Fenêtres de pub intempestives

[pascal 28]

Bonjour à tous

 

Depuis quelques temps, j'ai des fenêtres de pub qui s'affichent quand je suis sous ie7.

 

Le PC ralenti et se bloque.

 

J'ai fait une analyse avec Spybot mais il n'a rien trouvé.

Avast ne trouve rien non plus.

 

Merci de votre aide

[Falkra]

Bonsoir, bienvenue.

 

Messages : 1

Si jamais tu as besoin de quelques infos ou d'aide pour retrouver tes posts :

Comment participer à un forum

Retrouver ses messages

 

 

Avast et spybot ne sont plus très bons, donc on va vérifier ça de près.

 

Poste un rapport HijackThis dans ta prochaine réponse stp.

 

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

[pascal 28]

Meci Falkra

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:50, on 03/04/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Users\pascal\AppData\Roaming\Microsoft\cmstp.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\drivers\cmstp.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Wallpaper\Wallpaper.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Users\pascal\AppData\Local\ymakmig.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\conime.exe

C:\Program Files\IncrediMail\bin\IMApp.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\Explorer.exe

C:\Users\pascal\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S50B65G3\HiJackThis[1].exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F3 - REG:win.ini: load=C:\Windows\System32\drivers\cmstp.exe

O1 - Hosts: ::1 localhost

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [ymakmig] "c:\users\pascal\appdata\local\ymakmig.exe" ymakmig

O4 - HKLM\..\Policies\Explorer\Run: [CmSTP] C:\Users\pascal\AppData\Roaming\MICROS~1\cmstp.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\Users\pascal\LOCALS~1\APPLIC~1\MICROS~1\cisvc.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [Logman] C:\Users\pascal\LOCALS~1\APPLIC~1\MICROS~1\logman.exe /waitservice

O4 - HKLM\..\Policies\Explorer\Run: [Esent Utl] C:\Users\pascal\LOCALS~1\APPLIC~1\MICROS~1\esentutl.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [rsvp] C:\Users\pascal\AppData\Roaming\MICROS~1\rsvp.exe /waitservice

O4 - HKCU\..\Policies\Explorer\Run: [Logman] C:\Users\pascal\LOCALS~1\APPLIC~1\MICROS~1\logman.exe /waitservice

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [sessMgr] C:\Users\pascal\AppData\Roaming\MICROS~1\sessmgr.exe /waitservice (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [sessMgr] C:\Users\pascal\AppData\Roaming\MICROS~1\sessmgr.exe /waitservice (User 'Default user')

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Download Video on This Page - C:\Program Files\Tomato\YouTube Video Downloader\IEPage.html

O8 - Extra context menu item: Download Video This Links To - C:\Program Files\Tomato\YouTube Video Downloader\IELink.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)

O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\Program Files\Goto\MemoWeb 4 - Découverte\IEBtn\Launcher (file missing)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/dow...llerControl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O21 - SSODL: tfnslopk - {E96BB392-8526-4FEC-8360-ED914717C7F8} - (no file)

O21 - SSODL: xokvrpwg - {D30DA24A-591A-439F-B6E4-AA69C235F246} - (no file)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\Windows\system32\drivers\CDAC11BA.EXE

O23 - Service: Service Google Update (gupdate1c98dfe1b23a066) (gupdate1c98dfe1b23a066) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe

 

--

End of file - 8541 bytes

[Falkra]

Il y a plusieurs infections actives.

 

• Désactive l'UAC-User Account Control -contrôle des comptes utilisateurs (surtout, bien penser à le réactiver après la désinfection).
   
  
• Démarrer > Panneau de Configuration
   
  
• Double clique sur l'icône Comptes d'utilisateurs
   
  
• Clique ensuite sur Désactiver et valide.
   
  
• Télécharge maintenant Navilog1 depuis-ce lien :
  http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
   
  
• Clique-droit sur le lien ci-dessus et choisis Enregistrer la cible (du lien) sous... et range le sur ton Bureau.
   
  
• Clique-droit sur navilog1.exe et choisis "Exécuter en tant que... Administrateur" pour l'installer.
   
  
• Attends la fin de l'installation.
  

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

 

• Sur le menu principal, choisis 1.
   
  
• Suis les instructions et patiente.
   
  
• Patiente jusqu'au message *** Analyse terminée le ….*** (il se peut que ça prenne un certain temps).
   
  
• Appuie sur une touche ainsi que demandé.
   
  
• Un document du Bloc-notes est créé : fixnavi.txt.
   
  
• Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
   
  
• Referme le Bloc-notes.
  

 

Le rapport fixnavi.txt est également sauvegardé dans %systemdrive%. (en général C:\)

[pascal 28]

Merci pour ta réponse rapide

Voici mon analyse (un peu moins rapide)

 

 

Search Navipromo version 3.7.6 commencé le 03/04/2009 à 18:16:49.26

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

 

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual Core Processor 4000+ )

BIOS : Phoenix - AwardBIOS v6.00PG

USER : pascal ( Not Administrator ! )

BOOT : Normal boot

 

Antivirus : avast! antivirus 4.8.1229 [VPS 081226-0] 4.8.1229 (Activated)

 

 

C:\ (Local Disk) - NTFS - Total:225 Go (Free:19 Go)

D:\ (Local Disk) - NTFS - Total:7 Go (Free:0 Go)

E:\ (CD or DVD)

F:\ (Local Disk) - NTFS - Total:76 Go (Free:20 Go)

H:\ (USB)

I:\ (USB)

J:\ (CD or DVD)

K:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)

L:\ (USB)

M:\ (CD or DVD)

N:\ (USB)

 

 

Recherche executé en mode normal

 

 

*** Recherche dossiers dans "C:\Windows" ***

 

 

*** Recherche dossiers dans "C:\Program Files" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Recherche dossiers dans "C:\ProgramData" ***

 

 

*** Recherche dossiers dans "c:\users\pascal\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Recherche dossiers dans "C:\Users\pascal\AppData\Local\virtualstore\Program Files" ***

 

 

 

*** Recherche dossiers dans "C:\Users\pascal\AppData\Local" ***

 

 

 

*** Recherche dossiers dans "C:\Users\anthony\AppData\Local" ***

 

 

 

 

*** Recherche dossiers dans "C:\Users\pascal\AppData\Roaming" ***

 

 

*** Recherche dossiers dans "C:\Users\anthony\appdata\roaming" ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

 

* Recherche dans "C:\Windows\system32" *

 

* Recherche dans "C:\Users\pascal\AppData\Local\Microsoft" *

 

* Recherche dans "C:\Users\pascal\AppData\Local\virtualstore\windows\system32" *

 

* Recherche dans "C:\Users\pascal\AppData\Local" *

 

* Recherche dans "C:\Users\anthony\AppData\Local" *

 

 

 

*** Recherche fichiers ***

 

 

 

*** Recherche clés spécifiques dans le Registre ***

!! Les clés trouvées ne sont pas forcément infectées !!

 

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ymakmig"="\"c:\\users\\pascal\\appdata\\local\\ymakmig.exe\" ymakmig"

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers Instant Access :

 

 

2)Recherche Heuristique :

 

* Dans "C:\Windows\system32" :

 

 

* Dans "C:\Users\pascal\AppData\Local\Microsoft" :

 

 

* Dans "C:\Users\pascal\AppData\Local\virtualstore\windows\system32" :

 

 

* Dans "C:\Users\pascal\AppData\Local" :

 

ymakmig.exe trouvé !

ymakmig.dat trouvé !

ymakmig_nav.dat trouvé !

ymakmig_navps.dat trouvé !

 

* Dans "C:\Users\anthony\AppData\Local" :

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

 

4)Recherche autres dossiers et fichiers connus :

 

 

 

*** Analyse terminée le 03/04/2009 à 18:47:34.95 ***

[Falkra]

On nettoie !

 

Assure-toi que l'UAC-User Account Control -contrôle des comptes utilisateurs est bien désactivé.

 

Clique-droit sur le raccourci Navilog1 sur le Bureau et choisis "Exécuter en tant que... Administrateur".

 

• Sur le menu principal, choisis 2.
   
  
• Suis les instructions et patiente.
   
  
• L'outil va t'informer qu'il redémarrera ton ordinateur.
   
  
• Sauvegarde les documents ouverts, s'il y en a, puis ferme toutes les fenêtres.
   
  
• Appuie sur une touche ainsi que demandé.
   
  
• Si ton ordinateur ne redémarre pas automatiquement, fais le manuellement.
   
  
• Choisis ta session habituelle si nécessaire.
   
  
• Patiente jusqu'au message *** Nettoyage terminé le ….*** (il se peut que ça prenne un certain temps).
   
  
• Un document du Bloc-notes est créé. Sauvegarde le rapport de manière à le retrouver.
   
  
• Copie/colle le contenu de ce compte-rendu dans ta prochaine réponse.
   
  
• Referme le Bloc-notes.
   
  
• Ton Bureau va réapparaître.
  

 

Réactive le contrôle des comptes utilisateurs (UAC-User Account Control).

 

Note : Si ton Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Onglet "Processus" > Fichier (menu) > Nouvelle tâche (Exécuter...) > tape explorer et clique sur OK.

[pascal 28]

Bonjour

 

Le rapport de désinfection :

 

Clean Navipromo version 3.7.6 commencé le 04/04/2009 à 11:29:39.32

 

Outil exécuté depuis C:\Program Files\navilog1

 

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

 

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6001 ) Service Pack 1

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual Core Processor 4000+ )

BIOS : Phoenix - AwardBIOS v6.00PG

USER : pascal ( Not Administrator ! )

BOOT : Normal boot

 

Antivirus : avast! antivirus 4.8.1229 [VPS 081226-0] 4.8.1229 (Activated)

 

 

C:\ (Local Disk) - NTFS - Total:225 Go (Free:19 Go)

D:\ (Local Disk) - NTFS - Total:7 Go (Free:0 Go)

E:\ (CD or DVD)

F:\ (Local Disk) - NTFS - Total:76 Go (Free:20 Go)

H:\ (USB)

I:\ (USB)

J:\ (CD or DVD)

K:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)

L:\ (USB)

M:\ (CD or DVD)

N:\ (USB)

 

 

Mode suppression automatique

avec prise en charge résultats Catchme et GNS

 

 

Nettoyage exécuté au redémarrage de l'ordinateur

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

 

* Suppression dans "C:\Windows\System32" *

 

 

* Suppression dans "C:\Users\pascal\AppData\Local\Microsoft" *

 

 

* Suppression dans "C:\Users\pascal\AppData\Local\virtualstore\windows\system32" *

 

 

* Suppression dans "C:\Users\pascal\AppData\Local" *

 

 

* Suppression dans "C:\Users\anthony\AppData\Local" *

 

 

 

*** Suppression dossiers dans "C:\Windows" ***

 

 

*** Suppression dossiers dans "C:\Program Files" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "c:\progra~2\micros~1\windows\startm~1" ***

 

 

*** Suppression dossiers dans "C:\ProgramData" ***

 

 

*** Suppression dossiers dans c:\users\pascal\appdata\roaming\micros~1\windows\startm~1\programs ***

 

 

*** Suppression dossiers dans "C:\Users\anthony\appdata\roaming\micros~1\windows\startm~1\programs" ***

 

 

*** Suppression dossiers dans "C:\Users\pascal\AppData\Local\virtualstore\Program Files" ***

 

 

*** Suppression dossiers dans "C:\Users\pascal\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\anthony\AppData\Local" ***

 

 

*** Suppression dossiers dans "C:\Users\pascal\AppData\Roaming" ***

 

 

*** Suppression dossiers dans "C:\Users\anthony\appdata\roaming" ***

 

 

 

*** Suppression fichiers ***

 

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\Windows\Temp effectué !

Nettoyage contenu C:\Users\pascal\AppData\Local\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

 

2)Recherche, création sauvegardes et suppression Heuristique :

 

 

* Dans "C:\Windows\system32" *

 

 

C:\Windows\prefetch\ymakmig*.pf trouvé !

Copie C:\Windows\prefetch\ymakmig*.pf réalisée avec succès !

C:\Windows\prefetch\ymakmig*.pf supprimé !

 

 

* Dans "C:\Users\pascal\AppData\Local\Microsoft" *

 

 

 

* Dans "C:\Users\pascal\AppData\Local\virtualstore\windows\system32" *

 

 

 

* Dans "C:\Users\pascal\AppData\Local" *

 

 

ymakmig.exe trouvé !

Copie ymakmig.exe réalisée avec succès !

ymakmig.exe supprimé !

 

ymakmig.dat trouvé !

Copie ymakmig.dat réalisée avec succès !

ymakmig.dat supprimé !

 

ymakmig_nav.dat trouvé !

Copie ymakmig_nav.dat réalisée avec succès !

ymakmig_nav.dat supprimé !

 

ymakmig_navps.dat trouvé !

Copie ymakmig_navps.dat réalisée avec succès !

ymakmig_navps.dat supprimé !

 

 

* Dans "C:\Users\anthony\AppData\Local" *

 

 

 

*** Sauvegarde du Registre vers dossier Safebackup ***

 

sauvegarde du Registre réalisée avec succès !

 

*** Nettoyage Registre ***

 

Nettoyage Registre Ok

 

 

*** Certificats ***

 

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltdt absent !

 

 

*** Recherche autres dossiers et fichiers connus ***

 

 

 

*** Nettoyage terminé le 04/04/2009 à 11:33:07.09 ***

[Falkra]

Parfait, une de moins, on continue.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[pascal 28]

Bonjour

Il était si infecté que ça mon PC ?

 

Merci de ton aide

 

 

Rapport malwarebyte :

 

Malwarebytes' Anti-Malware 1.35

Version de la base de données: 1939

Windows 6.0.6001 Service Pack 1

 

04/04/2009 14:58:34

mbam-log-2009-04-04 (14-58-15).txt

 

Type de recherche: Examen rapide

Eléments examinés: 69244

Temps écoulé: 4 minute(s), 20 second(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 11

Valeur(s) du Registre infectée(s): 7

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 3

Fichier(s) infecté(s): 11

 

Processus mémoire infecté(s):

C:\WINDOWS\System32\drivers\cmstp.exe (Trojan.Agent) -> No action taken.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\Interface\{65b2fe4d-2fff-4874-8f85-f16ffb5333bc} (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{b7963fed-fd53-4581-964b-6f4bd365e44c} (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{3935B537-3E6D-04ED-ABB3-ACB16A699E3B} (Rogue.Multiple) -> No action taken.

HKEY_CLASSES_ROOT\Typelib\{9b5a5068-82b1-4ba8-b2ae-08cce500ab81} (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{870e3b1b-d1c6-4b91-864c-90043cf02e56} (Adware.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ed5288-f558-4f6e-8d5c-740cb6f89029} (Rogue.Multiple) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3d76b96-30b9-4dcc-9b3d-d12e31280d29} (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{858d0a33-c1e1-48be-af1d-7fc2088651fd} (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\bgrqfetx.bdqa (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\ekvgsnw.bsoq (Trojan.FakeAlert) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\CmSTP (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\MstInit (Trojan.Agent) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\sessmgr (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\spool (Trojan.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\rsvp (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\xokvrpwg (Trojan.FakeAlert) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\tfnslopk (Trojan.FakeAlert) -> No action taken.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Data: c:\windows\system32\drivers\cmstp.exe -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Data: system32\drivers\cmstp.exe -> No action taken.

 

Dossier(s) infecté(s):

C:\Program Files\AntiSpyKit 5.3 (Rogue.AntiSpyKit) -> No action taken.

C:\Program Files\AntiSpyKit 5.3\Logs (Rogue.AntiSpyKit) -> No action taken.

C:\WINDOWS\System32\drivers\downld (Trojan.Agent) -> No action taken.

 

Fichier(s) infecté(s):

C:\WINDOWS\evoq.exe (Trojan.FakeAlert) -> No action taken.

C:\Program Files\AntiSpyKit 5.3\Logs\scan_log_02252008-183850.html (Rogue.AntiSpyKit) -> No action taken.

C:\Users\pascal\AppData\Roaming\Microsoft\cmstp.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\System32\drivers\mstinit.exe (Trojan.Agent) -> No action taken.

C:\Users\pascal\AppData\Roaming\Microsoft\sessmgr.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\System32\drivers\cmstp.exe (Trojan.Agent) -> No action taken.

C:\Users\pascal\Local Settings\Application Data\Microsoft\sessmgr.exe (Trojan.Agent) -> No action taken.

C:\Users\pascal\Local Settings\Application Data\Microsoft\spoolsv.exe (Trojan.Agent) -> No action taken.

C:\Users\pascal\AppData\Roaming\Microsoft\rsvp.exe (Trojan.Agent) -> No action taken.

C:\Users\pascal\Local Settings\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

C:\Users\pascal\Local Settings\Application Data\spoolsv.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

[Falkra]

Oui, super infecté,n regarde ce que MBAM a trouvé.

Par contre tu n'as pas respecté les ocnsignes, ça marque "no action taken", donc les fichiers infectieux ne sont pas supprimés. Il faut recommencer.

 

Relance une recherche rapide.

• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  

 

Poste le rapport obtenu.