Spyware: Pop up (non bloquables) avec un tilde devant

[MrMoving56]

Bonjour,

 

La description de mon probleme est assez bien résumé dans le topic suivant http://forum.zebulon.fr/index.php?showtopic=114791 mais meme si celui-ci est résolu, ca n'a rien changé pour moi.

 

En gros, j'ai depuis une ou deux semaines des pub qui s'affichent (un peu reloo parce que y'a des truc porno entre autres) que je ne peut pas bloquer. J'ai essayé a peu pres tout: Adaware, Spybot, divers antivirus en ligne etc..., mais rien à faire.

 

Voici le rapport hijackthis.log:

 

Logfile of HijackThis v1.99.1

Scan saved at 22:54:48, on 12/02/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\Programmes\Avast4\aswUpdSv.exe

D:\Programmes\Avast4\ashServ.exe

D:\Programmes\AVG Anti-Spyware 7.5\guard.exe

D:\WINDOWS\system32\svchost.exe

D:\PROGRA~2\Avast4\ashDisp.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Programmes\DAEMON Tools\daemon.exe

D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\MSN Messenger\MsnMsgr.Exe

D:\Programmes\eMule\emule.exe

D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\Microsoft Office\Office12\WINWORD.EXE

D:\WINDOWS\system32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.wikipedia.org/wiki/Accueil

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [avast!] D:\PROGRA~2\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programmes\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programmes\eMule\emule.exe -AutoStart

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programmes\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Programmes\Avast4\ashServ.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programmes\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

Merci de votre aide

Modifié le 2 novembre 2008 par MrMoving56

[Mykerinos]

Salut ...

 

Télécharge Blacklight (de F-Secure).

• Clique sur "I accept" au bas de la page. Sauvegarde le sur ton Bureau.
  
• Double-clique sur blbeta.exe et accepte la licence.
  
• Clique "Scan" puis "Next".
  
• Tu verras une liste de fichiers détectés apparaître ainsi qu'un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  
• Copie/colle le contenu de ce rapport dans ta prochaine réponse.
  

Attention : Ne pas choisir l'option "Rename" tout de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ...

[MrMoving56]

Merci beaucoup de ta reponse rapide,voila le rapport Blacklight

 

 

02/13/07 00:15:58 [info]: BlackLight Engine 1.0.55 initialized

02/13/07 00:15:58 [info]: OS: 5.1 build 2600 (Service Pack 2)

02/13/07 00:15:58 [Note]: 7019 4

02/13/07 00:15:58 [Note]: 7005 0

02/13/07 00:16:01 [Note]: 7006 0

02/13/07 00:16:01 [Note]: 7011 1948

02/13/07 00:16:01 [Note]: 7026 0

02/13/07 00:16:01 [Note]: 7026 0

02/13/07 00:16:01 [Note]: 7024 3

02/13/07 00:16:01 [info]: Hidden process: D:\windows\system32\bxmiplacrh.exe

02/13/07 00:16:07 [Note]: FSRAW library version 1.7.1021

02/13/07 00:16:29 [info]: Hidden file: d:\WINDOWS\system32\bxmiplacrh.dat

02/13/07 00:16:29 [Note]: 10002 1

02/13/07 00:16:29 [info]: Hidden file: D:\windows\system32\bxmiplacrh.exe

02/13/07 00:16:29 [Note]: 10002 1

02/13/07 00:16:29 [info]: Hidden file: d:\WINDOWS\system32\bxmiplacrh_nav.dat

02/13/07 00:16:29 [Note]: 10002 1

02/13/07 00:16:29 [info]: Hidden file: d:\WINDOWS\system32\bxmiplacrh_navps.dat

02/13/07 00:16:29 [Note]: 10002 1

02/13/07 00:16:43 [Note]: 2000 1012

02/13/07 00:16:43 [Note]: 2000 1012

02/13/07 00:16:43 [Note]: 2000 1012

02/13/07 00:17:51 [Note]: 7007 0

 

Merci encore

 

Dsl pour le double post de topic by the way... c'etait mon premier

[Apollo]

Bonsoir à vous deux,

 

Si tu le permets Mykerinos, je voudrais désigner le coupable...

 

D:\Programmes\eMule\emule.exe

 

A lire: http://forum.zebulon.fr/index.php?showtopic=85544

 

Bonne nuit.

[MrMoving56]

Je ne pense pas que cela ait à voir avec emule car ce problème est arrivé à des personnes qui ne l'ont pas. Je ne sait pas par contre si c'est une coincidence mais toutes les personnes affectées par ce problème ont avast antivirus

 

@+

[bruce lee]

bonjour liegeois, Mykerinos

 

MrMoving56, merci de rester dans ce sujet.

 

@+

[Mykerinos]

Re ...

 

Télécharge Navipromo.zip et décompresse-le sur ton bureau.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur.
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option pour exécuter Windows en mode sans échec, puis appuie sur "[Entrée]".
  
• Choisis ton compte.
  
• Une autre manière en images.
  

 

Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo.

Sélectionne d'abord l'option "Vérifications", et patiente quelques minutes. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert.

Sélectionne ensuite l'option "Recherche et suppression automatique" en tapant sur la touche R.

S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

 

Redémarre normalement.

 

Poste le rapport C:\Navipromo.txt

[MrMoving56]

Voila, je sais pas encore si mon ordi est desinfécté, je confirmerais plus tard:

 

rapport Navipromo.bat 0.71 effectué le 13/02/2007 à 16:54:34,75

 

L'opération se déroule en mode sans échec sous le compte *************

 

** Recherche...

 

1/ bxmiplacrh trouvé, recherche de bxmiplacrh*

D:\WINDOWS\system32\bxmiplacrh.dat

D:\WINDOWS\system32\bxmiplacrh.exe

D:\WINDOWS\system32\bxmiplacrh_nav.dat

D:\WINDOWS\system32\bxmiplacrh_navps.dat

D:\WINDOWS\prefetch\BXMIPLACRH.EXE-04A3A4DF.pf

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

bxmiplacrh REG_SZ d:\windows\system32\bxmiplacrh.exe bxmiplacrh

 

------------------

Fin du rapport de recherche

Adware Navipromo trouvé 1 fois avec cette méthode

 

################################################

 

** Nettoyage...

 

1/ Déplacement de bxmiplacrh* vers D:\Navipromo\Backups...

D:\WINDOWS\System32\bxmiplacrh* déplacé avec succès !

D:\WINDOWS\prefetch\bxmiplacrh* déplacé avec succès

 

------------------

* Suppression clés et valeurs de registre

1 entrées de registre netttoyées

 

* Backups :

 

D:\Navipromo\Backups\ARPCache.reg

D:\Navipromo\Backups\bxmiplacrh.dat

D:\Navipromo\Backups\bxmiplacrh.exe

D:\Navipromo\Backups\BXMIPLACRH.EXE-04A3A4DF.pf

D:\Navipromo\Backups\bxmiplacrh_nav.dat

D:\Navipromo\Backups\bxmiplacrh_navps.dat

D:\Navipromo\Backups\HKCURun.reg

D:\Navipromo\Backups\HKLMRun.reg

D:\Navipromo\Backups\Uninstall.reg

 

Ajout d'extension .off aux backups

 

## Fin du rapport de Suppression

[MrMoving56]

Apparament c'est tout bon, et comme par magie mon ipod shuffle se remet à marcher... Merci beaucoup Mykerinos et longue vie à zubulon.fr

[Mykerinos]

Tu peux supprimer le dossier C:\Navipromo ...

 

A+