encore un rapport ... àvotre bon coeur msieurdame!

[ephrat !]

comme j'ai pu le lire, heureusement qu'il y a des gars sympas et compétent (les deux ensembles, c'est rare) pour aider !

 

mon problème : fenetres qui s'ouvrent pendant la navigation (sous IE) qui se nomment en général, epass key ou em-gad ... bref des pub de site x

 

J'AI LU LES CONSEILS AVANT DE POSTER : j'ai donc lancé avast, spybot, adaware

 

voici le rapport HIJACKTHIS

 

Logfile of HijackThis v1.99.1

Scan saved at 15:24:09, on 31/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\AGRSMMSG.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGACCESS4_1064.dll,InstantAccess

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121946592031

O16 - DPF: {AF23B3EC-8C2C-4425-93AE-587CE18955DD} (PrimarySession Class) - http://www.servision.net/SVClientSDK/SVClientSDK.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

 

 

ANALYSE PERSONNELLE :

je pense que les trucs louches sont

O4 - HKCU\..\Run: [instant Access] rundll32.exe EGACCESS4_1064.dll,InstantAccess

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {0878F049-D33E-45E0-A157-C36A6683CF25} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1063_XP.cab

O16 - DPF: {AF23B3EC-8C2C-4425-93AE-587CE18955DD} (PrimarySession Class) - http://www.servision.net/SVClientSDK/SVClientSDK.CAB

 

ah je vais te me les supprimer... bon je me calme et j'attends sagement votre réponse

 

MERCI A TOUS CEUX QUI VOUDRONT BIEN M AIDER !!!

[ephrat !]

j'ai oublié de joindre le rapport EWIDO

 

---------------------------------------------------------

ewido anti-spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 17:05:15 31/07/2006

 

+ Scan result:

 

 

 

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP102\A0027494.dll -> Dialer.EgroupDial.x : No action taken.

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP103\A0027502.dll -> Dialer.EgroupDial.x : No action taken.

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP103\A0027508.dll -> Dialer.EgroupDial.x : No action taken.

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP126\A0027734.dll -> Dialer.EgroupDial.x : No action taken.

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP126\A0027742.dll -> Dialer.EgroupDial.x : No action taken.

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP126\A0027921.dll -> Dialer.EgroupDial.x : No action taken.

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP128\A0031448.dll -> Dialer.EgroupDial.x : No action taken.

C:\System Volume Information\_restore{E7EE00E9-F3C3-47F2-A86E-5071B6C3C10A}\RP129\A0031533.dll -> Dialer.EgroupDial.x : No action taken.

C:\WINDOWS\system32\egaccess4_1063.dll -> Dialer.EgroupDial.x : No action taken.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Instant Access -> Dialer.Generic : No action taken.

C:\Documents and Settings\portable\Cookies\portable@com[1].txt -> TrackingCookie.Com : No action taken.

::Report end

 

 

et le rapport BLACKLIGHT

 

07/31/06 16:35:36 [info]: BlackLight Engine 1.0.42 initialized

07/31/06 16:35:36 [info]: OS: 5.1 build 2600 (Service Pack 2)

07/31/06 16:35:36 [Note]: 7019 4

07/31/06 16:35:36 [Note]: 7005 0

07/31/06 16:35:41 [Note]: 7006 0

07/31/06 16:35:41 [Note]: 7011 1272

07/31/06 16:35:41 [Note]: 7026 0

07/31/06 16:35:41 [Note]: 7026 0

07/31/06 16:35:41 [Note]: 7024 3

07/31/06 16:35:41 [info]: Hidden process: C:\windows\system32\jwqzlmaosp.exe

07/31/06 16:35:41 [Note]: FSRAW library version 1.7.1019

07/31/06 16:41:06 [info]: Hidden file: c:\WINDOWS\Prefetch\JWQZLMAOSP.EXE-0835F5FE.pf

07/31/06 16:41:06 [Note]: 10002 1

07/31/06 16:41:49 [info]: Hidden file: c:\WINDOWS\system32\jwqzlmaosp_nav.dat

07/31/06 16:41:49 [Note]: 10002 1

07/31/06 16:41:49 [info]: Hidden file: c:\WINDOWS\system32\jwqzlmaosp.dat

07/31/06 16:41:49 [Note]: 10002 1

07/31/06 16:41:49 [info]: Hidden file: C:\windows\system32\jwqzlmaosp.exe

07/31/06 16:41:49 [Note]: 10002 1

07/31/06 16:41:50 [info]: Hidden file: c:\WINDOWS\system32\jwqzlmaosp_navps.dat

07/31/06 16:41:50 [Note]: 10002 1

07/31/06 16:42:30 [Note]: 4015 5

07/31/06 16:42:30 [Note]: 4027 5 0

07/31/06 17:07:09 [Note]: 7007 0

 

voila !

[narco4]

bonjour,

 

 

1/ Fais un clic droit de souris sur ce lien http://perso.numericable.fr/~altshift/Info/Fichiers/IA.bat / "enregistrer sous"

Mets le fichier sur le bureau, double-clique dessus.

Ne tiens pas compte de ce qui sera écrit dans la fenetre noire

un rapport va s'ouvrir au bout de quelques instants, dans un fichier texte : poste-le.

[ephrat !]

bonjour et merci narco4 !

 

voici le rapport

 

*** Répertoires ***

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

 

R‚pertoire de C:\Program Files\Fichiers communs

 

30/07/2006 22:45 <REP> .

30/07/2006 22:45 <REP> ..

30/07/2006 23:14 <REP> Acronis

01/08/2005 15:04 <REP> Adobe

19/07/2006 10:16 <REP> AOL

08/06/2005 14:16 <REP> DESIGNER

30/05/2005 19:59 <REP> InstallShield

30/05/2005 19:59 <REP> Java

10/07/2005 00:03 <REP> Microsoft Shared

30/05/2005 19:59 <REP> MSSoap

30/05/2005 19:59 <REP> ODBC

14/05/2006 21:16 <REP> Sage

30/05/2005 19:59 <REP> Services

03/07/2005 22:15 <REP> Softwin

30/05/2005 19:59 <REP> Sonic

30/05/2005 19:59 <REP> SpeechEngines

05/07/2005 12:31 <REP> SureThing Shared

28/07/2006 19:53 <REP> Symantec Shared

16/04/2006 23:05 <REP> System

0 fichier(s) 0 octets

19 R‚p(s) 11ÿ660ÿ603ÿ392 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

 

R‚pertoire de C:\Program Files

 

31/07/2006 16:11 <REP> .

31/07/2006 16:11 <REP> ..

01/08/2005 15:08 <REP> Adobe

30/10/2005 02:18 <REP> AgentWebRanking PRO

27/10/2005 20:48 <REP> AIM

05/07/2005 12:24 <REP> Altiris

28/07/2006 19:24 <REP> Alwil Software

30/05/2005 19:59 <REP> Analog Devices

31/07/2006 15:18 <REP> bfu

15/06/2005 15:19 <REP> Broadcom

30/05/2005 19:59 <REP> ComPlus Applications

28/07/2006 11:22 <REP> Disney Interactive

30/05/2005 19:59 <REP> Easy Internet signup

08/11/2005 23:24 <REP> EPSON

31/07/2006 16:35 <REP> ewido anti-spyware 4.0

30/07/2006 22:45 <REP> Fichiers communs

18/01/2006 23:49 <REP> FileZilla

14/05/2006 21:13 <REP> GecoMaes

27/07/2006 23:00 <REP> Google

31/07/2006 15:24 <REP> Hijackthis Version Fran‡aise

30/05/2005 19:59 <REP> HP Accessories Product Tour

05/07/2005 13:12 <REP> HPQ

14/05/2006 21:15 <REP> ImmoMaes

30/05/2005 19:59 <REP> Intel

15/06/2006 19:26 <REP> Internet Explorer

23/07/2006 10:32 <REP> InternetGameBox

05/07/2005 13:19 <REP> InterVideo

05/07/2005 12:33 <REP> Java

24/07/2006 22:48 <REP> Kit ADSL

28/07/2006 19:54 <REP> Lavasoft

14/05/2006 21:12 <REP> Maestria

31/07/2005 21:27 <REP> Messenger

30/07/2006 23:16 <REP> Micro Application

30/05/2005 19:59 <REP> microsoft frontpage

08/06/2005 14:16 <REP> Microsoft Office

08/06/2005 14:15 <REP> Microsoft.NET

30/05/2005 19:59 <REP> Movie Maker

07/07/2005 17:14 <REP> MSN

30/05/2005 19:59 <REP> MSN Gaming Zone

20/12/2005 13:23 <REP> MSP

30/05/2005 19:59 <REP> NetMeeting

27/11/2005 23:26 <REP> Norton AntiVirus

30/05/2005 19:59 <REP> Online Services

16/04/2006 23:05 <REP> Outlook Express

10/07/2006 22:57 <REP> PMSSAARI

25/07/2006 16:21 <REP> PrivacyEraser Computing

30/05/2005 12:08 <REP> Raccourcis de programmes

30/05/2005 19:59 <REP> Services en ligne

03/07/2005 22:15 <REP> Softwin

30/05/2005 19:59 <REP> Sonic

31/07/2006 11:07 <REP> Spybot - Search & Destroy

27/11/2005 23:30 <REP> Symantec

28/07/2006 19:22 <REP> Symantec AntiVirus

30/05/2005 19:59 <REP> Synaptics

26/07/2005 15:13 <REP> Trend Micro

31/07/2006 09:48 <REP> Unlocker

30/05/2005 18:08 <REP> USB Driver-Express

27/10/2005 20:48 <REP> Viewpoint

05/07/2005 12:34 <REP> Windows Media Connect

28/07/2006 11:22 <REP> Windows Media Player

30/05/2005 19:59 <REP> Windows NT

05/11/2005 21:36 <REP> WinRAR

30/05/2005 19:59 <REP> xerox

01/08/2005 15:07 <REP> Yahoo!

0 fichier(s) 0 octets

64 R‚p(s) 11ÿ660ÿ591ÿ104 octets libres

 

*** Fichiers ***

 

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

 

R‚pertoire de C:\WINDOWS\system32

 

27/07/2006 15:10 78ÿ848 EGACCESS.dll

08/06/2006 11:25 74ÿ240 egaccess4_1063.dll

27/07/2006 15:10 78ÿ848 egaccess4_1064.dll

3 fichier(s) 231ÿ936 octets

 

Total des fichiers list‚sÿ:

3 fichier(s) 231ÿ936 octets

0 R‚p(s) 11ÿ660ÿ591ÿ104 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

Le volume dans le lecteur C n'a pas de nom.

Le num‚ro de s‚rie du volume est 638C-8B64

 

*** Registre ***

 

 

HKEY_CURRENT_USER\Software\epk_extr

 

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

C:\WINDOWS\system32\egaccess4_1063.dll REG_DWORD 0x1

C:\WINDOWS\system32\egaccess4_1064.dll REG_DWORD 0x1

 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1063.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1064.dll

 

Magic Control

 

 

*** Terminé ***

 

les fichier EGACCESS xxx. dll semblent y être pour qqchose, n'est-ce pas ?

 

encore merci !!!!!!!!

[ephrat !]

est-ce qu'un petit coup de BRUTE FORCE UNINSTALLER à la sauce EGDACCESS.bfu résoudrait mon pb ?

(je propose ce diagnostic pour voir si j'ai compris qq chose après de NOMBREUSES HEURES passer à lire les post ... c'est juste pour mon amour propre en attendant d'avoir la réponse d'un EXPERT !!!!)

[narco4]

Note comment démarrer en mode sans échec (choisis ta version de windows, si tu le peux, utilise préférentiellement la touche F8 ) : http://service1.symantec.com/SUPPORT/INTER...020905112131924

Tu vas t'en servir de l'étape 3 à l'étape 10 sans accès à internet.

 

1/ Télécharge :

 

- CCleaner http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires.

Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

 

- Brute Force Uninstaller http://www.merijn.org/files/bfu.zip

Décompresse-le dans un dossier propre à lui (C:\BFU)

FAIS UN CLIC-DROIT sur ce lien : http://metallica.geekstogo.com/EGDACCESS.bfu

et choisi "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")

afin de télécharger EGDACCESS Remover (de Metallica), Type "Tous les fichiers". Sauvegarde dans le dossier créé (c:\BFU)

 

- PocketKillBox http://www.bleepingcomputer.com/files/spyware/KillBox.zip

Dézippes-le sur ton bureau.

 

 

2/ Crée un nouveau document texte : clic droit de souris sur le bureau, "nouveau"> "document texte". Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

 

REGEDIT4

 

[-HKEY_CURRENT_USER\Software\epk_extr]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

"C:\WINDOWS\system32\egaccess4_1063.dll"=-

"C:\WINDOWS\system32\egaccess4_1064.dll"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1063.dll]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1064.dll]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\jwqzlmaosp]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\jwqzlmaosp]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"jwqzlmaosp"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"jwqzlmaosp"=-

 

 

 

Dans le menu "fichier" de ce document texte, sélectionner "enregistrer sous" :

dans : sur le bureau

Nom du fichier : fix0.reg

Type de fichier : "tous les fichiers"

clique sur "enregistrer"

L'icône de fix0.reg doit ressembler à cela

 

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte admin ou autre)*****

 

 

3/ Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci :

c:\bfu\EGDACCESS.bfu

Clique sur "Execute" et laisse-le faire son travail.

Attendre que "Complete script execution" apparaîsse et clique sur OK. Clique sur Exit pour fermer le programme BFU.

Recommence encore une fois.

 

4/ Démarrer/panneau de configuration/options internet

- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :

electronic-group

egroup

Montorgueil

VIP

"Sunny Day Design Ltd"

=> Supprime-les tous

 

 

 

5/ Vide la corbeille.

 

6/ double clique sur fix0.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"

Si c'est bien le cas, clique sur "oui"

 

7/ Lance CCleaner, "Nettoyeur"/"lancer le nettoyage" et c'est tout.

 

8/ Double-clique sur le fichier Killbox.exe, et coche la case "Delete on reboot".

 

copie d'un trait les lignes en gras suivante :

 

 

C:\windows\system32\jwqzlmaosp.exe

c:\WINDOWS\Prefetch\JWQZLMAOSP.EXE-0835F5FE.pf

c:\WINDOWS\system32\jwqzlmaosp_nav.dat

c:\WINDOWS\system32\jwqzlmaosp.dat

c:\WINDOWS\system32\jwqzlmaosp_navps.dat

 

=> clic droit / "copier"

 

Sur PocketKillBox --> menu "File" --> "Paste from Clipboard" (tu ne verras rien se passer). Tu peux vérifier dans le menu déroulant que tous les fichiers sont bien présents.

- clique sur le bouton "all files"

- clique ensuite sur la croix rouge

 

Au deux messages qui vont s'afficher,tu réponds par "YES"

L'ordinateur doit redémarrer, sinon, fais le toi-même, quoiqu'il arrive.

 

9)relance hijackthis pour un scan seulement(do you scan only)

puis coche cette ligne

 

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

 

ferme toutes les fenétres appart hijackthis

puis clique sur fix cheked(fixer objet

 

10/ Supprime le dossier C:\!Killbox et poste :

- un nouveau rapport HijackThis, toutes fenêtres et applications fermées.

- un nouveau rapport blbeta.

 

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

[ephrat !]

MERCI BCP !!! LES POP UP sont MORTS !!!!!!!!!!!!!!!!!!!!!!!!

 

le rapport de f-secure est bon (0 process douteux)

 

celui de hijack

Logfile of HijackThis v1.99.1

Scan saved at 20:50:39, on 31/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\AGRSMMSG.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\collel\Bureau\blbeta.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121946592031

O16 - DPF: {AF23B3EC-8C2C-4425-93AE-587CE18955DD} (PrimarySession Class) - http://www.servision.net/SVClientSDK/SVClientSDK.CAB

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

 

encore MERCI !

[ephrat !]

puisque tu me l'as demandé (et si ça peut aider d'autres) voici mon commentaire :

La procédure est EXTREMEMENT BIEN détaillée

cependant, pour des novices, il ya des embuches :

- la ligne vide avant le [REGEDIT4] est-elle nécessaire ou pas dans le copier-coller ?

- lorsqu'on fait un copier-coller (un paste from clipboard) dans KILLBOX, seuls les DEUX premiers fichiers sont visibles dans le menu déroulant (mais les autres sont quand même prix en compte)

 

Bon ce sont deux petits détails !

 

En tout cas, je te remercie vraiment pour ton efficacité ET ta rapidité de réponse (et ca n'est pas juste par politesse que je te remercie !)

 

bonne continuation !

[narco4]

Bonsoir,

 

attend ne part pas lol.....

 

il reste des choses a voir

 

et il va falloire que je te donne des consignes de sécurité ensuite

 

fait cela stp

 

Fais un scan en ligne avec Kaspersky WebScanner

http://webscanner.kaspersky.fr/

Clique sur "j'acceptes" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.

On va te demander de télécharger un contôle active x, accepte .

Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".

Le scan va commencer.Enregistres et postes le rapport stp.

 

**************

[ephrat !]

bonjour NARCO4

 

Le pc portable qui avait un pb était celui de mon voisin. Je lui ai rendu et ... il est parti en vacances jusqu'à fin août ! Pourrais-je te recontacter à ce moment là pour continuer à effectuer les tests ? (il semble cepandant ne plus y avoir de problème)

 

pour ma gouverne personelle, aurais-tu vu dans un des rapports postés un risque d'une AUTRE infection ?

par ailleurs dans la procédure que tu ma fais suivre, comment est-ce killbox arrive-i-il à trouver des fichiers que je ne VOIS pas moi même dans le répertoire c:\windows\system32 (même en faisant afficher les fichiers cachés, même en me mettant en ligne de commande avec un dir,) ? à moins que le spyware les cache lui-même quand il se charge en mémoire ?!

 

merci encore et bonne journée