KioskeaKioskeaCommentCaMarcheInscrivez-vous, c'est gratuit !
Vendredi 4 juillet 2008 - 17:13:24
Ils ont besoin de votre aide Tous les messages sans réponse
Les règles à respecter
 Réserver un accueil cordial aux nouveaux utilisateurs.
 Poster son message dans le thème le plus approprié.
 Respecter la législation en vigueur.
 Faire usage de formule de politesse et échanger avec courtoisie.
 Ne pas poster de message à vocation commerciale.
 Rédiger les messages dans un langage clair sans abréviations, style télégraphique ou mode SMS
Le cas échéant, expliquer de manière pédagogique les règles du forum
Lire le texte complet de la charte
fond d'écran parasite...
par poctoy
 Fil de Discussions
Statut : Non résolu
dimanche 10 juillet 2005 à 18:55:39
bonjour,
depuis hier j'ia une pub pour un antivirus qui se met dès l'uvertue de l'ordi en fond d'écran, ce qui freine d'ailleurs la mise en route. Je n'arrive pas à l'enlever, même en allant sur le site où on vous sugère gentiment d'acquérir les droits pour 60$. J'ai utilisé ad-awre, l'antispyware de microsoft, spybot, et un hijackthis que j'ai exploité comme j'ai pu. Mais rien à faire, il squat mon ordi. qq'un a t-il une suggestion?
merci.
A+
poctoy
Répondre à poctoy  Signaler ce message aux modérateurs Aller au dernier message
32 réponses 12

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par jean38, le dimanche 10 juillet 2005 à 19:01:33 Fil de Discussions
salut

imprime cette manip et suit la.


A/ si tu ne les as pas, telecharge:

Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) execute cleanup40.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

redemarre
telecharge hijackthis:
http://www.merijn.org/files/hijackthis.zip
Dezippe le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lance le puis:
clic sur "do a system scan and save logfile" et pas autre chose
fais un copier coller du log entier ici.

aide en image:(Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm


A+

Jean
   
Répondre à jean38

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par poctoy, le dimanche 10 juillet 2005 à 20:09:11 Fil de Discussions
ok merci, j'essaie tout ça et je te tiens au courant...
A+
poctoy
   
Répondre à poctoy

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par poctoy, le dimanche 10 juillet 2005 à 21:43:39 Fil de Discussions
salut jean 38,

j'ai fait toutes les manips, il y a du mieux, cad que le texte et l'image et le fond d'écran ont disparu, mais à la place j'ai une image toute blanche de la même taille que l'image précédente. Mes icônes apparaissent tout de même.

je n'ai pas pu utiliser a2, ma "licence" gratuite a expiré...
qd au résultat du scan hijackthis, le voici.
Logfile of HijackThis v1.99.1
Scan saved at 21:35:55, on 10/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\LightSurf\Common\IconMgr.exe
C:\Program Files\LightSurf\Colorific\hgcctl95.exe
C:\Program Files\LightSurf\Color Indicator\TICIcon.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe
O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Lyad] C:\PROGRAM FILES\EMULE\lyrod.exe autostart
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LightSurf.lnk = C:\Program Files\LightSurf\Common\IconMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~3\Office\1036\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.c­ab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


j'ai fait une évaluation sur ce site : http://hijackthis.de/index.php?langselect=french

et a priori rien de suspect...

as-tu des commentaires à y faire? et sai-tu comment me débarasser de ce carré blanc en fond d'écran????
merci
A+
poctoy
   
Répondre à poctoy

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par moe31, le dimanche 10 juillet 2005 à 21:47:35 Fil de Discussions
salut

telecharge ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
lance le est choisis l'option 1
poste le rapport

pour ton fond d'écran:
vérifie ceci:

Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif

a+
   
Répondre à moe31

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par poctoy, le dimanche 10 juillet 2005 à 21:51:57 Fil de Discussions
salut,

après cette manip, sur la fenêtre web je n'ai rien, cad je n'ai pas la coche "ma page d'accueil"...

???
A+
poctoy
   
Répondre à poctoy

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par moe31, le dimanche 10 juillet 2005 à 21:53:55 Fil de Discussions
ca doit etre comme sur l'image à moins que tu n'utilise une page web comme fond d'écran.
tu essayé de remettre un fond d'ecran ?
   
Répondre à moe31

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par poctoy, le dimanche 10 juillet 2005 à 21:59:32 Fil de Discussions
voici le rapport de smirtfraudfix :
SmitFraudFix v0.7

Rapport fait à 21:55:17,75 le 10/07/2005
Executé à partir de C:\Documents and Settings\client\Bureau
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

A+
poctoy
   
Répondre à poctoy

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par jean38, le dimanche 10 juillet 2005 à 22:03:37 Fil de Discussions
et bien si rien de suspect, commence par faire çà :

merci au robot d'analyse lol

A/ si tu ne les as pas, telecharge:

Ad-Aware SE 1.06
http://www.lavasoftusa.com/software/adaware/
Spybot S&D 1.4
http://www.safer-networking.org/fr/index.html
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

puis Clean Up 40 :
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci a Balltrap34)
http://pageperso.aol.fr/balltrap34/democleanup.htm
ne les utilise pas tout de suite

idem si tu ne l’as pas A2 free sur http://www.emsisoft.net/fr/software/download/

met à jour spybot, ad aware et a2 free sur internet (tu trouves l’option dans les menus) mais ne lance pas les scan.

1) clic droit sur poste de travail
propriété
restauration systeme
coche desactivé puis appliquer

2) demarrer
panneau de configuration
outil
option des dossiers
affichage,
coche afficher dossier cachés
decoche : masquer extension des fichiers dont le type est connu
masquer les fichiers protégés du systeme d'exploitation.

3) demarre en mode sans echec.
Soit tu tapotte sur la touche F8 alancement de Windows et tu choisi sans echec (pas d’inquiétude pour l’aspect de l’ecran)

4) lance hijack, ferme le bloc note et coche les cases devant les lignes, à la fin valide à l’aide du bouton fix checked:

O4 - HKLM\..\Run: [MSTCPDLL] bingo9.exe

O4 - HKLM\..\Run: [PrcIdle] ERTYDF.exe

O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll

O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll

O9 - Extra button: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)

O9 - Extra 'Tools' menuitem: Corel Consistency checker - {D0F0726A-848D-4329-8091-4592FE2581AF} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (Image Uploader 3.0 Control) - http://www2.photoweb.fr/albums/telechargement-photoweb.cab
O
16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.c­ab

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab

O16 - DPF: {92E7E45A-D8C8-480E-AF99-176E43997CAA} (Aurigma Image Uploader 3.0 Combo Control) - http://www.pixdiscount.lu/clients/ImageUploader3.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader_sp1/imloader.cab


5) supprime les fichiers

bingo9.exe
ERTYDF.exe
C:\WINDOWS\System32\iegfxfrw.dll


6) execute cleanup40.exe

tu relances tes scan ad aware
puis spy boot
puis a2 free
et vire tout ce qu'ils trouvent (c'est un peu long mais tu devrais t'en sortir).

vide ta poubelle et redemarre en mode normal, c'est à dire avant de redemarrer, tu refais les manip de départ (1) et (2) mais en recochant ... pour retrouver la config de départ.

redemarre

refait un log et moe verra la suite s'il veut bien

A+
   
Répondre à jean38

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par moe31, le dimanche 10 juillet 2005 à 22:06:45 Fil de Discussions
salut

rajoute celle ci aussi:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3429ACA-8A70-460A-ADFF-D54C6F5A0245}: NameServer = 69.50.176.196 195.225.176.110
   
Répondre à moe31

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par jean38, le dimanche 10 juillet 2005 à 22:15:38 Fil de Discussions
je crois que je vais aller me coucher, je l'avais mise sur mon papier et pas recopier.

Vacances J-3
   
Répondre à jean38

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par moe31, le dimanche 10 juillet 2005 à 22:16:52 Fil de Discussions
les 3 derniers c'est les plus long, lol mais plus tres longtemps à tenir...
   
Répondre à moe31

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par jean38, le dimanche 10 juillet 2005 à 22:18:24 Fil de Discussions
t'inquiete pas tu auras le decompte jour par jour.

j'aurais une petite pensée pour vous tous au fonds du desert... trop bon.
   
Répondre à jean38

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par moe31, le dimanche 10 juillet 2005 à 22:19:54 Fil de Discussions
veinard !!!

c'est original le desert, mais quel calme !
   
Répondre à moe31

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par poctoy, le lundi 11 juillet 2005 à 20:50:08 Fil de Discussions
salut,

qq infos, désolé elles prennent de la place mais y’à des trucs que je pige pas du tout :

1) voici ce que j'ai comme propriété lorsque je fais un clic droit sur ma "fameuse" image blanche en fond d'écran :
file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html

2) par ailleurs, il semble que mes paramètres généraux aient été modifiés avec ttes ces manips. par exemple dans le panneau de configuration "affichage", je n'ai plus que 2 onglets "écran de veille" et "paramètres", autrement dit je ne peux plus personnaliser ni le fond d'écran, ni l'écran de veille, ni vérifier la configuration de mon fond d'écran comme tu me le disais dans un message précédent dans l'onglet "web"...

3) peut-être une info intéressante : qd je fais clic droit sur mon image blanche et que je fais « source », voici ce que j’ai :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----
***** This file is automatically generated by Microsoft Windows *****
--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY bgColor=#0102ac>
<DIV
style="BACKGROUND: url(file:///C:/WINDOWS/System32/wp.bmp) no-repeat 50% 50%; LEFT: 0px; WIDTH: 1280px; POSITION: absolute; TOP: 0px; HEIGHT: 1024px"></DIV><IFRAME
id=0
style="Z-INDEX: 9996; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 1px; HEIGHT: 768px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:/DOCUME~1/client/LOCALS~1/Temp/bcdb4a5bc.html" frameBorder=0
subscribed_url="C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html"
resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 9995; LEFT: -1px; VISIBILITY: hidden; WIDTH: 1026px; POSITION: absolute; TOP: 0px; HEIGHT: 770px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT> 
</BODY></HTML>

où ça parle semble t-il d’une tâche lancé automatiquement par XP, et où on retrouve le fichier file://C:\DOCUME~1\client\LOCALS~1\Temp\bcdb4a5bc.html…

mais dans tt ça je pige pas grand chose….

4) j’ai essayé de virer comme tu le dis bingo9.exe et ertydf.exe, mais le pb ce qu’après avoir fait une recherche sur mon poste de travail, il n’a pas trouvé de fichiers correspondants (en revanche j’ai bien viré le troisième C:\WINDOWS\System32\iegfxfrw.dll). J’ai alors fait une recherche sur les fichiers contenant ces textes, et voici ce que j’obtiens :

pour bingo9.exe, 2 fichiers contiennent ce texte tous deux sous le répertoire C:\WINDOWS\PCHealth\HelpCtr\DataColl, ce sont les fichiers CollectedData_3703 et CollectedData_5532. Ce sont des fichiers de type XML ( ?), en ouvrant le premier voici ce que j’ai (c’est là que c’est long, oups…) :
<?xml version="1.0" encoding="unicode" ?>
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">"C:\Program Files\WareOut\WareOut.exe"</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\­Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">WareOut</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>"C:\Program Files\WareOut\WareOut.exe"</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\C­urrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>WareOut</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">bingo9.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEY­VALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">MSTCPDLL</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>bingo9.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>MSTCPDLL</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">Bogobot.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\­Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">xsetup</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>Bogobot.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\C­urrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>xsetup</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">ERTYDF.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEY­VALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">PrcIdle</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">All Users</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>ERTYDF.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>PrcIdle</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>All Users</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">hyandex.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\­Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">cnftips</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>hyandex.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\C­urrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>cnftips</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
<HOST>WINDOWSXP</HOST>
- <LOCALNAMESPACEPATH>
<NAMESPACE NAME="root" />
<NAMESPACE NAME="cimv2" />
</LOCALNAMESPACEPATH>
</NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
<KEYVALUE VALUETYPE="string">PrcIdle.exe</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Location">
<KEYVALUE VALUETYPE="string">HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\­Microsoft\Windows\CurrentVersion\Run</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="Name">
<KEYVALUE VALUETYPE="string">stuffmon</KEYVALUE>
</KEYBINDING>
- <KEYBINDING NAME="User">
<KEYVALUE VALUETYPE="string">WINDOWSXP\client</KEYVALUE>
</KEYBINDING>
</INSTANCENAME>
</INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
<VALUE>PrcIdle.exe</VALUE>
</PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
<VALUE>HKU\S-1-5-21-796845957-1770027372-839522115-1004\SOFTWARE\Microsoft\Windows\C­urrentVersion\Run</VALUE>
</PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
<VALUE>stuffmon</VALUE>
</PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
<VALUE>WINDOWSXP\client</VALUE>
</PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
<VALUE>New</VALUE>
</PROPERTY>
</INSTANCE>
</VALUE.OBJECTWITHPATH>
</DECLGROUP.WITHPATH>
</DECLARATION>
</CIM>

voilà c’est tout !!!
mais on trouve effectivement des lignes avec les deux fichiers que tu m’as conseillé de virer.

Qu’est-ce que je fais ? je vire les 2 fichiers XML ???

Voilà voilà, désolé d’abuser, mais c’est un peu agaçant ce genre de parasites, mais tu vois que malgré mes faibles connaissances en informatique, j’essaie de fouiller et de comprendre…. J
J'essaie d’abord de relancer tout ça après mon hijckthis et je te tiens au jus...

A+
poctoy
   
Répondre à poctoy

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par jean38, le dimanche 10 juillet 2005 à 22:34:25 Fil de Discussions
et comme disent les touareg

çà bosse çà bosse...wouarf

bon c'est la fin je craque....
   
Répondre à jean38

16


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par moe31, le lundi 11 juillet 2005 à 21:06:13 Fil de Discussions
salut

bien joué, on apprend pas mal de choses dans ce que tu as trouvé

recherche et supprime ces fichiers s'ils existent:

C:\Program Files\WareOut
bingo9.exe
ERTYDF.exe
hyandex.exe

personnellement je virerais pas les fichiers xml, j'en ai aussi dans le meme dossier, c'est peut etre juste des traces d'install.

reposte un hijack et un log de smitfraudfix option 1

a+
   
Répondre à moe31

17


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Par poctoy, le lundi 11 juillet 2005 à 22:49:11 Fil de Discussions