Pub indésirables

[bibi26]

Bonjour bena,

 

Tu dis avoir passer un scan ewido, antivir et avoir suivi la procédure de megataupe ? Bien, commençons la procédure, si tu as une question, n'hésite pas à la poser

 

Sauvegarde la procédure dans un fichier car tu n'auras pas accès à internet pendant une certaine partie !

 

1-Télécharger SmitFraudFix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézippe le contenu du fichier zip au COMPLET dans un dossier. Ne l'exécute pas tout de suite !

Il est possible que ton anti-virus te dis qu'il s'agit de virus, ceci est FAUX !! SmitFraudFix contient un logiciel nommé process.exe qui permet de mettre fins à des processus, entre de mauvaises mains, ce logiciel pourrait être utiliser à de mauvaises fins, d'où l'alerte émises par certains anti-virus !!

 

 

2-Va dans Démarrer, Panneau de configuration et sur Ajout/Supression de programmes. Désinstalle le programme suivant (si tu ne le trouve pas, ce n'est pas grave, continue quand même le reste de la procédure) :

-EoRezo (ou tout autre logiciel fesant partie de la collection EoRezo) : Après plusieurs recherches, beaucoup d'utilisateurs se sont plaint d'avoir des pubs après l'installation de EoRezo...

 

 

3-Redémarre ton ordinateur en mode sans échec, pour cela, redémarre ton ordinateur, dès le redémarrage de l'ordinateur, appuie plusieurs fois sur le bouton "F8" de ton clavier et un menu va apparaître. Avec les touches de ton clavier, sélectionne "Mode sans échec" et appuie sur le bouton "Entrer" de ton clavier. Tu n'as pas accès à internet dans ce mode

 

 

4-Ouvre hijackthis et clique sur "do a system scan only". Coche les lignes suivantes (il se peut que certaines lignes ailles disparues, ce n'est pas grave) :

 

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab

 

Après, assure toi que toutes les fenêtres sont fermées (sauf celle de hijackthis) et clique sur "Fix Checked". Ferme hijackthis !

 

 

5-Clique sur le bouton Démarrer, clique sur Poste de travail, regarde un peu en haut, tu vas voir un menu qui s'apelle Outils, clique dessus et après sur Options des dossiers et clique sur l'onglet Affichage :

Sélectionne : Afficher les fichiers et dossiers cachés

Décoche : Masquer les extensions des fichiers dont le type est connu

Décoche : Masquer les fichiers protégés du système d'exploitation

Puis clique sur "Ok"

 

 

6-Supprime le dossier suivant (si tu le trouve) :

C:\Program Files\eoRezo

 

 

7-Va dans le dossier où tu as mis SmitFraudFix, double-clique sur smitfraudfix.cmd, tape 1 et appuie sur le bouton "Entrer" de ton clavier. Un log va être sauvegarder ! Après, tape 2 et appuie sur le bouton "Entrer" de ton clavier ! Un autre log va être générer et sauvegarder, garde-le lui aussi ^^

 

 

8-Redémarre ton ordinateur en mode normal, fait un nouveau log hijackthis et poste dans ton prochain post :

-Le rapport hijackthis

-Le rapport SmitFraudFix (avec l'option 1)

-Le rapport SmitFraudFix (avec l'option 2)

 

Et dis moi si tu as encore des problèmes de pubs !

 

À bientôt

 

PS : Charles ingals m'a fait signaler que la ligne 016 de mailskinner est surement associé à Edgaccess, c'est peut-être juste une trace qui reste (à mon avis ), après la procédure, on fera autre chose pour voir si Edgaccess ce cache

Modifié le 19 mai 2006 par bibi26

[bena]

Merci à tous les deux pour vos réponses et votre aide. Pour l'instant les pub ont l'air d'avoir disparues. Voici les nouveaux logs :

 

HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 13:37:10, on 19/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe

C:\WINDOWS\System32\00THotkey.exe

C:\WINDOWS\system32\TFNF5.exe

C:\Program Files\Apoint2K\Apoint.exe

C:\WINDOWS\system32\TPWRTRAY.EXE

C:\WINDOWS\LTSMMSG.exe

C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft Money\System\mnyexpr.exe

C:\Program Files\Apoint2K\Apntex.exe

C:\WINDOWS\system32\RAMASST.exe

C:\Corel\Graphics8\Programs\MFIndexer.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe

O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.30\WlanCU.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {3a4f9191-65a8-11d5-85c1-0001023952c1} (TE) - http://www.skylinesoft.com/interactive/ter.../install/TE.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2B61FE0C-61E8-40F0-9ED9-E938705D4CC6}: NameServer = 212.27.32.5,213.228.0.168

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

 

_____________________________________________________

 

SmitFraudFix v2.45

 

Rapport fait à 13:11:18,15, 19/05/2006

Executé à partir de D:\Temp\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\AgnŠs Chaumeil\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AGNÈSC~1\FAVORIS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

_____________________________________________________

 

SmitFraudFix v2.45

 

Rapport fait à 13:13:15,19, 19/05/2006

Executé à partir de D:\Temp\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[bibi26]

Bonsoir Bena,

 

Tu peux supprimer SmitFraudFix !

 

Télécharge Blacklight et sauvegarde le sur ton Bureau

 

Double-clique sur blbeta.exe et accepte la licence (i accept the agreement), puis clique sur "Next"

 

Clique sur "scan" et attends que l'analyse se termine ! Après que l'analyse soit terminer, ne clique PAS sur "Next" mais sur "Close"

 

Après, tu verras un rapport sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ton prochain post !

 

À bientôt

Modifié le 19 mai 2006 par bibi26

[bena]

Bonsoir bibi26, voici le rapport de Blacklight (pas très causant) :

 

05/21/06 23:46:56 [info]: BlackLight Engine 1.0.36 initialized

05/21/06 23:46:56 [info]: OS: 5.1 build 2600 (Service Pack 2)

05/21/06 23:46:56 [Note]: 7019 4

05/21/06 23:46:56 [Note]: 7005 0

05/21/06 23:47:06 [Note]: 7006 0

05/21/06 23:47:06 [Note]: 7011 192

05/21/06 23:47:06 [Note]: 7026 0

05/21/06 23:47:06 [Note]: 7026 0

05/21/06 23:47:15 [Note]: FSRAW library version 1.7.1015

05/21/06 23:47:29 [Note]: 2000 1006

05/21/06 23:47:49 [Note]: 7007 0

 

A+ de te lire

[Thanos]

salut bena

 

Ne voyant pas bibi, je m'incruste deux secondes pour te répondre!

Blacklight n'a rien trouvé, tant mieux! Egdaccess n'a pas l'air d'être là!

bibi te le demandera surement:

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

@+ tard

Modifié le 21 mai 2006 par charles ingals

[bibi26]

Bonsoir à tous,

 

Ah mais Charles, tu lis dans mes pensées toi

[bena]

Bonjour à tous, voila le rapport du Panda :

 

__________________________________________________________________________________

 

Incident Statut Analyse

 

Adware:adware/navipromo No Désinfecté c:\windows\system32\pwcjbt_navps.dat

Outil indésirable:application/mailskinner No Désinfecté c:\program files\MailSkinner

Adware:adware/navhelper No Désinfecté Registre Windows

 

__________________________________________________________________________________

 

 

Bonne analyse, A+

[bibi26]

Bonjour à toi bena,

 

1)Supprime le fichier suivant :

 

C:\windows\system32\pwcjbt_navps.dat

 

2)Va dans "Démarrer", "Panneau de configuration" et "Ajout supression de programmes". Cherche MailSkinner et désinstalle-le !! (si tu le trouves)

 

3)Supprime le dossier suivant :

 

C:\program files\MailSkinner

 

4)Fait un nouveau log hijackthis et poste-le

[Thanos]

salut bibi ,bena

 

Allez,dernière incruste je vous promet (tu m'excuseras bibi )

Je suis étonné de voir le résultat de Panda alors que Blacklight n'a rien vu

 

J'aimerai juste que tu t'assures d'une chose bena:

 

bibi te demande d'éliminer ce fichier: C:\windows\system32\pwcjbt_navps.dat

en même temps, regarde si tu trouves ceux là et élimine les aussi=>

 

C:\Windows\System32\pwcjbt.exe

C:\Windows\System32\pwcjbt.dat

C:\Windows\System32\pwcjbt_nav.dat

C:\Windows\System32\msclock32.dll

C:\Windows\System32\msplock32.dll

 

si tu ne parviens pas à le faire en mode normal, fais le en mode sans échec!

Si tu ne vois pas ces fichiers:Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

Voilà, @+

Modifié le 22 mai 2006 par charles ingals

[bibi26]

Bonjour charles,

 

Remarque, j'étais aussi étonné que toi pour blacklight