pb affichage de pubs intempestives

[jambonpurée]

Après avoir scanner le pc avec avg as,ewido,ccleaner,ad aware.

J'ai toujours ces pubs qui s'affichent pendant le surf:souvent pour des antispy,ou doctor....

Donnez moi votre avis svp.

Voici le rapport de hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 21:33:54, on 29/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jin...ows-i586-jc.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

Merci d'avance.

Modifié le 30 janvier 2007 par jambonpurée

[Mykerinos]

Salut ...

 

Télécharge Blacklight (de F-Secure).

• Clique sur "I accept" au bas de la page. Sauvegarde le sur ton Bureau.
  
• Double-clique sur blbeta.exe et accepte la licence.
  
• Clique "Scan" puis "Next".
  
• Tu verras une liste de fichiers détectés apparaître ainsi qu'un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie/colle le contenu de ce rapport dans ta prochaine réponse.
  

Attention : Ne pas choisir l'option "Rename" tout de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ...

[jambonpurée]

J'ai oublié de préciser mais j'ai aussi scanné avec antivir(configuré comme indiqué dans un autre post).

Voila le rapport Blacklight:

01/30/07 14:32:49 [info]: BlackLight Engine 1.0.55 initialized

01/30/07 14:32:49 [info]: OS: 5.1 build 2600 (Service Pack 2)

01/30/07 14:32:49 [Note]: 7019 4

01/30/07 14:32:49 [Note]: 7005 0

01/30/07 14:34:21 [Note]: 7006 0

01/30/07 14:34:21 [Note]: 7011 1464

01/30/07 14:34:21 [Note]: 7026 0

01/30/07 14:34:21 [Note]: 7026 0

01/30/07 14:34:21 [Note]: 7024 3

01/30/07 14:34:21 [info]: Hidden process: C:\windows\system32\vyzcglqwu.exe

01/30/07 14:34:28 [Note]: FSRAW library version 1.7.1021

01/30/07 14:37:05 [info]: Hidden file: c:\WINDOWS\system32\vyzcglqwu.dat

01/30/07 14:37:05 [Note]: 10002 1

01/30/07 14:37:05 [info]: Hidden file: C:\windows\system32\vyzcglqwu.exe

01/30/07 14:37:05 [Note]: 10002 1

01/30/07 14:37:05 [info]: Hidden file: c:\WINDOWS\system32\vyzcglqwu_nav.dat

01/30/07 14:37:05 [Note]: 10002 1

01/30/07 14:37:05 [info]: Hidden file: c:\WINDOWS\system32\vyzcglqwu_navps.dat

01/30/07 14:37:05 [Note]: 10002 1

01/30/07 14:37:34 [Note]: 2000 1012

01/30/07 14:37:34 [Note]: 2000 1012

01/30/07 14:37:34 [Note]: 2000 1012

01/30/07 14:40:25 [Note]: 7007 0

 

J'attends vos avis.Merci d'avance.

[Mykerinos]

Télécharge Brute Force Uninstaller (de Merjin).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

Télécharge Navipromo.zip et décompresse-le sur ton bureau.

 

Fais un clic-droit ICI et choisis "Enregistrer la cible du lien sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde-le dans le dossier créé (C:\BFU).

Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Note : Si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champ "Type :" affiche "Tous les fichiers".

 

Aide : Comment installer et utiliser BFU ?

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur.
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  
• Choisis ton compte.
  
• Une autre manière en images.
  

 

Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo.

Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.

Sélectionne ensuite l'option "Recherche et suppression automatique" en tapant sur la touche R.

S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

 

Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur EGDACCESS.bfu

 

Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attends que Complete script execution apparaisse pour cliquer sur OK.

Clique Exit pour fermer le programme BFU.

 

Redémarre normalement.

 

Poste les rapports :

• C:\egd.txt
  
• C:\Navipromo.txt
  

[jambonpurée]

avant de faire cette étape,faut il garder les modifs précédentes dans explorateur-outils-options des dossiers-affichage?

j'avais coché 1 case et décocher 2 comme indiqué pour afficher tous les fichiers et dossiers.

dois je remettre comme avant ou laisser la modification stp?

[jambonpurée]

voici les rapports egd.txt:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

"nwiz"="nwiz.exe /install"

"MessengerPlus3"="\"C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe\""

"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"

"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""

"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]

"Installed"="1"

 

 

et le rapport navipromo.txt:

Rapport Navipromo.bat 0.71 effectué le 30/01/2007 à 17:17:44,78

 

L'opération se déroule en mode sans échec sous le compte Malecot

 

## Vérifications supplémentaires

 

Note : cette section est expérimentale, aucun fichier ne sera supprimé. Si des fichiers sont trouvés à l'aide de cette méthode, ils ne seront pas nécessairement dangereux.

 

* Navipromo

 

C:\WINDOWS\System32

 

prodsrvs.exe

vyzcglqwu.exe

prodsrvs.exe

vyzcglqwu.exe

vyzcglqwu_navps.dat

vyzcglqwu.dat

vyzcglqwu.dat

 

* Trojan Nebula

 

 

 

* Trojan Vundo

 

 

-------------

 

Rapport Navipromo.bat 0.71 effectué le 30/01/2007 à 17:18:55,07

 

L'opération se déroule en mode sans échec sous le compte Malecot

 

** Recherche...

 

1/ vyzcglqwu trouvé, recherche de vyzcglqwu*

C:\WINDOWS\system32\vyzcglqwu.dat

C:\WINDOWS\system32\vyzcglqwu.exe

C:\WINDOWS\system32\vyzcglqwu_nav.dat

C:\WINDOWS\system32\vyzcglqwu_navps.dat

C:\WINDOWS\prefetch\VYZCGLQWU.EXE-39097740.pf

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

vyzcglqwu REG_SZ c:\windows\system32\vyzcglqwu.exe vyzcglqwu

 

------------------

Fin du rapport de recherche

Adware Navipromo trouvé 1 fois avec cette méthode

 

################################################

 

** Nettoyage...

 

1/ Déplacement de vyzcglqwu* vers C:\Navipromo\Backups...

C:\WINDOWS\System32\vyzcglqwu* déplacé avec succès !

C:\WINDOWS\prefetch\vyzcglqwu* déplacé avec succès

 

------------------

* Suppression clés et valeurs de registre

1 entrées de registre netttoyées

 

* Backups :

 

C:\Navipromo\Backups\ARPCache.reg

C:\Navipromo\Backups\HKCURun.reg

C:\Navipromo\Backups\HKLMRun.reg

C:\Navipromo\Backups\Uninstall.reg

C:\Navipromo\Backups\vyzcglqwu.dat

C:\Navipromo\Backups\vyzcglqwu.exe

C:\Navipromo\Backups\VYZCGLQWU.EXE-39097740.pf

C:\Navipromo\Backups\vyzcglqwu_nav.dat

C:\Navipromo\Backups\vyzcglqwu_navps.dat

 

Ajout d'extension .off aux backups

 

## Fin du rapport de Suppression

 

-------------

[jambonpurée]

je navigue depuis 30 minutes et il n'y a plus de pubs intempestives qui s'affichent apparemment.

J'attend votre confirmation,mais vraiment merci beaucoup.

[Mykerinos]

Re ...

 

Avertissement

 

Tu n'auras pas accès à Internet pendant une partie de la procédure. Enregistre cette page pour pouvoir la consulter hors-connexion : Fichier > Enregistrer sous ...

Dans "Type", choisis "Page Web, complète" et donne-lui un nom.

 

Télécharge AVG antispyware 7.5 (version d'évaluation)

• S'il n'est pas en français, clic-droit sur l'icone AVG AS en bas à droite > language > french.
  
• Lance AVG et clique sur "Mise à jour" dans la barre d'outils.
  
• Sous "Mise à jour manuelle" clique sur "Commencer la mise à jour".
  
• Une fois la mise à jour terminée, ferme AVG. Ne le lance pas tout de suite.
  

Télécharge et installe CCleaner Basic.

• Tutoriel par Jesses.
  

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur.
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  
• Choisis ton compte.
  
• Une autre manière en images.
  

Affiche tous les fichiers

• Ouvre le Poste de travail > Outils > Options des dossiers > Affichage.
  
• Coche la case "Afficher les fichiers et dossiers cachés".
  
• Décoche la case "Masquer les extensions des fichiers dont le type est connu".
  

Supprime les fichiers/dossiers suivants (en gras) par l'Explorateur Windows (si présents) :

 

C:\WINDOWS\System32\prodsrvs.exe <- le fichier

C:\Navipromo <- le dossier

 

Lance CCleaner et fais le nettoyage comme sur le tutoriel ...

 

Relance AVG Antispyware 7.5

• Clique sur "Analyse" dans la barre d'outils puis sur "Paramètres".
  
• Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine".
  
• Reclique sur "Analyse" puis sur "Analyse complète du système". Le scan peut durer, sois patient.
  
• AVG affichera une liste des fichiers détectés, sur la gauche.
  
• Si un fichier infecté est détecté en fin d'analyse, clique sur le bouton "Appliquer toutes les actions".
  
• AVG affichera "Toutes les actions ont été appliquées", à droite.
  
• Clique sur "Enregistrer le rapport", puis "Enregistrer le rapport sous". Ceci génère un rapport en fichier texte.
  
• Sauvegarde ce rapport dans un endroit sûr (sur ton Bureau, par exemple).
  

Redémarre en mode normal.

 

Poste une réponse dans le même sujet

 

Dans cette réponse, j'aimerais le rapport AVG Antispyware.

[jambonpurée]

aille,je ne peux plus intervenir sur le pc,ce n'était pas le mien.Et je suis a 700 km de la.

J'édite le topic en résolu.

Merci pour tout en tout cas.

Je découvre ce forum et c'est incroyable ce qu'on y trouve,je vais m'attaquer a mon pc du coup: overclock,optimisations,et vérifs infections.

A très vite.