se debarrasser des pubs style crasy girls

[seghir]

j'ai utilisé ad-aware, cleaner, spybot... sans succes de me débarraser.

utilisé Hijackthis.exe suivant reponse donné à une internaute qui a eu le meme problème.

reste que je dois déposer le rapport d'analyse.

Logfile of HijackThis v1.99.1

Scan saved at 23:28:31, on 18/12/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

F:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\Program Files\ICRAplus\ICRAplus\ICRAplus.exe

C:\Program Files\ICRAplus\ICRAplus\InternetProxy.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\DAP\DAP.EXE

F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

F:\Program Files\Alwil Software\Avast4\ashWebSv.exe

F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

G:\Program Files\MessengerSkinner\MessengerSkinner.exe

C:\WINDOWS\System32\mwsrvacc.exe

C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe

C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\MediaDICO36.EXE

C:\Program Files\Micro Application\36 Dictionnaires et Recueils de Correspondance\Rac36.EXE

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\a\scanner.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - d:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [DownloadAccelerator] "D:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [speedOptimizer] C:\PROGRA~1\SPEEDO~1\SPO.EXE -s

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI

O4 - HKCU\..\Run: [messengerskinner] G:\Program Files\MessengerSkinner\MessengerSkinner.exe

O4 - HKCU\..\Run: [instant Access] C:\WINDOWS\System32\mwsrvacc.exe /run

O4 - HKCU\..\Run: [Free Internet Eraser] C:\Program Files\PrivacyEraser Computing\Free Internet Eraser\InternetEraser.exe /Startup

O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\Regclean.exe" -startminimize

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: &Clean Traces - D:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - D:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG1

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Download &all with DAP - D:\Program Files\DAP\dapextie2.htm

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?3ea8f94523244078867c2aa4e760fa06

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?3ea8f94523244078867c2aa4e760fa06

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4..._1068_em_XP.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1152624775515

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{5FFEC74E-C007-45DC-B022-38DF3A40FAF3}: NameServer = 193.251.169.165 80.246.0.2

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: ICRAplus - OPTENET - C:\Program Files\ICRAplus\ICRAplus\ICRAplus.exe

O23 - Service: Internet Proxy - Unknown owner - C:\Program Files\ICRAplus\ICRAplus\InternetProxy.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

merci pour votre aide

[Thanos]

salut seghir et bienvenue sur le forum

 

Le responsable de tes misères(pubs intempestives), c'est lui : messengerskinner!!Fais bien attention à ce que tu télécharges et consulte Google avant d'installer quoique ce soit! tape Messengerskinner dans Google et tu verras le nombre de discussions à son propos disant qu'il installe un spyware.

 

On va s'en occuper comme ceci >

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

il y a d'autres adwares sur ton pc! stp poste le rapport suivant en plus :

 

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier nommé DiagHelp va apparaitre sur ton bureau.

- Ouvre le et double-clic sur go.cmd

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

 

 

Il n'y a aucune mise à jour sur ton pc!! même pas le SP1 ! Dis toi bien que sans mise à jour, ton pc est une passoire et qu'il est à la merçi de toute attaque en provenance du réseau...

On verra pour la mise à jour à la fin de la désinfection car à ce stade ca risquerait de planter ton pc!

 

Par contre, tu vas stp d'urgence télécharger et installer un parefeu !!si tu fais ce test (rapide) sur Zeb tu verras que ton pc est très vulnérable sans parefeu > http://www.zebulon.fr/outils/scanports/test-securite.php

 

Télécharge Kério et installe le comme indiqué dans ce tutoriel =>

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Refais le test sur Zeb après l'avoir installé et tu comprendras!

 

Poste les deux rapports demandés et installe stp le firewall

Modifié le 18 décembre 2006 par charles ingals

[seghir]

salut seghir et bienvenue sur le forum

 

Le responsable de tes misères(pubs intempestives), c'est lui : messengerskinner!!Fais bien attention à ce que tu télécharges et consulte Google avant d'installer quoique ce soit! tape Messengerskinner dans Google et tu verras le nombre de discussions à son propos disant qu'il installe un spyware.

 

On va s'en occuper comme ceci >

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

il y a d'autres adwares sur ton pc! stp poste le rapport suivant en plus :

 

- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier nommé DiagHelp va apparaitre sur ton bureau.

- Ouvre le et double-clic sur go.cmd

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.

- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

Il n'y a aucune mise à jour sur ton pc!! même pas le SP1 ! Dis toi bien que sans mise à jour, ton pc est une passoire et qu'il est à la merçi de toute attaque en provenance du réseau...

On verra pour la mise à jour à la fin de la désinfection car à ce stade ca risquerait de planter ton pc!

 

Par contre, tu vas stp d'urgence télécharger et installer un parefeu !!si tu fais ce test (rapide) sur Zeb tu verras que ton pc est très vulnérable sans parefeu > http://www.zebulon.fr/outils/scanports/test-securite.php

 

Télécharge Kério et installe le comme indiqué dans ce tutoriel =>

 

Kerio

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Refais le test sur Zeb après l'avoir installé et tu comprendras!

 

Poste les deux rapports demandés et installe stp le firewall

 

bonsoir et merci pour vos conseils.

cependant voici la nouvelle situation:

blacklight telechargé

blbeta.exe telechargé, mais apres double clic, une fenetre mode DOS apparait. accept licence

mais apres 5 mn d'analyse, la fenetre se ferme toute seule sans pouvoir copier les résultats.

diaghelp: telechargé et lance suivant votre démarche.

idem fenetre DOS qui s'ouvre mais se ferm juste apres validation option 1

autrement dit, suis au même stade.

ps: la pub crasy girls apparait mais uniquement le cadre sans les photos ni la video

mais la pub sur la page yahoo laisse apparaitre des femmes nues.

merci pour votre aide.

[seghir]

bonsoir et merci pour vos conseils.

cependant voici la nouvelle situation:

blacklight telechargé

blbeta.exe telechargé, mais apres double clic, une fenetre mode DOS apparait. accept licence

mais apres 5 mn d'analyse, la fenetre se ferme toute seule sans pouvoir copier les résultats.

diaghelp: telechargé et lance suivant votre démarche.

idem fenetre DOS qui s'ouvre mais se ferm juste apres validation option 1

autrement dit, suis au même stade.

ps: la pub crasy girls apparait mais uniquement le cadre sans les photos ni la video

mais la pub sur la page yahoo laisse apparaitre des femmes nues.

merci pour votre aide.

[Thanos]

salut

 

Peux tu faire ceci stp?=>

 

 

Télécharge le fichier look.bat sur ton bureau.(attend la fin du compte à rebours pour pouvoir le télécharger).

 

Double clique sur le fichier look.bat : un rapport(look.txt ) va s'ouvrir: copie/colle son contenu dans ta prochaine réponse stp.

[seghir]

salut

 

Peux tu faire ceci stp?=>

Télécharge le fichier look.bat sur ton bureau.(attend la fin du compte à rebours pour pouvoir le télécharger).

 

Double clique sur le fichier look.bat : un rapport(look.txt ) va s'ouvrir: copie/colle son contenu dans ta prochaine réponse stp.

ok, voici le rapport

merci

 

 

! REG.EXE VERSION 3.0

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe

Path REG_EXPAND_SZ %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM

windir REG_EXPAND_SZ %SystemRoot%

OS REG_SZ Windows_NT

PROCESSOR_ARCHITECTURE REG_SZ x86

PROCESSOR_LEVEL REG_SZ 15

PROCESSOR_IDENTIFIER REG_SZ x86 Family 15 Model 2 Stepping 4, GenuineIntel

PROCESSOR_REVISION REG_SZ 0204

NUMBER_OF_PROCESSORS REG_SZ 1

PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

TEMP REG_EXPAND_SZ %SystemRoot%\TEMP

TMP REG_EXPAND_SZ %SystemRoot%\TEMP

FP_NO_HOST_CHECK REG_SZ NO

[seghir]

ok, voici le rapport

merci

! REG.EXE VERSION 3.0

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

ComSpec REG_EXPAND_SZ %SystemRoot%\system32\cmd.exe

Path REG_EXPAND_SZ %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM

windir REG_EXPAND_SZ %SystemRoot%

OS REG_SZ Windows_NT

PROCESSOR_ARCHITECTURE REG_SZ x86

PROCESSOR_LEVEL REG_SZ 15

PROCESSOR_IDENTIFIER REG_SZ x86 Family 15 Model 2 Stepping 4, GenuineIntel

PROCESSOR_REVISION REG_SZ 0204

NUMBER_OF_PROCESSORS REG_SZ 1

PATHEXT REG_SZ .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

TEMP REG_EXPAND_SZ %SystemRoot%\TEMP

TMP REG_EXPAND_SZ %SystemRoot%\TEMP

FP_NO_HOST_CHECK REG_SZ NO

 

ps: j'ai fais la mise à jour avec le pack2 xp professionel.

[Thanos]

salut

 

ps: j'ai fais la mise à jour avec le pack2 xp professionel.

J'espère que ca n'a pas créé de problème!! comme je te le disait, il est arrivé que ca plante sur un pc infecté!!

 

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier "se debarrasser des pubs style crasy girls.htm" (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

 

-Télécharge puis installe AVG Anti-Spyware (AVG AS)

Une fois AVG AS lancé, clique sur "Mise à jour"

Ferme le programme.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge Brute Force Uninstaller (de Merijn).

• Crée un nouveau dossier directement sur le C:\ et nomme-le BFU.
  
• Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
  
• Si tu ne sait pas comment dézipper, consulte la page suivante(rubrique "sous XP") :
  <a href="http://thierry.hahn.free.fr/extraire.htm" target="_blank">http://thierry.hahn.free.fr/extraire.htm</a>
  
• Lance le programme Brute Force Uninstaller en double cliquant sur BFU.exe
  
• A côté de la case "scriptfile to execute" tu verras une petite icône qui ressemble à ceci =>
  
• Lorsque tu cliques sur cette icône, une fenêtre apparait avec ceci : "Please enter the full URL to the script you want to execute"
   
  
• Dans le champs, copie/colle l'URL suivante,puis clique sur "OK" : <a href="http://metallica.geekstogo.com/EGDACCESS.bfu" target="_blank">http://metallica.geekstogo.com/EGDACCESS.bfu</a>
  Note: lorsque le Brute Force Uninstaller tentera de télécharger le fichier EGDACCESS.bfu , le parefeu t'enverra certainement une alerte! accepte le téléchargement.
   
  
• Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).
  
• Voici l'exacte représentation du dossier créé:
  
• Quitte le prgoramme.
  

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

• Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
  
• Clique sur la case "Show log after script end"
  
• Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
  EGDACCESS.bfu
  
• Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
  
• Clique sur Execute et laisse-le faire son travail.
  
• Attendre que Complete script execution apparaîsse et clique sur OK.
  
• Clique sur le bouton "save" et enregistre le rapport sur ton bureau , donne lui le nom edg.txt
  
• Clique Exit pour fermer le programme BFU.
  

Étape 3:

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

 

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

 

O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - d:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL >attention EoRezo est aussi un pourvoyeur de pubs!! si tu ne l'utilises pas tu peux cocher

 

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

 

O4 - HKLM\..\Run: [DownloadAccelerator] "D:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

 

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI >Winsos est un faux antispywre! je te conseille de le désinstaller!ses détections ne sont pas fiables...des infos ici >http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

O4 - HKCU\..\Run: [messengerskinner] G:\Program Files\MessengerSkinner\MessengerSkinner.exe

O4 - HKCU\..\Run: [instant Access] C:\WINDOWS\System32\mwsrvacc.exe /run

O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\Regclean.exe" -startminimize

 

O4 - Startup: PowerReg Scheduler V3.exe > PowerReg Scheduler se connecte périodiquement à internet, recueille des informations sur le pc et les envoie sans que l'utilisateur ne le sache: on ne sait pas quelles infos sont récupérées!!

 

O4 - Global Startup: DSLMON.lnk = ?

 

O8 - Extra context menu item: &Clean Traces - D:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - D:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG1

 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Note : certaines des lignes que je te fais cocher ont peut être disparu après passage du BFU , ne t'étonne pas!

 

*Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivant:

 

eoRezo => un des responsables des pubs que tu reçois!si tu n'utilise pas désinstalle le!

MyWebSearch

WINSOS

DAP =>la version gratuite intègre un adware.

SweetIM

 

Étape 4:

 

*Supprime les dossiers (en gras ci dessous) dans \Program Files:

 

D:\Program Files\DAP

D:\Program Files\eoRezo

G:\Program Files\MessengerSkinner > il doit avoir disparu

 

C:\Program Files\MyWebSearch

C:\Program Files\WINSOS

 

Étape 5:

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Pour Firefox(si tu l'utilises)
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

• Ouvre Firefox et clique sur Outils=> Options
  
• Clique sur l'onglet Vie Privée
  
• clique sur le bouton Vider le cache dans l'onglet "Historique"
  
• clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  
• clique sur le bouton Vider le cache dans l'onglet "Cache"
  
• clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.
  

Étape 6:

 

Relance AVG AS puis choisis l'onglet "Analyse"

Puis l'onglet "Paramètres

Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"

Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

 

/!\ Si un fichier infecté est détécté en fin d'analyse /!\

Clique sur "Appliquer toutes les actions "

 

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"

Enregistre ce fichier texte sur ton bureau.

 

Étape 7:

 

Redémarre normalement et poste les rapport suivants stp =>

 

-un nouveau rapport hijackthis

-le rapport d'AVG AS

-Essai de relancer Blacklight et Diaghelp comme demandé plus haut: si ca ne marche toujours pas, poste ces rapports >

 

Ouvre HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.

 

-Télécharge silentrunners sur le bureau:

 

Dézippe le fichier dans un dossier .

Double clique sur le fichier "silentrunners.vbs" :une fenêtre va s'ouvrir ,clique sur "oui" . Poste le rapport qui a été généré.

 

Note: fais bien gaffe à tous ces addons pour msn messenger : ils intègrent très souvent une petite surprise(adware!).Je sais que c'est chiant, mais avant d'installer un programme de ce type, commence par lire la section" Privacy" de l'installeur(quand c'est possible car c'est souvent en anglais!) , on peux avoir des surprises quant aux informations qui sont collectées dans notre dos...Prend aussi le temps de faire une petite recherche sur le net avant d'installer un programme: une simple recherche avec Google sur le terme Messengerskinner aurait pû te dissuader de l'installer!! Tiens je te renvoie à une liste établie par angélique qui traite des applications à ne surtout pas installer > http://forum.zebulon.fr/index.php?showtopic=102647

Si tu veux un gestionnaire de téléchargement clean et performant, essaie plutôt celui ci > Free Download Manager: http://www.freedownloadmanager.org/download.htm et un test rapide ici > http://www.astucesinternet.com/modules/new....php?storyid=94

 

Petite question: ton FAI est bien localisé en Algérie?

 

@+

Modifié le 21 décembre 2006 par charles ingals

[seghir]

salut

J'espère que ca n'a pas créé de problème!! comme je te le disait, il est arrivé que ca plante sur un pc infecté!!

 

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier "se debarrasser des pubs style crasy girls.htm" (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier va se créer sur le bureau en plus du fichier : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

-Télécharge puis installe AVG Anti-Spyware (AVG AS)

Une fois AVG AS lancé, clique sur "Mise à jour"

Ferme le programme.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge Brute Force Uninstaller (de Merijn).

• Crée un nouveau dossier directement sur le C:\ et nomme-le BFU.
  
• Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
  
• Si tu ne sait pas comment dézipper, consulte la page suivante(rubrique "sous XP") :
  <a href="http://thierry.hahn.free.fr/extraire.htm" target="_blank">http://thierry.hahn.free.fr/extraire.htm</a>
  
• Lance le programme Brute Force Uninstaller en double cliquant sur BFU.exe
  
• A côté de la case "scriptfile to execute" tu verras une petite icône qui ressemble à ceci =>
  
• Lorsque tu cliques sur cette icône, une fenêtre apparait avec ceci : "Please enter the full URL to the script you want to execute"
   
  
• Dans le champs, copie/colle l'URL suivante,puis clique sur "OK" : <a href="http://metallica.geekstogo.com/EGDACCESS.bfu" target="_blank">http://metallica.geekstogo.com/EGDACCESS.bfu</a>
  Note: lorsque le Brute Force Uninstaller tentera de télécharger le fichier EGDACCESS.bfu , le parefeu t'enverra certainement une alerte! accepte le téléchargement.
   
  
• Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).
  
• Voici l'exacte représentation du dossier créé:
  
• Quitte le prgoramme.
  

Étape 1:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 2:

• Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
  
• Clique sur la case "Show log after script end"
  
• Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :
  EGDACCESS.bfu
  
• Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
  
• Clique sur Execute et laisse-le faire son travail.
  
• Attendre que Complete script execution apparaîsse et clique sur OK.
  
• Clique sur le bouton "save" et enregistre le rapport sur ton bureau , donne lui le nom edg.txt
  
• Clique Exit pour fermer le programme BFU.
  

Étape 3:

 

* Démarre Hijackthis et clique sur la case "Do a system scan only",puis coche les lignes suivantes :

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

 

O2 - BHO: SWEETIE Class - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

 

O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - d:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL >attention EoRezo est aussi un pourvoyeur de pubs!! si tu ne l'utilises pas tu peux cocher

 

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

 

O4 - HKLM\..\Run: [DownloadAccelerator] "D:\Program Files\DAP\DAP.EXE" /STARTUP

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

 

O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI >Winsos est un faux antispywre! je te conseille de le désinstaller!ses détections ne sont pas fiables...des infos ici >http://www.spywarewarrior.com/rogue_anti-spyware.htm

 

O4 - HKCU\..\Run: [messengerskinner] G:\Program Files\MessengerSkinner\MessengerSkinner.exe

O4 - HKCU\..\Run: [instant Access] C:\WINDOWS\System32\mwsrvacc.exe /run

O4 - HKCU\..\Run: [Registry Cleaner] "C:\Program Files\Registry Cleaner Trial\Regclean.exe" -startminimize

 

O4 - Startup: PowerReg Scheduler V3.exe > PowerReg Scheduler se connecte périodiquement à internet, recueille des informations sur le pc et les envoie sans que l'utilisateur ne le sache: on ne sait pas quelles infos sont récupérées!!

 

O4 - Global Startup: DSLMON.lnk = ?

 

O8 - Extra context menu item: &Clean Traces - D:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - D:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: &Search - http://speedbar.myway.com/menusearch.html?p=MG1

 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

-Ferme tous les programmes et clique sur "Fix Checked"

 

Note : certaines des lignes que je te fais cocher ont peut être disparu après passage du BFU , ne t'étonne pas!

 

*Passe par "Ajouter ou Supprimer des Programmes"(Panneau de Configuration) et désinstalle les programmes suivant:

 

eoRezo => un des responsables des pubs que tu reçois!si tu n'utilise pas désinstalle le!

MyWebSearch

WINSOS

DAP =>la version gratuite intègre un adware.

SweetIM

 

Étape 4:

 

*Supprime les dossiers (en gras ci dessous) dans \Program Files:

 

D:\Program Files\DAP

D:\Program Files\eoRezo

G:\Program Files\MessengerSkinner > il doit avoir disparu

 

C:\Program Files\MyWebSearch

C:\Program Files\WINSOS

 

Étape 5:

 

Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Double-clique sur ATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Pour Firefox(si tu l'utilises)
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

* Si l'onglet "Firefox" est grisé dans ATF,nettoie le cache et les cookies dans Firefox comme ceci :

• Ouvre Firefox et clique sur Outils=> Options
  
• Clique sur l'onglet Vie Privée
  
• clique sur le bouton Vider le cache dans l'onglet "Historique"
  
• clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  
• clique sur le bouton Vider le cache dans l'onglet "Cache"
  
• clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.
  

Étape 6:

 

Relance AVG AS puis choisis l'onglet "Analyse"

Puis l'onglet "Paramètres

Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"

Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

 

/!\ Si un fichier infecté est détécté en fin d'analyse /!\

Clique sur "Appliquer toutes les actions "

 

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"

Enregistre ce fichier texte sur ton bureau.

 

Étape 7:

 

Redémarre normalement et poste les rapport suivants stp =>

 

-un nouveau rapport hijackthis

-le rapport d'AVG AS

-Essai de relancer Blacklight et Diaghelp comme demandé plus haut: si ca ne marche toujours pas, poste ces rapports >

 

Ouvre HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.

 

-Télécharge silentrunners sur le bureau:

 

Dézippe le fichier dans un dossier .

Double clique sur le fichier "silentrunners.vbs" :une fenêtre va s'ouvrir ,clique sur "oui" . Poste le rapport qui a été généré.

 

Note: fais bien gaffe à tous ces addons pour msn messenger : ils intègrent très souvent une petite surprise(adware!).Je sais que c'est chiant, mais avant d'installer un programme de ce type, commence par lire la section" Privacy" de l'installeur(quand c'est possible car c'est souvent en anglais!) , on peux avoir des surprises quant aux informations qui sont collectées dans notre dos...Prend aussi le temps de faire une petite recherche sur le net avant d'installer un programme: une simple recherche avec Google sur le terme Messengerskinner aurait pû te dissuader de l'installer!! Tiens je te renvoie à une liste établie par angélique qui traite des applications à ne surtout pas installer > http://forum.zebulon.fr/index.php?showtopic=102647

Si tu veux un gestionnaire de téléchargement clean et performant, essaie plutôt celui ci > Free Download Manager: http://www.freedownloadmanager.org/download.htm et un test rapide ici > http://www.astucesinternet.com/modules/new....php?storyid=94

 

Petite question: ton FAI est bien localisé en Algérie?

 

@+

 

bonsoir, je te remerice vivement pour tous ces renseignements que je mettrais en application à partir de demain.

bien que tout cela est à priori compliqué.

en plus à cela, j'ai décoché internet explorer dans ajout de progrmmes de windows et j'utilise mozila firefox pour naviguer. les pages pub n'apparaissent plus.

enfin, je compte formater mon disque dur de manière à faire un menage parfait et n'installer que les logiciels et les applications fiables.

l'installation de pack 2 n'a rencontré aucun probleme, l'installation est ok

oui, je réside en algérie.

au plaisir de te lire.

seghir

[Thanos]

salut

 

enfin, je compte formater mon disque dur de manière à faire un menage parfait et n'installer que les logiciels et les applications fiables.

dans ce cas là ne te casse pas la tête à suivre la procédure!! un formatage nettoiera le tout , par contre je te laisserai quelques conseils de sécu et une liste d'utilitaires pour sécuriser ton pc.

 

@+