fenêtres intempestives: drivecleaner etc

[veracruz]

Bonjour,

comme d'autres depuis un mois une invitation à utiliser drive cleaner (et depuis 2 jours plutôt spyware-secure) s'affiche en permanence pendant navigation sur Mozilla. Au même moment a débuté un bombardement de pubs (systématique pour Dial à ouverture de Voila), renvoi vers des sites douteux et aujourd'hui grande première avec l'analyse Ad-Aware qui se bloque sur le même fichier examiné.

Je suis loin d'être une fléche en informatique...merci de m'aider.

 

Veracruz

[bibi26]

Bonjour et bienvenue sur Zebulon,

 

Télécharge HijackThis de Merijn sur ton bureau.

Ouvre-le et clique sur Do a system scan and save a logfile, poste le rapport dans ta prochaine réponse.

 

Télécharge Navilog1 (de IL-MAFIOSO).

Décompresse-le, tu auras un dossier avec plusieurs fichiers.

Ouvre Navilog1 (en double-cliquant sur navilog1.bat).

Laisse toi guider par les instructions, au menu principal, choisis l'option 1.

Patiente jusqu'à la fin de l'analyse.

Un rapport va être fait, sauvegarde-le et poste le rapport dans ta prochaine réponse.

[laosita]

Bonjour,

comme d'autres depuis un mois une invitation à utiliser drive cleaner (et depuis 2 jours plutôt spyware-secure) s'affiche en permanence pendant navigation sur Mozilla. Au même moment a débuté un bombardement de pubs (systématique pour Dial à ouverture de Voila), renvoi vers des sites douteux et aujourd'hui grande première avec l'analyse Ad-Aware qui se bloque sur le même fichier examiné.

Je suis loin d'être une fléche en informatique...merci de m'aider.

 

Veracruz

Bonjour

va sur cette page http://game1.clubic.com/bulk/Rogue-Remover.zip

telecharge le logiciel clique sur rogueremoverinstall.exe apreés clique successivement sur Next, i agree,install et enfin sur finishRogueRemover se lancera automatiquement clique dans la fenetre sur Scan les intrus serontdetecte et éliminé

[bibi26]

Bonjour,

 

Laosita, je te remercie de ta participation, cependant, ce n'est pas la bonne solution, car veracruz n'est probablement pas infecté par un rogue, mais par EGDACCESS qui fait de la publicité pour les rogues.

[veracruz]

Bonjour et bienvenue sur Zebulon,

 

Télécharge HijackThis de Merijn sur ton bureau.

Ouvre-le et clique sur Do a system scan and save a logfile, poste le rapport dans ta prochaine réponse.

 

Télécharge Navilog1 (de IL-MAFIOSO).

Décompresse-le, tu auras un dossier avec plusieurs fichiers.

Ouvre Navilog1 (en double-cliquant sur navilog1.bat).

Laisse toi guider par les instructions, au menu principal, choisis l'option 1.

Patiente jusqu'à la fin de l'analyse.

Un rapport va être fait, sauvegarde-le et poste le rapport dans ta prochaine réponse.

 

merci bibi26 pour tes instructions et j'espère avoir été efficiant!

 

tout d'abord le rapport Hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 14:13:21, on 31/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\DIGStream\digstream.exe

C:\Program Files\ESPNRunTime\DIGServices.exe

F:\3.0\Apps\apdproxy.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [DIGStream] C:\Program Files\DIGStream\digstream.exe

O4 - HKLM\..\Run: [DIGServices] C:\Program Files\ESPNRunTime\DIGServices.exe /brand=ESPN /priority=0 /poll=24

O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

Puis Navilog 1:

 

Fix lancé depuis C:\Documents and Settings\utilisateur\Mes documents\navilog

Mise a jour le 31.03.2007 a 08h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\utilisateur\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\hivpoz.dat

C:\windows\system32\hivpoz.exe

c:\WINDOWS\system32\hivpoz_nav.dat

c:\WINDOWS\system32\hivpoz_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\hivpoz.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-1659004503-706699826-839522115-1004\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\hivpoz.dat trouvé !

**

C:\WINDOWS\system32\hivpoz.dat trouvé !

***

****

C:\WINDOWS\system32\hivpoz_navps.dat trouvé !

*****

******

*******

********

C:\WINDOWS\system32\hivpoz.exe trouvé !

 

 

*** Analyse Terminé le 31/03/2007 à 14:27:43,01 ***

 

J'attends la suite

cordialement

Veracruz

[bibi26]

Il te faudra copier ces instructions car tu n'auras pas accès à Internet pour une grande partie des instructions !

 

Pour copier les instructions tout en gardant la mise en forme, crée un dossier sur ton bureau du nom de Instructions, dans ton navigateur, clique sur Page, Enregistrer sous..., ouvre le dossier Instructions que tu as fait et clique sur Enregistrer.

 

Redémarre ton ordinateur.

Dès que ton ordinateur redémarre, appuie plusieurs fois sur le bouton F8 jusqu'à ce qu'un menu à choix multiples apparaisse.

Choisis Mode sans échec.

Voir ce lien pour plus d'informations.

 

Ouvre Navilog1 (en double-cliquant sur navilog1.bat).

Laisse toi guider par les instructions, au menu principal, choisis l'option 2.

Laisse-toi guider par les instructions. Patiente jusqu'à la fin de l'analyse.

À la fin du nettoyage, un rapport va être fait, sauvegarde-le.

 

Redémarre ton ordinateur normalement (pas en mode sans échec).

Fais un nouveau rapport HijackThis et poste-le avec le rapport Navilog1.

 

EDIT : N'oublie pas de mettre HijackThis dans un répertoire qui lui est dédié comme C:\Program Files.

Modifié le 31 mars 2007 par bibi26

[ipl_001]

Bonjour veracruz, bibi26, laosita, bonjour à tous,

 

Veracruz, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum !

 

Le lien donné par laosita ( http://game1.clubic.com/bulk/Rogue-Remover.zip ) est invalide !