problèmes de pubs récalcitrantes - rapport hijackthis RESOLU
Forum Sécurité - Virus : problèmes de pubs récalcitrantes - rapport hijackthis RESOLU
Bonjour,
Voilà, depuis quelques temps, j'ai plein de pubs qui apparaissent dès que je vais sur internet de type systemdoctor, navi-search et plein d'autres trucs qui me disent que mon ordinateur est plein de spy et qu'il faut que j'installe leur programme...J'ai donc effectuer un scan sur ewido, spybot, ccleaner, (en mode sans échec), j'ai viré tous les cookies, fichiers temp, vérifier qu'aucun programme malveillant se trouve dans mes dossier dans ajout et suppressions de programmes...bref, la totale!!
Je viens donc d'installer hijackthis dont voici le rapport...Dites mois ce que je dois virer SVP et si vous avez d'autres soluces!!!!
Merci beaucoup!!! Meilleurs voeux à tous
ogfile of HijackThis v1.99.1
Scan saved at 11:54:05, on 05/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\MulMouse.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Ensemble clavier et souris sans fil Labtec\OSD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\HIjackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Systran50premi.IEPlugIn - {9A0844DB-84CF-4440-BDB1-1F4F7C4F7FB0} - C:\Program Files\SYSTRAN\5.0\Premium\IEPlugIn.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SlowDownCPU] C:\WINDOWS\INF\MSI\SlowDownCPU\SlowDownCPU.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: Activer l'ensemble clavier et souris sans fil Labtec.lnk = C:\Program Files\Ensemble clavier et souris sans fil Labtec\MagicKey.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open and Translate in Word - res://C:\Program Files\SYSTRAN\5.0\Premium\IEShellExt.dll /10
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA8C11C5-6FFC-41F7-98D8-B1F3E26847D4}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Message édité par Vins57 le 07-01-2007 à 14:40:50
Salut ...
Télécharge Blacklight (de F-Secure).
Clique sur "I accept" au bas de la page. Sauvegarde le sur ton Bureau.
Double-clique sur blbeta.exe et accepte la licence.
Clique "Scan" puis "Next".
Tu verras une liste de fichiers détectés apparaître ainsi qu'un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie/colle le contenu de ce rapport dans ta prochaine réponse.
Attention : Ne pas choisir l'option "Rename" tout de suite : il faut analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe ...
Message édité par Mykerinos le 05-01-2007 à 13:00:21
Merci de ta réponse. voici le rapport
Que dois-je faire ensuite?
01/05/07 13:34:53 [Info]: BlackLight Engine 1.0.55 initialized
01/05/07 13:34:53 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/07 13:34:53 [Note]: 7019 4
01/05/07 13:34:53 [Note]: 7005 0
01/05/07 13:34:55 [Note]: 7006 0
01/05/07 13:34:55 [Note]: 7011 1700
01/05/07 13:34:55 [Note]: 7026 0
01/05/07 13:34:56 [Note]: 7026 0
01/05/07 13:34:56 [Note]: 7024 3
01/05/07 13:34:56 [Info]: Hidden process: C:\windows\system32\mkhsxcfr.exe
01/05/07 13:34:59 [Note]: FSRAW library version 1.7.1021
01/05/07 13:37:40 [Info]: Hidden file: c:\WINDOWS\system32\mkhsxcfr.dat
01/05/07 13:37:40 [Note]: 10002 1
01/05/07 13:37:41 [Info]: Hidden file: C:\windows\system32\mkhsxcfr.exe
01/05/07 13:37:41 [Note]: 10002 1
01/05/07 13:37:43 [Info]: Hidden file: c:\WINDOWS\system32\mkhsxcfr_nav.dat
01/05/07 13:37:43 [Note]: 10002 1
01/05/07 13:37:44 [Info]: Hidden file: c:\WINDOWS\system32\mkhsxcfr_navps.dat
01/05/07 13:37:44 [Note]: 10002 1
01/05/07 13:38:23 [Note]: 2000 1012
01/05/07 13:38:23 [Note]: 2000 1012
01/05/07 13:38:23 [Note]: 2000 1012
Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU).
Ouvre le bloc-notes (Demarrer > Tous les programmes > accessoires > bloc-notes).
Copie ceci (en gras) dans le bloc-notes :
RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mkhsxcfr
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mkhsxcfr
RegDelValue HKCU\Software\Microsoft\Windows\CurrentVersion\Run|mkhsxcfr
FileDelete %SYSDIR%\mkhsxcfr_navps.dat
FileDelete %SYSDIR%\mkhsxcfr_nav.dat
FileDelete %SYSDIR%\mkhsxcfr.dat
FileDelete %SYSDIR%\mkhsxcfr.exe
Ensuite, enregistre dans: C:\BFU
Nom du fichier : aftermath.bfu (attention! l'extension doit bien etre .bfu et pas autre chose)
Type de fichier : tous les fichiers
clique sur Enregistrer
Quitte le bloc-notes
Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : c:\bfu\aftermath.bfu
Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : c:\bfu\aftermath.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attends que "Complete script execution" apparaîsse et clique sur "OK".
Clique sur "Exit" pour fermer le programme BFU.
Poste un nouveau rapport Blacklight ...
Message édité par Mykerinos le 05-01-2007 à 14:38:49
Voici le rapport blacklight
01/05/07 16:42:31 [Info]: BlackLight Engine 1.0.55 initialized
01/05/07 16:42:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/07 16:42:31 [Note]: 7019 4
01/05/07 16:42:31 [Note]: 7005 0
01/05/07 16:42:33 [Note]: 7006 0
01/05/07 16:42:33 [Note]: 7011 1700
01/05/07 16:42:33 [Note]: 7026 0
01/05/07 16:42:33 [Note]: 7026 0
01/05/07 16:42:33 [Note]: 7024 3
01/05/07 16:42:33 [Info]: Hidden process: C:\windows\system32\mkhsxcfr.exe
01/05/07 16:42:37 [Note]: FSRAW library version 1.7.1021
01/05/07 16:45:22 [Info]: Hidden file: c:\WINDOWS\system32\mkhsxcfr.dat
01/05/07 16:45:22 [Note]: 10002 1
01/05/07 16:45:23 [Info]: Hidden file: C:\windows\system32\mkhsxcfr.exe
01/05/07 16:45:23 [Note]: 10002 1
01/05/07 16:45:25 [Info]: Hidden file: c:\WINDOWS\system32\mkhsxcfr_nav.dat
01/05/07 16:45:25 [Note]: 10002 1
01/05/07 16:45:26 [Info]: Hidden file: c:\WINDOWS\system32\mkhsxcfr_navps.dat
01/05/07 16:45:26 [Note]: 10002 1
01/05/07 16:46:07 [Note]: 2000 1012
01/05/07 16:46:07 [Note]: 2000 1012
01/05/07 16:46:07 [Note]: 2000 1012
01/05/07 16:46:27 [Note]: 7007 0
Bonjour,
On reprend car tu es toujours infecté !!
La procédure est longue et en partie en mode sans échec. Attention, tu n'as pas accès à Internet dans ce mode, enregistre cette page Web (clique sur fichier/enregistrer sous/choisis « Bureau ») ou imprime ce que tu as à faire.
Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
Ensuite :
Ouvre le Bloc-Notes et copie-colle les lignes en rouge ci-dessous :
RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mkhsxcfr
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mkhsxcfr
FileDelete %SYSDIR%\mkhsxcfr_navps.dat
FileDelete %SYSDIR%\mkhsxcfr_nav.dat
FileDelete %SYSDIR%\mkhsxcfr.dat
FileDelete %SYSDIR%\mkhsxcfr.exe
FileDelete %WINDIR%\PREFETCH\mkhsxcfr.exe*.pf
SystemEmptyTempFolder
SystemEmptyRecycleBin
FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0
Sauvegarde dans le dossier créé (C:\BFU) (Nom du fichier : "Fixme.bfu" -sans inclure les guillemets- ; Type : Tous les fichiers).
Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU\ : Fixme.bfu et BFU.exe.
Redémarre en mode Sans Échec
(au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée.
Choisis ton compte usuel (et non Administrateur).
Si tu n’arrives vraiment pas à redémarrer en mode sans échec je te propose ce lien :
Redémarrer en mode sans échec
Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU\)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur le fichier : Fixme.bfu
- Dans la boîte Scriptline to execute, tu devrais maintenant voir ceci : C:\BFU\Fixme.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.
Ensuite redémarre normalement et poste :
- le rapport de Brute Force Uninstaller situé ici : C:\egd.txt
Message édité par bob_ le 05-01-2007 à 17:02:28
merci de ta réponse. voici le rapport
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\GestMaj.exe TaskBarIcon.exe"
"SW24"="C:\\WINDOWS\\system32\\sw24.exe"
"SW20"="C:\\WINDOWS\\system32\\sw20.exe"
"SlowDownCPU"="C:\\WINDOWS\\INF\\MSI\\SlowDownCPU\\SlowDownCPU.exe"
"nwiz"="nwiz.exe /install"
"NWEReboot"=""
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SoundMAXPnP"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="\"C:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
J'ajoute le rapport blacklight :
01/05/07 19:33:11 [Info]: BlackLight Engine 1.0.55 initialized
01/05/07 19:33:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/05/07 19:33:11 [Note]: 7019 4
01/05/07 19:33:11 [Note]: 7005 0
01/05/07 19:33:13 [Note]: 7006 0
01/05/07 19:33:13 [Note]: 7011 1840
01/05/07 19:33:13 [Note]: 7026 0
01/05/07 19:33:14 [Note]: 7026 0
01/05/07 19:33:21 [Note]: FSRAW library version 1.7.1021
01/05/07 19:36:31 [Note]: 2000 1012
01/05/07 19:36:31 [Note]: 2000 1012
01/05/07 19:36:31 [Note]: 2000 1012
01/05/07 19:36:41 [Note]: 7007 0
Il y a 394 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
