des fenêtres intempestives qui s'ouvrent tjs (RESOLU)

slt je vais te donner les meme conseil que je donne a chaque fois => telecharge avast et Ad-Aware SE Personal v 1.06 ils sont tous les deux gratuit et protege trés bien ton pc (reuni les 2 ligne de liens ^^)

ici pour avast
http://www.01net.com/telecharger/windows/Securite/
antivirus-antitrojan/fiches/25899.html

et là pour ad-aware =>
http://www.01net.com/telecharger/windows/Securite/
anti-spyware/fiches/11643.html

ad-aware a une version dite "d'evaluation" gratuite et sans date d'éssai
la version pro est payante et soit disant plus puissante mais la version d'eval suffit (et si se n'est pas le cas active ton pare-feu) lance ces 2 logiciel l'un aprés l'autre pour faire des scan et nettoyer un peu ton pc (des fois avast n'arrive pas a suprimer un virus; c'est rien => il redemarre ton ordi et lance un autre scan mais cette fois sans faire tourner aucun logiciel; en general les virus n'y resiste pas) le petit peut retourner sur l'ordi ^^ ciao

mon antivirus c'est avast et j'ai ad aware déjà : ma dernière analyse date de ce matin et ça n'a rien trouvé !

Bonsoir,

Merci de suivre ces instructions.

1/ Télécharge et installe CCleaner

2/ Télécharge et installe AVG Anti-Spyware
Mets-le à jour (Bouton "Mise à jour" en haut puis bouton "Commencer la mise à jour")

-------------------------------------------------------------------------

3/ Télécharge Brute Force Uninstaller (de Merijn).
Crée un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :
- Ouvre le poste de travail
- Double-clic sur le disque C
- Menu Fichier en haut puis Nouveau et nouveau dossier
- Tapez BFU dans le nom du nouveau dossier

Décompresser le fichier téléchargé dans ce nouveau dossier (C:\BFU)

4/ Ensuite :
FAIS UN CLIC-DROIT >>ICI<< et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).
Sauvegarde-le dans le dossier créé (C:\BFU\).
ATTENTION : si tu utilises Internet Explorer, lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU\ : EGDACCESS.bfu et BFU.exe.

5/ Ensuite :

Ouvre le Bloc-Notes et copie-colle les lignes en rouge ci-dessous :

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ewbmrf
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|ewbmrf
FileDelete %SYSDIR%\ewbmrf_navps.dat
FileDelete %SYSDIR%\ewbmrf_nav.dat
FileDelete %SYSDIR%\ewbmrf.dat
FileDelete %SYSDIR%\ewbmrf.exe
FileDelete %WINDIR%\PREFETCH\ewbmrf.exe*.pf

SystemEmptyTempFolder
SystemEmptyRecycleBin

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu" -sans inclure les guillemets- ; Type : Tous les fichiers).

Important : Tu dois maintenant avoir trois fichiers dans le dossier C:\BFU\ : EGDACCESS.bfu Fixme.bfu et BFU.exe.

-------------------------------------------------------------------------

6/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU\)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur le fichier : EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

Redémarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU\)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur le fichier : Fixme.bfu

- Dans la boîte Scriptline to execute, tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

-------------------------------------------------------------------------

7/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage

8/ Lance AVG Anti-Spyware :
Bouton Analyse
Clique sur l'onglet Paramètres
Clique sur "Actions Recommandées" et sélectionne Quarantaine
Revient à l'onglet Analyser
Clique sur "Analyse complète du système".
A la fin du scan, choisis l'option "Appliquer toutes les actions" en bas.
Clique sur "Save Report", puis "Save Report As" afin de sauvegarder le rapport sur le bureau.
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous..." afin de sauvegarder le rapport sur le bureau.

-------------------------------------------------------------------------

9/ Ensuite redémarre normalement puis poste :
- le rapport de Brute Force Uninstaller situé ici : C:\egd.txt
- le rapport de AVG Anti-Spyware.
- un nouveau rapport HijackThis
- un nouveau rapport F-Secure Blacklight

ha d'accord ^^ et avec avast tu as éssayé de faire un scan au demarage ? si tu me dit qu'il ne trouve rien avec un scan au demarage c'est que t'a un virus super puissant et programmer par un expert du piratage felicitation lol ^^ (style Nixem-E) ou bien que ton pb ne vient pas d'un virus mais d'un spyware ou autre saloperie de se genre éssai 2 ou 3 anti-spyware (AVG Anti-Spyware 7.5 par exemple)

Bonsoir fushichou,

il s'agit d'une infection de type EGDAccess associée à un rootkit...

Bonsoir,

Tout d'abord je voulais te demander qq trucs :
- F8 ne fonctionne pas, il a fallu que je passe par msconfig/boot-in/safeboot
- en mode sans échec, il a fallu que je selectionne un utilisateur : mon nom ou administrateur => c'est byzarre, je n'ai qu'une session sur le PC ?
- en scannant avec ccleaner, est apparue un cookie mon nom@recolte-v2.banquepopulaire.fr : ça m'inquiètes d'autant plus que c'est ma banque et que je suis mes comptes sur le net est-ce grave ?

Maintenant je te copie/colle les rapports que tu m'as demandé :

Brite Force Uninstaller

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKey"="C:\\WINDOWS\\Twain_32\\SlimU2\\HotKey.exe"
"LogitechVideoRepair"="C:\\Program Files\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Program Files\\Logitech\\Video\\LogiTray.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

AVG

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 22:30:41 11/11/2006

+ Résultat de l'analyse:



HKU\.DEFAULT\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-18\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1715567821-789336058-1801674531-1003\Software\New.net -> Adware.NewDotNet : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf\Security -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en quarantaine).
HKLM\SYSTEM\CurrentControlSet\Services\vspf_hk\Security -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1715567821-789336058-1801674531-1003\Software\WinAntiVirus Pro 2006 -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en quarantaine).
HKU\S-1-5-21-1715567821-789336058-1801674531-1003\Software\WinAntiVirus Pro 2006\Settings -> Adware.WinAntiVirus : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 22:47:28, on 11/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\wuauclt.exe
d:\Mes documents\pub\scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

F-Secure Blacklight

11/11/06 22:56:05 [Info]: BlackLight Engine 1.0.47 initialized
11/11/06 22:56:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/11/06 22:56:05 [Note]: 7019 4
11/11/06 22:56:05 [Note]: 7005 0
11/11/06 22:56:09 [Note]: 7006 0
11/11/06 22:56:09 [Note]: 7011 1528
11/11/06 22:56:09 [Note]: 7026 0
11/11/06 22:56:10 [Note]: 7026 0
11/11/06 22:56:18 [Note]: FSRAW library version 1.7.1020
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:01:03 [Note]: 2000 1012
11/11/06 23:09:23 [Note]: 7007 0

En attendant tes prochains conseils, je te remercie. ...

essaie Ashampoo...voir la procedure :
http://www.malekal.com/Adware.Magic_Control.html

- sur certain PC c'est F5
- en mode sans échec tu as le ou les utilisateurs + l'administrateur : c'est normal
- le cookie de ta banque est normal (il a été créé "par ta banque" lors d'une visite sur le site de ta banque)

Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKCU\..\Run: [messengerskinner] C:\Program Files\MessengerSkinner\MessengerSkinner.exe

et supprime ce dossier si présent :
C:\Program Files\MessengerSkinner\

as-tu encore des dysfonctionnements ?

j'ai fait tout ce que tu m'as dit et suis allée ensuite naviguer sur internet : c'est génial aucune fenêtre ne s'est ouverte
Si cela venait à se reproduire, j'applique la même procédure mais comment savoir quoi supprimer ? De plus, ma belle soeur a le même souci (cela peut il venir de messenger skinner que l'on a télécharger : c'est une barre qui permet d'avoir des émoticons supplémentaires dans msn et outlook)
En tous les cas, je te remercie pour avoir résolu mon problème rapidement et efficacement ...

l'installation de MessengerSkinner introduit l'infection EGDAccess responsable des fenêtres intempestives.

et le fait de le désinstaller suffit à éliminer l'infection ou il faut suivre la précédente procédure ? (pour ma belle soeur)
+ dernière question : ou dois-t-on marqué pb résolu
Bonne journée à toi et merci pour le temps que tu consacres aux personnes qui comme moi n'y connaissent rien !

Désinstaller MessengerSkinner ne suffit pas
elle peut essayer ça :
http://www.malekal.com/Adware.Magic_Control.html

pour ajouter Résolu :
sur ton premier post, tu cliques sur le bouton "Editer le message" et tu modifies le titre du sujet

Bonjour Esteban54,

J'ai installé messenger skinner   et j'ai aussi ce problème de fenêtres intempestives, j'ai alors suivi ta procédure, mais rien n'y fait j'ai encore ces fichues fenêtres...

Par exemple, quand j'ai lancé HiJackThis, il n'y avait pas les lignes à supprimer.

J'ai aussi essayer netlog1 qui lui a trouvé messenger skinner et l'a supprimé si j'ai bien compris...mais j'ai encore les fenêtres!

J'en peux plus! Que dois-je faire?

Merci d'avance pour ta réponse!

Euh...tu as vu la date du sujet ?

Non je n'avais pas fait attention, mais normalement ce n'est pas ça qui importe non?

Cela ne sert à rien de créer une nouvelle discussion, puisque l'on est en plein dedans avec celui là... Je croyais que c'était la règle pour tout forum...

Si, chacun son sujet. Chaque cas est différent et depuis deux ans, les choses ont bien changé.