Flux rss
Ils ont besoin de votre aide
Collection CommentCaMarche.net
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
78 réponses 1234 Suivant
Statut : Résolu

Fenetres de pub intempestives "New Offer"

super_nem, le vendredi 10 novembre 2006 à 15:04:20
Bonjour,

ca fait 2 semaines que j'ai envie de taper mon pc avec un nunchaku. J'ai tout le temps des fenetres pub qui s'affichent, meme quand je n'utilise pas IE6, du genre "New offer" ou "errorsafe", "kingoloto" et "systemdoctor"
J'ai tout essayé: spybot, AVG spyware, ad-aware,...
Et meme les logiciels comme SmitFraudFix, l2mFix, combofix,... car je suis allée regarder sur pleins de forums d'entraide informatique.

Et DEPUIS, rien n'a changé, j'en ai marre, toujours ces fenetres de pub.

Vous etes les best sur ce forum, aidez-moi, je vous en prie. Je suis une jeune fille... (je dis ca car ca peut convaincre certains de m'aider )

C'est très important pour moi: mon pc c'est ma vie, et mon disque dur c'est mon coeur (après d'autres choses bien sur...)

VOUS FERIEZ DE MOI LA PLUS HEUREUSE DES MEMBRES DE CE FORUM

Voici mon rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:50:51, on 10/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\wincmd\TOTALCMD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\eMule\emule.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Vinna Pes\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A3E2C634-CBE0-409A-9C0A-27F204F098B4} - C:\Program Files\MSN\meboti.dll (file missing)
O2 - BHO: (no name) - {F62D0C78-069B-4931-8F18-C91E0823121B} - C:\Program Files\MSN\meboti.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [windows] C:\\windows_e53.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 0769123482
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telecharge [...] loader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe
Répondre à super_nem  Signaler ce message aux modérateurs Aller au dernier message

1


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
boulepate62, le vendredi 10 novembre 2006 à 16:28:50
Salut,

faut installer un logiciel anti-virus!

Avast: (anti-virus gratuit en Français!)
Avast


Cherche et supprime ce processus:

windows_e53.exe


Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

http://www.bitdefender.com/scan8/ie.html
www.kerio.probb.fr 
   
Répondre à boulepate62

2


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le vendredi 10 novembre 2006 à 16:41:12
Salut Boulepate ;-)

Je ne peux m'empêcher d'intervenir, suite à cette superbe intro de super_nem...

"...mon pc c'est ma vie, et mon disque dur c'est mon coeur"

Wow... v'la mon petit coeur à moi qui a cessé de battre pendant un moment...lol...

emule >> danger public

Pas d'antivirus...

Windows pas à jour...

Parfois, super_nem, la passion doit laisser place à la raison...
---------------

Ceci dit, t'inquiète surtout pas. Nous sommes là pour t'aider ;-)
   
Répondre à Qc001

3


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
boulepate62, le vendredi 10 novembre 2006 à 17:02:59
Salut Qc001 alias homme du grand froid :-)

tu vas sombrer sous le charme ? :P
www.kerio.probb.fr 
   
Répondre à boulepate62

4


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
super_nem, le vendredi 10 novembre 2006 à 23:37:35
merci pour vos messages!!!
j'ai résolu mon problème toute seule comme un grand nem!
J'ai lancé SmitFraudix en fermant emule. Je sais pas si c'était une solution intelligente, mais en tout cas ca a marché!
Depuis, je renais, je revis, je me sens libre! Quand j'avais ce problème de spyware, j'avais l'impression d'être emprisonnée à Prison Break
Aaaaaah, quelle sensation superbe que d'avoir plus de problème!

Merci Forum

Mon pc c'est ma vie, et www.commentcamarche.net/forum c'est mon docteur
   
Répondre à super_nem

5


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le samedi 11 novembre 2006 à 07:24:40
Coucou ;-)

Mon petit cyber-coeur t'appartient désormais...

...mais tu touches pas à mon PC...lol

------------

Ok-ok, trève de blagues.. Je suis heureux pour toi :-)

En consultant ton log, il fallait effectivement que tu passes SmitfraudFix.

J'examine les symptômes mentionnés dans ton premier post, et j'ai l'impression que tout ne doit pas être clean.. As-tu supprimé ce fameux fichier ? (C:\Windows_e53.exe). Il est pas très gentil celui-là..

J'aimerais que tu confirmes la manip, et que tu postes un nouveau log HijackThis! s'il te plait, ainsi que le rapport du scan BitDefender. Tu as peut-être un rootkit bien planqué, alors faut pas sauter de joie trop rapidement.

J'aimerais également que tu saches que la suggestion de Boulepate (d'installer un antivirus) est tout à fait justifiée ! ce que je mentionnais au sujet des mises à jour de Windows également !!! Sois gentille avec ton amour...

Faut attendre que le PC soit propre avant de faire les mises à jour ; pour ce qui est de l'antivirus, tu dois le faire mantenant. AVG-Antispyware n'est pas un antivirus... mais bien un antispyware...

Tu es libre d'utiliser la Mule, mais tu dois comprendre qu'il y a d'énormes risques... Si tu veux comprendre un peu mieux ce que font ces progs peer-to-peer à un ordi, sans parler des infections chopées fréquemment, alors va lire cet excellent article d'un bon pote :

http://forum.zebulon.fr/index.php?showtopic=85544

=====================

Reviens avec les logs demandés, et on s'occupera de ton amour ;-)
   
Répondre à Qc001

6


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
boulepate62, le samedi 11 novembre 2006 à 07:32:41
J'vois que je suis trop j'vais vous laisser les amoureux :-(

PS: il exagére un peu "le zebulonniste" lol .. Kazaa est d'jà un spyware à lui même tant que l'on y est ont peut faire le même genre de topic avec WinAntivirus ..c'est un peu prendre les gens pour des sardines :-/
www.kerio.probb.fr/index.htm 
   
Répondre à boulepate62

7


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le samedi 11 novembre 2006 à 07:45:55
Salut Boulepate ;-)

Te sauve pas, super_nem aimera bien les étés ici, et les hivers chez toi ;-)

Pour les P2P, tout ce que je peux dire c'est ceci : je vois tellement de bécanes infectées... qui affichent l'un ou l'autre de ces progs, peut importe lequel. Même le nouveau LimeWire "spyware Free" permet à ses utilisateurs de choper de superbes bestioles. Les spywares qui viennent (ou venaient..) avec certains de ces progs ne sont pas de réelles menaces... ce sont les fichiers téléchargés qui le sont ! Les scripts kiddies s'amusent à infecter les pauvres internautes non soucieux..

WinAntivirus ? Un rogue bien connu... je vois pas trop là..lol

Bon alors je vais au dodo maintenant. Toi de même j'en suis sûr ;-)

À bientôt vous deux.
   
Répondre à Qc001

8


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
boulepate62, le samedi 11 novembre 2006 à 08:16:18
Je fais référence à WinAntivirus: bien connu pour toi mais pas pour tout le monde ;-)
Une simple recherche sur le Net permet d'en savoir un peu plus sur un programme, je suis d'accord, mais beaucoup ne cherche pas plus loin que leurs bout du nez !

Donc Kazaa et ses spywares c'est plus ou moins idem que WinAntivirus, quoi que nan WinAntivirus certains l'achéte lol

Certaines personnes pensent utiliser un programme "correct" alors que c'est une saloprie. Tu sais bien ce que provoque WinAnti bah pour moi Kazaa c'est plus ou moins le même topo, voir pire vu ce que ça peut engendrer..

Résultat: t'es enmerdé des deux côtès ce qui ne change pas grand chose à l'histoire ..

FIN du débat

Sur ce j'viens te rejoindre! :P Désolé Super_nem à moi cete nuit^^


PS: édition du post! regarde ici et la date ! pas si connu que ça :P
gros probleme avec le gestionnaire des taches#2006 11 11%2007%3A59%3A31

lol..
www.kerio.probb.fr/index.htm 
   
Répondre à boulepate62

9


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
super_nem, le samedi 11 novembre 2006 à 10:59:39
hooo bah je vois que vous continuez à vous inquieter pour mon petit pc, c'est gentil, je suis touchée!

J'ai déjà essayé d'installer avast plusieurs fois juste après avoir formaté mon pc, mais on dirait qu'il est perverti, il m'a fait supprimer des fichiers importants de windows. A cause de lui, je pouvais plus me connecter sur internet, ou aller dans le menu "demarrer", alors j'ai du reformaté encore fois. Ca me l'a fait deja 3 fois, avec les 2 versions familial et pro.
Que faire?

J'arrive pas à supprimer windows_e53.exe. Je l'ai trouvé, mais impossible de le supprimer. Il veut pas s'en aller. On dirait qu'il est amoureux de mon ordinateur.

Merci pour votre aide, mais ne vous battez pas trop pour moi hihihi. Vous croyez que je suis une fille facile? la fille du canapé??? De toute facon mon coeur est deja pris... par mon pc ^^
   
Répondre à super_nem

10


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le samedi 11 novembre 2006 à 20:28:50
Coucou ;-)

"Fille facile" ? Nah... juste un peu trop passionnée :-P
-----------------

Au boulot !! Ce fichier (windows_e53.exe) fait partie d'une infection de type Alcan/DollarRevenue qui peut abriter d'autres méchants, alors on frappe fort et large :
======================

Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec.

* Télécharge le Brute Force Uninstaller (de Merijn) sur ton Bureau , à partir de ce lien :
http://www.merijn.org/files/bfu.zip

* Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)
----------------

* Fais un clic droit sur le lien suivant :
http://metallica.geekstogo.com/alcanshorty.bfu

..et choisis "Enregistrer la cible sous..." afin de télécharger alcanshorty.BFU (de Metallica).

* Sauvegarde-le dans le dossier créé (C:\BFU).
Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champ "Type :" affiche "Tous les fichiers"
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : alcanshorty.BFU et BFU.exe (**très important**).
-----------------

* Redémarre l'ordi en mode Sans Échec : au redémarrage, tapote la touche F8 (ou la touche F5 si ça ne fonctionne pas avec F8), puis choisis "Mode Sans Échec" avec les flèches du clavier, puis valide avec [Entrée]. Valide l'invite/avertissement. Choisis ton compte usuel.

* Du mode Sans Échec, démarre le "Brute Force Uninstaller" en double cliquant BFU.exe (du dossier C:\BFU)

* Clique sur le petit dossier jaune qui se trouve à droite de la boîte "Scriptline to execute", puis choisis c:\bfu\alcanshorty.bfu en le double cliquant

* Clique sur "Execute" et laisse l'outil faire son travail.

* Attendre que "Complete script execution" apparaîsse et clique sur "OK".

* Clique "Exit" pour fermer le programme BFU.
==========================================================

Redémarre l'ordi en mode Normal.

Scanne avec HijackThis! et poste le nouveau rapport s'il te plait.

Courage, et à bientôt :-)
   
Répondre à Qc001

11


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
super_nem, le dimanche 12 novembre 2006 à 15:44:14
Salut!!

voici mon rapport HijackThis après avoir utilisé BFU comme tu m'as dit:

Logfile of HijackThis v1.99.1
Scan saved at 15:39:44, on 12/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\wincmd\TOTALCMD.EXE
C:\Documents and Settings\**la plus belle**""\Bureau\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D7A6CFC-0817-4352-ADF8-33AEBF8B5095} - C:\Program Files\MSN\meboti.dll (file missing)
O2 - BHO: (no name) - {A3E2C634-CBE0-409A-9C0A-27F204F098B4} - C:\Program Files\MSN\meboti.dll (file missing)
O2 - BHO: (no name) - {F62D0C78-069B-4931-8F18-C91E0823121B} - C:\Program Files\MSN\meboti.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe


C'est bon? Je n'ai toujours pas d'antivirus, car comme je l'ai dit plus haut, avast me donne des ennuis...

C'est très gentil à toi de m'aider, mon ordinateur te fait plein de gros bisous!
   
Répondre à super_nem

12


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le dimanche 12 novembre 2006 à 16:01:20
Bravo **la plus belle** ;-)

Tu as bien bossé. Il reste quelques trucs à vérifier, dont cette histoire d'antivirus :-(

Terminons le nettoyage :

Télécharge la dernière version de SmitFraudFix (de S!Ri) :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

* Dézippe son contenu sur le Bureau (un dossier nommé "SmitfraudFix")
* Ouvre le dossier SmitFraudFix et lance SmitFraudFix.cmd
* Choisis l'option 1 (Recherche)
* Un rapport apparaîtra à la fin du scan
* Poste le rapport ici. Ne choisis pas l'option #2 tout de suite ! je dois consulter le rapport avant ;-)

Dis-moi si tu es à l'aise avec l'Anglais, à tout le moins pour faire tourner un prog antivirus. J'en connais deux excellents (et gratuits),

@+
   
Répondre à Qc001

13


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
super_nem, le dimanche 12 novembre 2006 à 16:06:24
voici mon rapport SmitFraudFix:

SmitFraudFix v2.119

Rapport fait à 16:03:15,21, 12/11/2006
Executé à partir de E:\Utilitaires\Antivirus\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\**I love www.commentcamarche.com**


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\**I love www.commentcamarche.com**\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\**I love www.commentcamarche.com**\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\Program Files\\WindowsUpdate\\pojo.html"
"SubscribedURL"=""
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="C:\\Program Files\\Services en ligne\\megefu.html"
"SubscribedURL"=""
"FriendlyName"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

En ce qui concerne l'anglais, disons que oui je suis à l'aise avec: j'ai vécu 6 mois là-bas, mais je ne suis pas billingue du tout, je ne suis pas amoureuse de cette langue, par contre c'est le cas de www.commentcamarche.com!
   
Répondre à super_nem

14


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le dimanche 12 novembre 2006 à 16:29:25
J'aime bien ton compte utilisateur ;-)

Ok, rien d'anormal avec SmitfraudFix. Voici la suite :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Lance HijackThis! et clique "Do a system scan only", puis coche ces lignes:
------------------
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O2 - BHO: (no name) - {5D7A6CFC-0817-4352-ADF8-33AEBF8B5095} - C:\Program Files\MSN\meboti.dll (file missing)
O2 - BHO: (no name) - {A3E2C634-CBE0-409A-9C0A-27F204F098B4} - C:\Program Files\MSN\meboti.dll (file missing)
O2 - BHO: (no name) - {F62D0C78-069B-4931-8F18-C91E0823121B} - C:\Program Files\MSN\meboti.dll (file missing)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
------------------------

Ferme toutes les fenêtres actives, sauf HijackThis!, puis clique "Fix checked". Ferme HijackThis!
~~~~~~~~~~~~~~~~~~~~~~~~

Pour l'antivirus, je te conseille AVG-Antivirus, que tu trouveras ici :
http://free.grisoft.com/doc/2/lng/us/tpl/v5

Descends sur la page et clique "Download free version".

Installe-le, puis laisse-le scanner. Dis-nous s'il trouve des trucs ;-)

Poste un nouveau log HijackThis! suite à tout ça s'il te plaît.

À bientôt !
   
Répondre à Qc001

15


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
super_nem, le dimanche 12 novembre 2006 à 17:31:46
j'ai envie de pleurer toutes les larmes de mon corps...

j'ai installé AVG antivirus comme tu m'as dit, mais après quand j'ai cliqué dessus, il y a eu un message d'erreur qui disait à peu près que je n'avais pas les droits necessaires pour l'utiliser. Ensuite je clique sur d'autres programmes comme Nero, et pareil, je ne peux pas les ouvrir. J'ai redémarré, et ils m'ont demandé un mot de passe (alors que j'en ai pas d'habitude) pour accéder au bureau, mais impossible d'y accéder. J'ai du redémarrer en mode sans echec pour désinstaller AVG antivirus, et quand j'ai redémarré en mode normal, ils m'ont pas demandé de mot de passe cette fois-ci, mais j'ai les fenetres de pub "new offer" comme avant. Je suis revenue à la case départ.
J'ai donc refait BFU pour enlever les windows_e55, etc...,
j'ai redemarré, ils étaient plus là, mais après ils sont réapparus...

Je dois avoir un virus...

voici mon rapport HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 17:25:28, on 12/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\wincmd\TOTALCMD.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
c:\dfndrff_e55.exe
c:\kybrdff_e55.exe
c:\nwnmff_e55.exe
c:\windows_e55.exe
C:\Documents and Settings\**je pleure**\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [defender] c:\\dfndrff_e55.exe
O4 - HKLM\..\Run: [keyboard] c:\\kybrdff_e55.exe
O4 - HKLM\..\Run: [newname] c:\\nwnmff_e55.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe

Que faire docteur??
   
Répondre à super_nem

16


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le dimanche 12 novembre 2006 à 19:36:22
Hmmm... Ok.

Je vais te demander deux trucs avant de poursuivre :

1) Renomme ton compte utilisateur en quelque chose de simple, juste avec des lettres et sans espaces s'il te plaît (comme nem par exemple...) Certains outils ne tournent pas lorsqu'il y a des espaces ou caractères dans le nom. Tu pourras le modifier quand tout sera terminé ;-)

2) Je ne t'accuse de rien, mais il est possible que tu aies été réinfectée suite à une visite sur sites douteux ou bien par l'ouverture d'un fichier douteux/infecté. Alors je ne te demande que d'être prudente d'ici la fin de la désinfection. Mais tu es sage, je le sais :-)
-------------------------

Là il faut trouver la cause de tout ça, probablement un truc bien caché. Voici ce que je propose :

Télécharge Blacklight (de F-Secure):
https://europe.f-secure.com/blacklight/try.shtml

Clique "I accept" au bas de la page, et sauvegarde-le sur ton Bureau.

Double clique blbeta.exe et accepte la licence ; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

**Si BlackLight ne trouve rien, j'ai d'autres idées.. Et pour l'antivirus, faudra attendre un peu :-(

Courage :-)

@+
   
Répondre à Qc001

17


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
super_nem, le dimanche 12 novembre 2006 à 20:09:33
avec blacklight, j'ai ce rapport-ci:

11/12/06 20:00:19 [Info]: BlackLight Engine 1.0.47 initialized
11/12/06 20:00:19 [Info]: OS: 5.1 build 2600 (Service Pack 1)
11/12/06 20:00:24 [Note]: 7019 4
11/12/06 20:00:24 [Note]: 7005 0
11/12/06 20:00:30 [Note]: 7006 0
11/12/06 20:00:30 [Note]: 7011 1412
11/12/06 20:00:31 [Note]: 7026 0
11/12/06 20:00:32 [Note]: 7026 0
11/12/06 20:00:59 [Note]: FSRAW library version 1.7.1020
11/12/06 20:06:11 [Note]: 7007 0

apparemment, il n'a rien trouvé.
J'ai également changé mon nom de compte.
Des sites douteux tu dis? hummm... je suis juste allée sur www.qui-est-QC001.com
   
Répondre à super_nem

18


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
Qc001, le dimanche 12 novembre 2006 à 23:16:57
Hahahaha....

Tu as trouvé ? Tu as aimé ?? :-P

Le temps me manque aujourd'hui, mais je vais te préparer une manip dans quelques heures (5 ou 6). Tu feras dodo, alors reviens demain ;-)

Merci pour le BlackLight. Ça élimine l'hypothèse d'un rootkit que je soupçonnais.

La prochaine manip sera un peu plus longue que les autres, mais pas compliquée. Ça me prend juste une bonne demie-heure à préparer tout ça, et je peux pas tout de suite.

Courage, tiens bon, on y arrivera :-)

@+
   
Répondre à Qc001

19


  • 1    Ce message vous semble utile, votez !
  • Ce message ne vous semble pas utile, votez !
  • Signaler ce message aux modérateurs
afideg, le dimanche 12 novembre 2006 à 23:53:53
Up
just for see

;)
Al;
   
Répondre à afideg

20


  • 1    Ce message vous semble utile, votez !