/2005  19:45    <REP>          Messenger
15/06/2006  18:52    <REP>          Micro Application
10/09/2004  14:15    <REP>          microsoft frontpage
04/03/2005  14:27    <REP>          Microsoft Office
13/12/2005  22:13    <REP>          Microsoft Works
04/03/2005  14:27    <REP>          Microsoft.NET
05/06/2005  14:58    <REP>          Mihov Image Resizer
16/02/2005  17:51    <REP>          Monopoly Star Wars
10/10/2004  21:27    <REP>          Movie Maker
10/09/2004  14:14    <REP>          MSN Gaming Zone
05/02/2006  16:55    <REP>          MSN Messenger
12/05/2006  16:09    <REP>          Musicmatch
10/10/2004  21:24    <REP>          NetMeeting
01/10/2004  20:55    <REP>          Netropa
14/12/2005  21:21    <REP>          OfficeUpdate11
14/04/2006  15:27    <REP>          Outlook Express
06/11/2005  16:15    <REP>          Picasa2
26/12/2004  16:04    <REP>          PIXELA
15/11/2005  16:33    <REP>          QuickTime
06/03/2005  00:22    <REP>          Real
26/12/2004  16:03    <REP>          REGSHAVE
16/06/2006  12:24    <REP>          Saloon Poker
10/06/2005  20:24    <REP>          ScreenThemes
10/09/2004  14:14    <REP>          Services en ligne
19/08/2005  16:41    <REP>          Sigmatel
28/12/2004  18:32    <REP>          Silver
30/09/2005  15:22    <REP>          Skype
20/06/2006  20:12    <REP>          Spybot - Search & Destroy
31/12/2004  17:54    <REP>          Tantrum
30/01/2005  18:47    <REP>          The Learning Company
10/11/2005  13:04    <REP>          TIE FIGHTER
06/04/2006  12:23    <REP>          Tomb Raider - Legend Demo
12/02/2005  18:53    <REP>          Tracker Software
12/11/2005  13:11    <REP>          VideoLAN
08/05/2006  11:26    <REP>          Visiteurs
10/11/2005  13:12    <REP>          vitesse lumiere
21/06/2006  22:34    <REP>          Wanadoo
16/02/2006  14:58    <REP>          Windows Media Player
09/01/2005  13:44    <REP>          Windows NT
20/07/2005  20:07    <REP>          WinPcap
25/02/2005  10:48    <REP>          WinRAR
21/07/2005  19:11    <REP>          WM Recorder 10
10/09/2004  14:15    <REP>          xerox
19/04/2005  21:08    <REP>          Yahoo!
               0 fichier(s)                0 octets
              76 R‚p(s)  175ÿ171ÿ862ÿ528 octets libres
 
*** Fichiers ***
 
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 
 R‚pertoire de C:\WINDOWS\system32
 
18/06/2006  18:33           178ÿ014 odbmsuwx_nav.dat
               1 fichier(s)          178ÿ014 octets
 
     Total des fichiers list‚sÿ:
               1 fichier(s)          178ÿ014 octets
               0 R‚p(s)  175ÿ171ÿ805ÿ184 octets libres
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 Le volume dans le lecteur C s'appelle 53_03_40
 Le num‚ro de s‚rie du volume est FC53-AA0C
 
*** Registre ***
 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
 
    C:\WINDOWS\system32\egaccess4_1063.dll REG_DWORD 0x1
 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1063.dll
 
Magic Control
 
 
*** Terminé ***

Reply

Marsh Posté le 22-06-2006 à 00:14:27    

salut! :)
 
1/ Télécharge : Brute Force Uninstaller http://www.merijn.org/files/bfu.zip
Décompresse-le dans un dossier propre à lui (C:\BFU)
FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu
et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous.." )
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)  
 
2/ Redémarre en mode sans échec, méthode : http://service1.symantec.com/SUPPO [...] 5112131924  
(utilise la touche F8, c'est plus simple et plus sur)
 
3/  Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique exit pour fermer le programme BFU.  
 
4/ Si à l'issue de cette manip tu vois encore ce fichier C:\WINDOWS\system32\odbmsuwx_nav.dat -> supprime-le
 
5/ Démarrer/exécuter, tape regedit et supprime les éléments entre * * ci-dessous, si tu les trouves :
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
 *C:\WINDOWS\system32\egaccess4_1063.dll* <- dans le panneau de droite de la clé "SharedDLLs"
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\*C:/WINDOWS/system32/egaccess4_1063.dll*
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*odbmsuwx*
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
*odbmsuwx* <- dans le panneau de droite de la clé "Run"
 
6/ Démarrer/panneau de configuration/options internet
- onglet "contenu"
- onglet "certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs
electronic-group
egroup
Montorgueil
VIP
=> Supprime-les tous
 
7/ Redémarre normalement et Poste un rapport Panda
 
http://www.pandasoftware.com/activ [...] ncipal.htm (il faut utiliser internet explorer)
"Analyser votre pc" -> "suivant" -> remplir adresse mail -> Pays/Etat-région -> envoyer -> laisser se dérouler le téléchargement du contrôle ActiveX -> sélectionner "tout ordinateur" -> fermer la popup
Lorsque c'est terminé, sauvegarde et dépose le rapport dans ta prochaine réponse.

Reply

Marsh Posté le 22-06-2006 à 12:41:28    

bouh!! ba, tout a bien marché dans les manip ... voila le rapport de panda (sniff!!^^):
 
Incident                                                                        Statut                        Analyse                                                                                                                                                                                                                                                          
 
Outil indésirable:Application/Pskill.K                                          No Désinfecté                 C:\Documents and Settings\Claire\Bureau\clean\pskill.exe                                                                                                                                                                                                        
Spyware:Cookie/Advertising                                                      No Désinfecté                 C:\Documents and Settings\Claire\Cookies\claire@advertising[2].txt                                                                                                                                                                                              
Spyware:Cookie/Falkag                                                           No Désinfecté                 C:\Documents and Settings\Claire\Cookies\claire@as1.falkag[2].txt                                                                                                                                                                                                
Spyware:Cookie/Bluestreak                                                       No Désinfecté                 C:\Documents and Settings\Claire\Cookies\claire@bluestreak[1].txt                                                                                                                                                                                                
Spyware:Cookie/Doubleclick                                                      No Désinfecté                 C:\Documents and Settings\Claire\Cookies\claire@doubleclick[1].txt                                                                                                                                                                                              
Spyware:Cookie/Mediaplex                                                        No Désinfecté                 C:\Documents and Settings\Claire\Cookies\claire@mediaplex[1].txt                                                                                                                                                                                                
Spyware:Cookie/Weborama                                                         No Désinfecté                 C:\Documents and Settings\Claire\Cookies\claire@weborama[2].txt                                                                                                                                                                                                  
Spyware:Cookie/Xiti                                                             No Désinfecté                 C:\Documents and Settings\Claire\Cookies\claire@xiti[1].txt                                                                                                                                                                                                      
(eu...je vais devoir partir une semaine, je ne serais pas de retour avant mercredi prochain pour d'autres manip!!^^ :) )

Reply

Marsh Posté le 22-06-2006 à 13:03:04    

salut
 
ça a l'air correct au niveau des résultats (plus que des cookies)
 
si tu n'as plus de problèmes de pubs je pense que tu peux considérer ton sujet comme résolu
 
supprime blbeta, killbox, C:\BFU, BFU.zip, IA.bat
 
je te conseille d'installer ce logiciel http://perso.orange.fr/jesses/Docs [...] laster.htm et de filtrer tes cookies http://perso.numericable.fr/~altsh [...] okies.html
 
à+ :)

Reply

Marsh Posté le 22-06-2006 à 15:36:47    

c'est nickel depuis deux jours je n'ai plus de pub!!!!^^
merci encore pour tout!!!!!^^ :)  :)  :)  :)  :)  
 
mais, donc, c'est rien cette application ( pskill )? parce que panda le mettait comme un logiciel espion...^^ :pt1cable:

Reply

Marsh Posté le 22-06-2006 à 16:24:42    

tu t'es fait aider par Malekal_Morte ? car ce dossier "clean" me fait penser à un de ses utilitaires
le fichier pskill doit certainement servir à arrêter des processus pour faire des suppressions tranquillement.

Reply

Marsh Posté le 22-06-2006 à 20:49:46    

eu...je sais po...j'ai utilisé ce fichier quand j'ai fait une manip qui était décrite sur un autre site (je sais po si je peux dire le nom) pour résoudre ce problème...
mais en tout cas, y a plus aucun problème de pub!!!! merci encore!!! vous etes génial!!! si je pouvais je vous embrasserais!!!  :)  :)  :)

Reply

Marsh Posté le 23-06-2006 à 11:17:50    

salut
 
bon je pense que c'est ça, le site doit être télécharger.com, ou zébulon.
Le plus simple c'est que tu supprimes le dossier clean directement
d'ailleurs il devrait contenir ceci
 

Citation :

clean.cmd
del2.cmd
delr.cmd
pskill.exe
remove.reg


 
de toutes façons c'est ça qui compte :
 
mais en tout cas, y a plus aucun problème de pub
 
à bientot :)

Reply

Marsh Posté le 29-06-2006 à 22:46:22    

C'est bon, c'est effacé!!!!!^^
merci encore pour tout!!!^^ :)  :)

Reply

Marsh Posté le 01-08-2006 à 20:31:23    

Bonjour,
 
J'ai le même problème de fenêtres intempestives, dues à egaccess selon mon antivirus. Mais en même temps, je ne sais pas si c'est lié ou non, j'ai de gros problèmes avec Mozilla et le flah player qui bug à tout bout de champ!! :(  
Est-ce que quelqu'un pourrait m'aider svp? Je vous poste le log de hijackthis:
 
Logfile of HijackThis v1.99.1
Scan saved at 19:17:28, on 01/08/2006
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Real\Update_OB\evntsvc.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
D:\Programmes installés\HOTSYNC.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\PCI Audio Applications\Bin\WDM\noSPDIF\Mixer.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Documents and Settings\Allard\Bureau\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [C-Media Mixer] C:\Program Files\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\RunOnce: [MyWebSearch bar Uninstall] rundll32 C:\PROGRA~1\UNINST~1.DLL,O -2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: HotSync Manager.lnk = ?
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resour [...] se5059.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{38075D22-2A79-4AFC-BBC5-62883380DC1A}: NameServer = 84.103.237.144 86.64.145.144
O17 - HKLM\System\CS1\Services\Tcpip\..\{38075D22-2A79-4AFC-BBC5-62883380DC1A}: NameServer = 84.103.237.144 86.64.145.144
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
Merci pour votre aide... j'ai essayé un tas de choses et ces fichus problèmes réapparaissent toujours :fou:
 
edit: voici le log blbeta...  
08/01/06 21:51:29 [Info]: BlackLight Engine 1.0.42 initialized
08/01/06 21:51:29 [Info]: OS: 5.1 build 2600 ()
08/01/06 21:51:29 [Note]: 7019 4
08/01/06 21:51:29 [Note]: 7005 0
08/01/06 21:51:32 [Note]: 7006 0
08/01/06 21:51:32 [Note]: 7011 1512
08/01/06 21:51:33 [Note]: 7026 0
08/01/06 21:51:33 [Note]: 7026 0
08/01/06 21:51:33 [Note]: 7024 3
08/01/06 21:51:33 [Info]: Hidden process: C:\windows\system32\lghxde.exe
08/01/06 21:51:33 [Note]: FSRAW library version 1.7.1019
08/01/06 21:51:36 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\LGHXDE.DAT
08/01/06 21:51:38 [Info]: Hidden file: C:\windows\system32\lghxde.exe
08/01/06 21:51:39 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\LGHXDE~1.DAT
08/01/06 21:51:40 [Info]: Hidden file: c:\WINDOWS\SYSTEM32\LGHXDE~4.DAT
08/01/06 21:51:43 [Info]: Hidden file: c:\WINDOWS\Prefetch\LGHXDE~1.PF


Message édité par Mellily le 01-08-2006 à 21:53:50
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed