pop up publicitaires incessants

[OlivierD]

Bonjour,

 

je me tourne vers vous pour demander de l'aide....Depuis une semaine, j'ai de façon intempestive des pop-up publicitaires qui s'ouvrent dès que je navigue sur le web.

J'ai comme antivirus ESET NOD32 qui ne me détecte rien d'anormal. J'ai installé MalWareBytes'anti malware qui n'a rien trouvé lui non plus...

Du coup j'ai téléchargé hijackthis pour mettre un rapport afin que vous puissiez me dire si mon poste est bien infecté (comme je le pense) ou non.

Voici mon rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:19:02, on 18/02/2009

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\divalto\sys\DhsDivalto.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\LogMeIn\x86\RaMaint.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\Program Files\LogMeIn\x86\LMIGuardian.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Symantec\LiveState Recovery\Advanced Server 6.0\Agent\VProSvc.exe

C:\WINDOWS\System32\svchost.exe

c:\divalto\sys\DhsDivaAgent.exe

c:\divalto\sys\DhsServices.exe

c:\divalto\sys\DhsXlanServer.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\System32\svchost.exe

c:\windows\system32\inetsrv\w3wp.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Symantec\LiveState Recovery\Advanced Server 6.0\Agent\VProTray.exe

C:\Program Files\LogMeIn\x86\LogMeInSystray.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\LogMeIn\x86\LMIGuardian.exe

C:\Program Files\Windows Desktop Search\WindowsSearch.exe

C:\divalto\sys\DhSession.exe

C:\WINDOWS\System32\svchost.exe

c:\documents and settings\administrateur\local settings\application data\ayqeoaw.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\divalto\sys\xwin6.exe

C:\Program Files\totalcmd\TOTALCMD.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe

c:\Divalto\sys\xwin6.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/softAdmin.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\system32\cgmopenbho.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [LiveState Recovery Advanced Server 6.0] "C:\Program Files\Symantec\LiveState Recovery\Advanced Server 6.0\Agent\VProTray.exe"

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ayqeoaw] "c:\documents and settings\administrateur\local settings\application data\ayqeoaw.exe" ayqeoaw

O4 - HKCU\..\Run: [Pop up Blocker] "C:\Program Files\Pop up Blocker\pd.exe" Minimize

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - S-1-5-18 Startup: DhsDivalto.lnk = C:\divalto\sys\DhSession.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: DhsDivalto.lnk = C:\divalto\sys\DhSession.exe (User 'Default user')

O4 - .DEFAULT User Startup: DhsDivalto.lnk = C:\divalto\sys\DhSession.exe (User 'Default user')

O4 - Startup: DhsDivalto.lnk = C:\divalto\sys\DhSession.exe

O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: PD - {18448F6C-D70D-4DE2-94F4-EC8CB30E0897} - C:\Program Files\Pop up Blocker\pd.exe

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1219135842812

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD44/JSCDL/jdk/6u...ows-i586-jc.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100

O17 - HKLM\System\CCS\Services\Tcpip\..\{56AA30B9-C8EC-481B-B1CA-D7ADCDA1BE0B}: NameServer = 192.168.20.2,80.10.246.129

O17 - HKLM\System\CS1\Services\Tcpip\..\{56AA30B9-C8EC-481B-B1CA-D7ADCDA1BE0B}: NameServer = 192.168.20.2,80.10.246.129

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Service hôte Symantec pcAnywhere (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Divalto DhsDivaAgent Version 6.1b (DhsDivaAgent) - Divalto - c:\divalto\sys\DhsDivaAgent.exe

O23 - Service: Divalto DhsDivalto Version 6.1b (DhsDivalto) - Divalto - c:\divalto\sys\DhsDivalto.exe

O23 - Service: Divalto DhsServices Version 6.1b (DhsServices) - Divalto - c:\divalto\sys\DhsServices.exe

O23 - Service: Divalto DhsXlanServer Version 6.1b (DhsXlanServer) - Divalto - c:\divalto\sys\DhsXlanServer.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing)

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

O23 - Service: Symantec LiveState Recovery - Symantec Corporation - C:\Program Files\Symantec\LiveState Recovery\Advanced Server 6.0\Agent\VProSvc.exe

 

--

End of file - 8712 bytes

 

 

Merci à tous pour votre aide !!

[pear]

Bonjour,

 

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Si vous êtes Sous Vista:

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

 

Télécharger Navilog1

. et enregistrez-le sur le bureau.

Ensuite double cliquer sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, Faire un Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisir "Exécuter en tant qu'administrateur".

Pour activer la commande "Exécuter en tant qu'administrateur "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur avancé.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

Au menu principal, Faire le choix 1

Suivre les instructions et patienter jusqu'au message :

*** Analyse Terminée le ..... ***

Enregistrer le rapport pour pouvoir le poster

 

Ensuite lancez l'option 2

 

Le fix vous informe qu'il va redémarrer le PC

Fermer toutes les fenêtres ouvertes et enregistrer les documents personnels ouverts

Appuyer sur une touche comme demandé.

(si le Pc ne redémarre pas automatiquement, Redémarrer)

Au redémarrage du PC, choisir la session habituelle.

 

Patienter jusqu'au message :

"*** Nettoyage Terminé le ..... ***"

Le bloc-notes va s'ouvrir.

Sauvegarder le rapport de manière à le retrouver

Refermer le bloc-notes

.Le bureau va réapparaitre

 

Démarrer -> panneau de configuration -> options internet

Cliquer sur l'onglet "Contenu" puis onglet "Certificats"

et si vous trouvez ceci, en particulier ,dans "éditeurs approuvés" :

electronic-group ; egroup ; Montorgueil ; VIP ; "Sunny Day Design Ltd"

=> Supprimez-les tous

 

PS:Si le bureau ne réapparaît pas, CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.

Puis à l'onglet "processus". Cliquer en haut à gauche sur fichiers et choisir "exécuter"

Taper explorer et valider.

 

Postez les 2 rapports

Il faut lancer la procédure dans tous les comptes utilisateurs où le problème apparaît car Navilog1 ne nettoie que

le compte sur lequel on l'exécute,après les avoir passés en mode "administrateur" (sinon navilog1 ne s'exécute pas)

Si c'est fait ou que vous êtes seul utilisateur:

Désinstaller Navilog1 Via ajout/suppression des programmes --> Navilog1

Ensuite supprimer ce dossier : C:\Program Files\navilog1

 

 

A propos de Bounty Games:

 

Il ne s'agit pas d'une infection!

Conformément aux conditions générales d'utilisation définies que l'on peut trouver sur leur site et acceptées lors du téléchargement d'un jeu (cf ici par exemple pour une traduction google et la visualisation de la page originale) le service Boonty, à l'image de la BoontyBox, collecte des informations vous concernant (configuration, téléchargements effectués, toutes informations strictement personnelles fournies par un formulaire d'enregistrement ou d'inscription à un jeu concours, etc, )en principe,à des fins d'amélioration du service , mais il se réserve le droit de les fournir à des tiers comme les producteurs de jeu pour leur études de de marché: (références de jeu, âge, genre, situation géographique, éducation, métier, matériel informatique , centres d' intérêts de jeu vidéo, activités et achats, mais pas de nom ou informations de contact).

Autant de raisons donc de le supprimer, mais en sachant qu'il réapparaitra après chaque téléchargement de ces petits jeux..

 

]En gardant ce fichier Bounty.bat sur votre bureau, vous pourrez vous débarrasser de Bounty quand vous voudrez.

 

Supprimer le service Bounnty:

Copiez collez dans le bloc notes.

Enregistrez sous Bounty.bat, sur le bureau.

Double clic pour lancer.:

@echo off

sc stop Bounty

sc delete Bounty

cd c:\

cd Program Files

cd Fichiers communs

del /f /s /q C:\Program Files\Fichiers communs\BOONTY Shared

Modifié le 18 février 2009 par pear

[OlivierD]

bonjour,

 

tout d'abord merci pour votre réponse rapide.

J'ai essayé de suivre ce que vous m'avez indiqué de faire. J'ai donc isntallé navilog1. Seulement, lorsque je le lance, j'ai le message suivant :

"Cet outil ne fonctionne que sous windows2000 / XP ou Vista. L'outil va etre interrompu."

 

Je travaille sous windows 2003 server sp2....

 

Comment contourner ce problème ?

 

Merci d'avance pour votre aide.