Résolu - Comment éliminer "Clicksor"

[Falkra]

Tu abandonnes vite, on n'a essayé qu'un truc.

 

Passe moi une page où il se trouve, je te donne le type de ligne à ajouter, via HostXpert.

[Pianiste]

Bonsoir,

j'ai essayé avec la ligne que tu m'as donné. avec ou sans # j'ai toujours cette saleté qui revient.

de plus, impossible de te répondre par MP, ça me balance : erreur ?????

bonne soirée .

[Falkra]

Si ça met erreur, c'est qu'il faut attendre 10 minutes (un patch de forum, pas la faute de Yann).

[Pianiste]

Bonsoir,

me revoilà avec cette saleté.

mon épouse because écran bleu a du formater. quand je lui réinstallais des favoris, j'ai trouvé le coupable:

Microsoft®Dynamic HTLM Editing Control. c'est lui qui fout la m**** alors où le trouver pour une éradication soignée.

Merci

NB: Falkra, je suis têtu et je n'oublie pas, je l'ai trouvé le salopard^^

[Falkra]

Le plus simple serait qu'on me transfère ça dans la section analyse, qu'on regarde ça en détail, si tu es d'accord.

[Pianiste]

OK, je pense que c'est fait (pour le transfert).

en revanche, j'ai encore tout recontrôlé chez moi, rien dans les rapports d'analyse, tout est clean. mais comme je l'ai écrit, c'est une fenêtre qui s'ouvre et te demande d'installer Microsoft®Dynamic HTLM Editing Control. j'ai fait rechercher = que dalle. alors où ?

[Falkra]

Microsoft®Dynamic HTLM Editing Control c'est très vieux (2006) mais ce fut vulnérable jadis, mais plutôt pour Vista.

Quand se produit l'apparition de ce message ?

 

Poste un rapport HijackThiks stp qu'on voie ce que ça dit.

[Pianiste]

Bonsoir,

ça se produit la 1ère fois que tu ouvres un site que je t'ai communiqué. si tu acceptes l'active X tu es ennuyé.

sur le pc de ma femme qui venait d'être formaté, elle a ouvert le site en question, proposition d'installer ce trouble fête, elle a refusé 3 fois et n'est pas ennuyé comme moi. c'est de ma faute, un clic de trop. j'ai fouillé dans les outils complémentaires d'IE : rien, dans C:/windows/programmefilesinstallation : que des trucs de java. donc introuvable, il doit être en rapport avec le site.

voilà le rapport demandé, apparemment clean, sauf des lignes où il y a "file missing" ???

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:50:17, on 21/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

C:\WINDOWS\Installer\MSI63.tmp

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Webroot\Washer\WasherSvc.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Mouse Driver\MouseDrv.exe

E:\Logiciels courants en réserve\Sécurité\Rapport sécurité\HiJackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.ma/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM

O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall FREE\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spamBully 4] "C:\Program Files\Axaware\SpamBully 4 for Outlook Express\sb4oe.exe" install

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - Startup: e-Backup 1.42 Scheduler.lnk = ?

O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL

O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL

O9 - Extra button: Bloc Notes - {AF4F850B-68FF-404C-8417-549F86B1E236} - notepad.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\wbsys.dll

O23 - Service: AusLogics Windows Themes Helper (ALThemeHelper) - Unknown owner - C:\Program Files\Auslogics\AusLogics Visual Styler\themehelpersvc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - C:\Program Files\Ashampoo\Ashampoo WinOptimizer 6\Dfsdks.exe

O23 - Service: FTQ - Unknown owner - C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\FTQ.exe (file missing)

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: SolidPDFPlusCreatorReadSpool (SPDFCreatorPlusReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSI63.tmp

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: SWMMBBZHR - Unknown owner - C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\SWMMBBZHR.exe (file missing)

O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

 

--

End of file - 6931 bytes

bon courage à toi et encore merci

[Falkra]

Relance HijackThis, clique sur "Do a system scan only" puis coche ceci et clique sur le bouton "Fix checked", en bas à gauche :

O2 - BHO: Trixie.Bho - {B0744341-96E0-4341-9ED2-8BC36CE0CCD0} - mscoree.dll (file missing)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O23 - Service: FTQ - Unknown owner - C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\FTQ.exe (file missing)

O23 - Service: SWMMBBZHR - Unknown owner - C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\SWMMBBZHR.exe (file missing)

 

Ca pourrait faire l'affaire.

[Pianiste]

Bonjour Falkra,

je vais bouffer mon chapeau

j'effacé les lignes désignées : aucun effeft.

ensuite le problème de mise à jour avira reste entier, se sont rajoutés : impossibilité de mettre Java à jour et sur bitdefender en ligne, host bloqué