publicite intempstive

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

bonjour . Depuis quelques jours j'ai beaucoup de page publicitaire qui s'installent dès que j'ouvre IE j'ai la version de hijackthis puis je vous enoyer le scan pour l'analyser en vous remerciant

AgnesD

Bonjour Jebri
Fait ceci tant que tu y est et poste nous le rapport HJThis avec celui qui sera généré par cette procédure.
Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

Logfile of HijackThis v1.99.1
Scan saved at 17:14:24, on 25/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\ShareazaPlus\Shareaza.exe
C:\Program Files\Google\Google Earth\googleearth.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {29932878-7491-40EF-A016-8DBA5A33E24C} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ukqpwn] c:\windows\system32\ukqpwn.exe ukqpwn
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\DOCUME~1\JEANJA~1\LOCALS~1\Temp\Rar$EX50.547\OFFICE~1\FILES\PFILES\MSOFFICE\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/ ... module.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se8300.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 4493638046
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/js ... Player.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36E92C7A-FA96-4326-8E3B-F594BDE16F5F}: NameServer = 212.27.32.5,212.27.32.176
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

AgnesD

Peux tu me mettre le blacklight.

je repasse plus tard.

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

Ce soir je travaille donc je reprend s demain les opérations merci de ton aide

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

bon voila c rapide avant de partir travailler j'ai réussi et voici les résultats je crois que je l'ai passé deux fois le scan mais pas grave .
Merci de me renseigner surles Mer..de que j'ai

04/25/07 19:34:23 [Info]: BlackLight Engine 1.0.61 initialized
04/25/07 19:34:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/25/07 19:34:23 [Note]: 7019 4
04/25/07 19:34:23 [Note]: 7005 0
04/25/07 19:34:26 [Note]: 7006 0
04/25/07 19:34:26 [Note]: 7011 516
04/25/07 19:34:27 [Note]: 7026 0
04/25/07 19:34:27 [Note]: 7026 0
04/25/07 19:34:27 [Note]: 7024 3
04/25/07 19:34:27 [Info]: Hidden process: C:\windows\system32\ukqpwn.exe
04/25/07 19:34:31 [Note]: FSRAW library version 1.7.1021
04/25/07 19:37:37 [Info]: Hidden file: c:\WINDOWS\system32\ukqpwn.dat
04/25/07 19:37:37 [Note]: 10002 1
04/25/07 19:37:37 [Info]: Hidden file: C:\windows\system32\ukqpwn.exe
04/25/07 19:37:37 [Note]: 10002 1
04/25/07 19:37:38 [Info]: Hidden file: c:\WINDOWS\system32\ukqpwn_nav.dat
04/25/07 19:37:38 [Note]: 10002 1
04/25/07 19:37:38 [Info]: Hidden file: c:\WINDOWS\system32\ukqpwn_navps.dat
04/25/07 19:37:38 [Note]: 10002 1
04/25/07 19:41:57 [Note]: 7006 0
04/25/07 19:41:57 [Note]: 7011 516
04/25/07 19:41:57 [Note]: 7026 0
04/25/07 19:41:57 [Note]: 7026 0
04/25/07 19:41:57 [Note]: 7024 3
04/25/07 19:41:57 [Info]: Hidden process: C:\windows\system32\ukqpwn.exe
04/25/07 19:42:00 [Note]: FSRAW library version 1.7.1021
04/25/07 19:44:52 [Info]: Hidden file: c:\WINDOWS\system32\ukqpwn.dat
04/25/07 19:44:52 [Note]: 10002 1
04/25/07 19:44:52 [Info]: Hidden file: C:\windows\system32\ukqpwn.exe
04/25/07 19:44:52 [Note]: 10002 1
04/25/07 19:44:53 [Info]: Hidden file: c:\WINDOWS\system32\ukqpwn_nav.dat
04/25/07 19:44:53 [Note]: 10002 1
04/25/07 19:44:53 [Info]: Hidden file: c:\WINDOWS\system32\ukqpwn_navps.dat
04/25/07 19:44:53 [Note]: 10002 1
04/25/07 19:48:47 [Note]: 7007 0

AgnesD

C'est une m***e de type Egdaccess.
Voila que faire.

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Quand c'est fait relance la machine refait un BlackLight et un Hijackthis poste les résultats et dis nous si cela continue.

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

voivi les deux résulats effectué après le passage de blacklight

04/26/07 11:49:11 [Info]: BlackLight Engine 1.0.61 initialized
04/26/07 11:49:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/26/07 11:49:11 [Note]: 7019 4
04/26/07 11:49:11 [Note]: 7005 0
04/26/07 11:49:19 [Note]: 7006 0
04/26/07 11:49:19 [Note]: 7011 232
04/26/07 11:49:19 [Note]: 7026 0
04/26/07 11:49:19 [Note]: 7026 0
04/26/07 11:49:19 [Note]: 7024 3
04/26/07 11:49:19 [Info]: Hidden process: C:\windows\system32\ujqamrwzw.exe
04/26/07 11:49:23 [Note]: FSRAW library version 1.7.1021
04/26/07 11:52:21 [Info]: Hidden file: c:\WINDOWS\system32\ujqamrwzw.dat
04/26/07 11:52:21 [Note]: 10002 1
04/26/07 11:52:21 [Info]: Hidden file: C:\windows\system32\ujqamrwzw.exe
04/26/07 11:52:21 [Note]: 10002 1
04/26/07 11:52:22 [Info]: Hidden file: c:\WINDOWS\system32\ujqamrwzw_navps.dat
04/26/07 11:52:22 [Note]: 10002 1
04/26/07 11:53:59 [Note]: 7007 0

Le second résultat avec HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 11:56:51, on 26/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HIJACKTHIS VF\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {29932878-7491-40EF-A016-8DBA5A33E24C} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ukqpwn] c:\windows\system32\ukqpwn.exe ukqpwn
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\DOCUME~1\JEANJA~1\LOCALS~1\Temp\Rar$EX50.547\OFFICE~1\FILES\PFILES\MSOFFICE\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/ ... module.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se8300.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 4493638046
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://config.zebulon.fr/plugins/hardwaredetection.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/js ... Player.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{36E92C7A-FA96-4326-8E3B-F594BDE16F5F}: NameServer = 212.27.32.5,212.27.32.176
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

AgnesD

Il en reste encore, j'ai été un peu vite j'en ai oublié un bout.
Désolée, voici ce que tu va faire.

Dans HJThis cocher fixer ceci

Code:

O2 - BHO: (no name) - {29932878-7491-40EF-A016-8DBA5A33E24C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ukqpwn] c:\windows\system32\ukqpwn.exe ukqpwn
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.1.11/cfweb_activex.camfrogw eb.com-advanced-2.0.1.11_instmodule.exe

Puis tu va aller détruire le fichier en gras.
c:\windows\system32\ukqpwn.exe
Si tu ne le trouve pas tu affichera les fichiers dossiers cachés.

Citer:

Démarrer --> Poste de travail (mes documents ou n'importe quel autre ou autre dossier) --> Outils --> Option des dossiers --> onglet Affichage :
# Cocher --> Afficher les fichiers et dossiers cachés
# Décocher --> Masquer les extensions des fichiers dont le type est connu
# Décocher --> Masquer les fichiers protégés du système d'exploitation
--> Confirmer par OUI
--> Cliquer Appliquer puis OK

Ensuite repasse Le script Bfu et après redémarrage un scan blaklight.

Poste ce rapport sur le prochain post.
et dis nous ce qu'il en est.
:wink:

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

Re bonjour ! j'ai bien suivis tous les conseils mais a mon grand regret j'ai encore des pages de pub qui s'ouvrent intenpestivement soit pour netoyer mon pc soit des propositions d'antivirus ou alors des annonces ou pub pour du X c chiant j'ai meme fait des scan en ligne ou il a été trouvé des malware ou autre enlevé automatiquement ou manuel mais rien a faire.
Si je fait une restauratio sytème cela vat'il enlever ces merdes ?
MERCI DE VOS REPONSES

AgnesD

Une restauration système a une date vraiment antérieure peut être... mais vu l'état du pc je préfèrerai trouver une autre solution car rien n'est sur et c'est un risque...

As tu re passé le script bfu et refait le scan BLakligt ?

Si oui colle moi le rapport blaklight.
les rapports de scans sont les seuls supports que l'on a pour trouver des indices si tu as gardé ceux des autres scans poste les.

On va si tu le permet tenter encore un truc et je vais faire de plus amples recherches.

télécharge fixnavilog.zip (de IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip
enregistre ce fichier sur le bureau.

Extrait la totalité de navilog1.zip sur le bureau

Double clic sur navilog1.bat choisis l'option 1 appuie sur la touche Entrée.

Laisse le scan se dérouler, ne touche pas à la souris ni au clavier.

Le scan fini, un rapport portant le nom fixnavi.txt s'ouvrira poste le contenu de ce rapport.
Si le résultat du scan ne s'affiche pas tu le trouvera dans C:\fixnavi.txt.

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

voici le fichier texte j'ai bien sur remplacé mon nom par des XXXXXX EN CE QUI CONCERNE LES AUTRES RAPPORTS EFFACES

Search Navipromo version 1.1.5 commencé le 27/04/2007 à 23:52:16,06

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Documents and Settings\Jean jacques XXX
XX\Bureau\navilog1
Mise a jour le 13.04.2007 a 20h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\Jean jacques XXXXXX\Application Data ***

*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\slszrnyeo.dat
C:\windows\system32\slszrnyeo.exe
c:\WINDOWS\system32\slszrnyeo_nav.dat
c:\WINDOWS\system32\slszrnyeo_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\slszrnyeo.exe

*** Recherche fichiers ***

C:\WINDOWS\pack.epk trouvé !

*** Recherche cles registre ***

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :
*
C:\WINDOWS\system32\kfittnywi.dat trouvé !
C:\WINDOWS\system32\slszrnyeo.dat trouvé !
**
C:\WINDOWS\system32\kfittnywi.dat trouvé !
C:\WINDOWS\system32\slszrnyeo.dat trouvé !
***
****
C:\WINDOWS\system32\slszrnyeo_navps.dat trouvé !
C:\WINDOWS\system32\ujqamrwzw_navps.dat trouvé !
*****
******
*******
********
C:\WINDOWS\system32\slszrnyeo.exe trouvé !

*** Analyse Terminé le 27/04/2007 à 23:58:00,81 ***

AgnesD

Bon.

Tu vas enregistrer ce qui suit car tu ne poura accéder au forum en mode sans echec

Tu va commencer comme ceci.
Telecharge ATFCleaner parAtribune.
http://www.atribune.org/public-beta/ATF-Cleaner.exe

==> Vider les fichiers temporaires et non nécéssaires

Double-clique ATF-Cleaner.exe Onglet Main, choisis: Select All puis cliquer surEmpty Selected
Si tu utilises Firefox ou/et Opéra Cliquer Firefox ou Opéradans le menu du haut.
Choisis : Select All cliquer Empty Selected
Une fenêtre vous demandera si vous désirez effacer vos mots de passes répondre No à l'invite.
Cliquer Exit lorsque c'est fini.
Manuellement vider le dossier cacheDll.
Il se trouve dans Poste de travail -> disque dur -> WINDOWS ->System32 -> DLLCACHE
Vider la corbeille.

==>Démarre en mode sans échec

==>Fix navilog1
Double cliques sur navilog1.bat
- Appuie sur une touche à chaque fois qu'il te sera demandé de le faire.
- Choisis l'option 2 (Désinfection automatique avec prise en charge des résultats de Blacklight)
- Valide en appuyant sur Entrée

- Le fix va faire son travail cela peut durer un certain temps
- Un rapport sera généré et enregistré sur le bureau
cleanavi.txt

==> Ensuite relance ta machine et refait un scan blacklight

Poste nous ces deux rapports

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

j vais faire ça dès lundi merci pources renseignements la suite la semaine prochaine bon week end ! Jean Jacques

jebri · **Inscrit le:** Lun 15 Mai 2006 - 09:45 **Messages:** 22

Bonjour ou plutôt Re
Hé oui je n'ai pas pu m'empecher de faire les test donc voici le blacklist et je crois qu'il n'iy a plus rien en ce qui concerne

/07 15:20:55 [Info]: BlackLight Engine 1.0.61 initialized
04/28/07 15:20:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/28/07 15:20:55 [Note]: 7019 4
04/28/07 15:20:55 [Note]: 7005 0
04/28/07 15:21:08 [Note]: 7006 0
04/28/07 15:21:08 [Note]: 7011 1940
04/28/07 15:21:08 [Note]: 7026 0
04/28/07 15:21:08 [Note]: 7026 0
04/28/07 15:21:11 [Note]: FSRAW library version 1.7.1021
04/28/07 15:26:26 [Note]: 7007 0

En ce qui concerne le nettoyage, tous les fichiers trouvées la première fois ont été effacés mais je ne trouve plus le dossier lorsque j'ai quitté le mode sans echec
je parle de ces ficuhiers ci dessous, il y avait marqué introuvable ou enlevé mais je sais que s'est propre a mon avis

c:\WINDOWS\system32\slszrnyeo.dat
C:\windows\system32\slszrnyeo.exe
c:\WINDOWS\system32\slszrnyeo_nav.dat
c:\WINDOWS\system32\slszrnyeo_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\slszrnyeo.exe

Par contre il y a eu une sauvegarde sur mon bureau sous le nom de "Backupnavi" dois je vire a la corbeille ?
Merci en attente de réponse ;-)

Forum XP.Net -Sécurité Informatique-

publicite intempstive

Qui est en ligne ?