[résolu]pbl popup et spyware

[jjboost]

je m'y mets tout de suite...

[jjboost]

C'est fait :

 

wp.bmp supprimé

msole32.exe supprimé

popuper.exe supprimé

 

les 2 derniers se trouvaient dans le dossier C:\WINDOWS\Prefetch\ et avaient un nom plus complet :

 

msole32-14BF057.pf

popuper-178D43FF.pf

 

Je n'ai plus d'écran bleu et le message a disparu, par contre je n'ai toujours pas la main sur l'image de fond du bureau.

 

 

 

"Silent Runners.vbs", revision 36, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}

"notepad.exe" = "msmsgs.exe" [file not found]

"winlogon.exe" = "msole32.exe" [file not found]

"notepad2.exe" = "popuper.exe" [file not found]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Lab"]

"Look 'n' Stop" = ""C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto" [null data]

"ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]

"zBrowser Launcher" = "C:\Program Files\Logitech\iTouch\iTouch.exe" ["Logitech Inc."]

"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"iTunesHelper" = "C:\Program Files\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]

"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]

"Efface Historique 2.0" = "C:\PROGRA~1\EFFACE~1\EFFACE~1.EXE -s" [null data]

"RemoteControl" = ""C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = "AcroIEToolbarHelper Class" [from CLSID]

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"

-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

"{8F7261D0-D2B9-11D2-9909-00605205B24C}" = "CuteFTP Shell Extension"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\GlobalSCAPE\CuteFTP\Cuteshell.dll" ["GlobalSCAPE, Inc."]

"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]

"{FED7043D-346A-414D-ACD7-550D052499A7}" = "dBpowerAMP Music Converter 1"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Illustrate\dBpowerAMP\dBShell.dll" [empty string]

"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpowerAMP Music Converter"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Illustrate\dBpowerAMP\dMCShell.dll" [empty string]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

 

HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

 

 

Enabled Screen Saver:

---------------------

 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

 

 

Enabled Wallpaper and Active Desktop:

-------------------------------------

 

Active Desktop is disabled.

 

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\wp.bmp"

 

 

Startup items in "Macmaltr" & "All Users" startup folders:

----------------------------------------------------------

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"Adobe Gamma Loader" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

"Assistant d'Acrobat" -> shortcut to: "C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe" ["Adobe Systems Inc."]

"Harmony Monitor" -> shortcut to: "C:\Program Files\Logitech\Harmony Remote\EasyZapperMonitor.exe" ["Intrigue Technologies Inc"]

"NkbMonitor.exe" -> shortcut to: "C:\Program Files\Nikon\PictureProject\NkbMonitor.exe" ["Nikon Corporation"]

"Pinnacle Scheduler" -> shortcut to: "C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe" ["Pinnacle Systems GmbH, Braunschweig"]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"

-> {CLSID}\(Default) = "Adobe PDF"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"

-> {CLSID}\(Default) = "Adobe PDF"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"

-> {CLSID}\(Default) = "Adobe PDF"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

 

Explorer Bars

 

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

{182EC0BE-5110-49C8-A062-BEB1D02A220B}\

-> {CLSID}\(Default) = "Adobe PDF"

-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

 

Dormant Explorer Bars in "View, Explorer Bar" menu

 

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\

(Default) = "&Rechercher"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKCU\Software\Microsoft\Internet Explorer\Extensions\

{83921BF4-EE79-4937-9432-BA894F1E842C}\

"ButtonText" = "Microsoft AntiSpyware helper"

"MenuText" = "Microsoft AntiSpyware helper"

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Recherche"

 

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\

"ButtonText" = "ICQ 4.1"

"MenuText" = "ICQ Lite"

"Exec" = "C:\Program Files\ICQLite\ICQLite.exe" ["ICQ Ltd."]

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]

C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\System32\drivers\CDAC11BA.EXE" ["Macrovision"]

iPod Service, iPodService, "C:\Program Files\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]

kavsvc, kavsvc, "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe" ["Kaspersky Lab"]

 

 

----------

This report excludes default entries except where indicated.

To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

----------

[queruak]

Rebonjour,

 

 

-Téléchrage EasyCleaner

http://personal.inet.fi/business/toniarts/ecleane.htm

N'utilise que la fonction Registre.

Supprime tout ce qu'il te propose.

 

-Redémarre normalement.

 

Lance Pocket KillBox,et dans la petite boite(sous Full Path of File to Delete) ,tu colles le chemin complet du fichier suivant

C:\wp.bmp

Coche le bouton"Delete on Reboot " .

Au méssage C:\wp.bmp will be Deleted on Next Reboot YES / NO

tu reponds par YES

Au méssage"File will be Removed on Reboot, Do you want to reboot now?"

Tu réponds par YES

 

-Tu redémarres en mode sans echec,et si le fichier wp.bmp est toujours présent,tu le supprimes(tu vides la corbeille ensuite)

 

-Redémarres et communique les résultats.

[jjboost]

je viens d'effectuer les dernières manipulations.

 

je n'ai même pas eu à re supprimer wp.bmp en mode sans echec, il a totalement disparu.

 

plus de popup, plus de messages pour les spyware, mon ordinateur a retrouvé sa vitesse de croisière et c'est plutôt très agréable.

 

me reste seulement le problème de l'image de fond d'écran sur le bureau à laquelle je n'ai pas accès. Lorsque je clique droit et fait propriété du bureau, je n'ai pas l'onglet "bureau", je n'ai que celui de "paramètre" et "écran de veille".??

 

en tout cas merci beaucoup pour votre dispo à tous et vos conseils très précieux.

[queruak]

Rebonjour,

 

-1-Télécharge les outils suivants

 

Ad-awareSE Bien mis à jour

http://www.lavasoft.de/support/download/#free

 

SpyBot-Search & DestroyBien mis à jour

http://spybot.safer-networking.de/fr/download/index.html

 

Lopremover

http://www.thespykiller.co.uk/files/lopremover.exe

 

-2-Redémarre en mode sans echec.

 

-3-Cherche et supprime les fichiers suivants.

 

.C:\bsw.exe<-le fichier

 

.C:\wp.exe<-le fichier

 

-4-Vide la corbeille.

 

-5-Redémarre en mode sans echec

 

-6-Examen avec SpyBot.

bien mis à jour;supprimer tout ce qu'il propose(meme les verts)

 

-7-Examen avec Ad-awareSE

bien mis à jour;supprimer tout ce qu'il propose

 

-08-Passe l'outil lopremover.exe

 

-09-Redémarre en mode sans echec

 

-10-Démarrer-->Exécuter-->Regedit-->OK

Naviguer jusqu'à

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

clic sur "system" pour la sélectionner, et à droite on voit des valeurs marquées.

clic droit sur la valeur "WallpaperStyle", supprimer la valeurWallpaper"=reg_sz:"c:\wp.bmp"

 

clic droit sur la valeur "NoDispBackgroundPage"-> modifier => entrer "00000000", sélectionne "hexadécimale", puis ok.

fermer le registre

 

-11-Redémarre.

 

Tiens nous au courant

[jjboost]

re re re re bonjour,

 

je viens de faire les différentes opérations. je n'ai pas supprimé la valeur wallpaper "=reg_sz:"c:\wp.bmp" tout simplement parceque avec un clique droit sur "wallpaperstyle" puis "modifier", la valeur était simplement à 0.

 

J'ai relancé et de nouveau je peux accéder à mon fond d'écran, l'onglet "bureau" est réapparu.

 

Je pense que je vais rapidement apposer en fond d'écran une image à la gloire des zebulonistes.

 

Plus de problème, tout baigne!

 

Merci encore.

[jjboost]

Tout tourne correctement à présent!

 

Merci beaucoup de votre aide, rapide, pro et claire, un vrai bonheur pour un junior!

[queruak]

Bonjour à tous,

re re re re bonjour,

je viens de faire les différentes opérations. je n'ai pas supprimé la valeur wallpaper "=reg_sz:"c:\wp.bmp" tout simplement parceque avec un clique droit sur "wallpaperstyle" puis "modifier", la valeur était simplement à 0.

re re re resalut !

Sois prudent quand meme,si jamais le probleme réapparait,tu dois carrément supprimer la valeur

 

Tout tourne correctement à présent!

Merci beaucoup de votre aide, rapide, pro et claire, un vrai bonheur pour un junior!

De rien,jjboost,j'ai été trés content de t'avoir aidé à résoudre ton probleme.

 

Je pense que je vais rapidement apposer en fond d'écran une image à la gloire des zebulonistes.

....du forum sécurité !!!

 

lol

 

Reviens quand tu veux,mais sans tes ...parasites.LOL

 

Apprends donc à mieux te protéger

 

- Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré

- antivirus bien paramétré et mis à jour regulierement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation ( pas de sites douteux:cracks,warez,sexe..) et vis à vis de la messagerie (fichiers joints aux messages doivent etre scanné avant d'etre ouvert)

- une attitude vigilante (etre l'affut de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware.

 

Pour en savoir plus,consulte la page de ipl_001 http://gerard.melone.free.fr/IT/IT-AM0.html

 

-Mets s'il te plait [Résolu] au titre de ton méssage

 

@+

Modifié le 2 mai 2005 par queruak

[ipl_001]

Bonsoir jjboost, queruak, bonsoir à tous,

 

jjboost, je me joins à toi pour féliciter queruak !

 

Je ne m'étalerai pas sur toutes les qualités de queruak car ce serait bien long mais je suis épaté par cette maitrise !

 

Les connaisseurs (et les infectés) peuvent apprécier !

 

Le domaine du Hijacking change sans cesse avec des progrès incessants de la part des pirates... eh bien, queruak parvient toujours à nettoyer !

Si vous regardez les discussions qui ont un grand nombre de posts, queruak est dans le coup car il est attiré par les problèmes complexes et fouille et décortique et scanne et analyse et pif - paf ! Adios les parasites !

 

Félicitations et merci pour ta patience et ton intelligence, queruak !

Quelle chance que tu sois membre de Zebulon !

[ipl_001]

Bonsoir nikos59160,

salut j'ai le meme probleme

495937[/snapback]

S'il te plaît, il te faut lancer une discussion séparée car il est important de réserver celle-ci au nettoyage de celui qui a poser le problème et ne pas brouiller, perturber la résolution !