envahie de fenetre pop upFermé

Question

Bonsoir

Je vous appelle à l'aide pour un problème sur mon ordi :
Je suis envahie de fentre pop up de pub pour les casinos, jeux, sites X etc........ et ce dès que j'essaye de surfer.
Norton antivirus n'a rien trouvé et malheureusement le fait que ma bécane soit ralentie un maximum à cause de cette saleté m'empeche de faire un antivirus en ligne (j'ai du me refugier chez qq'un pour pouvoir réussir à ecrire ce post!)

J'ai quand même réussi à faire un hijack this (conseillé par un ami) et me permet de vous mettre le log(tant que j'ai une connexion qui marche  sans pop up lol)

Help me pleaseeeee je veux surfer en paix!


Logfile of HijackThis v1.99.1 
Scan saved at 21:58:13, on 27/06/2007 
Platform: Windows XP (WinNT 5.01.2600) 
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) 
Running processes: 
C:\WINNT\System32\smss.exe 
C:\WINNT\system32\winlogon.exe 
C:\WINNT\system32\services.exe 
C:\WINNT\system32\lsass.exe 
C:\WINNT\system32\svchost.exe 
C:\WINNT\System32\svchost.exe 
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe 
C:\WINNT\Explorer.EXE 
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe 
C:\WINNT\system32\spoolsv.exe 
C:\Program Files\Canon\MultiPASS4\monitr32.exe 
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe 
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
C:\Program Files\QuickTime\qttask.exe 
C:\Program Files\Messenger\msmsgs.exe 
C:\Program Files\RealVNC\WinVNC\winvnc.exe 
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE 
C:\Program Files\Norton AntiVirus
avapsvc.exe 
C:\Program Files\Norton AntiVirus\SAVScan.exe 
C:\WINNT\System32\svchost.exe 
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe 
C:\Program Files\Internet Explorer\IEXPLORE.EXE 
C:\Program Files\WinRAR\WinRAR.exe 
C:\DOCUME~1\Quernet\LOCALS~1\Temp\Rar$EX0k.l20\HijackThis.exe 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.iquicksearch.net/search.htm 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/ 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.free.fr/freebox/index.html 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.c(...) 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/ 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - Default URLSearchHook is missing 
O1 - Hosts: 64.159.94.251 auto.search.msn.com 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll 
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx 
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll 
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlayn.exe SYSTEMBOOTHIDEPLAYER 
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampan.exe" 
O4 - HKLM\..\Run: [monitr32] C:\Program Files\Canon\MultiPASS4\monitr32.exe 
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" 
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe 
O4 - HKLM\..\Run: [Information Update] C:\Program Files\Information Update\iu.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background 
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet 
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe 
O4 - Global Startup: Run VNC Server.lnk = C:\Program Files\RealVNC\WinVNC\winvnc.exe 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html 
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - https://www.afternic.com/domains/downloadv3.com 
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - https://www.afternic.com/domains/downloadv3.com 
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://1093867362000.kit.sexequalite.com/10603/CD/130kg.exe 
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab 
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - http://tb.searchitquick.com/winenc32.cab 
O20 - Winlogon Notify: draw32 - draw32.dll (file missing) 
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe 
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe 
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe 
O23 - Service: MpService - Canon Inc - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE 
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exe 
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe 
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe 
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe 
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

moK´s@ · Answer

salut callipyge,

fais ceci :

avec hijack this coche ceci :

O1 - Hosts: 64.159.94.251 auto.search.msn.com
O4 - HKLM\..\Run: [Information Update] C:\Program Files\Information Update\iu.exe
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - https://www.afternic.com/domains/downloadv3.com
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://1093867362000.kit.sexequalite.com/10603/CD/130kg.exe
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - http://tb.searchitquick.com/winenc32.cab
O20 - Winlogon Notify: draw32 - draw32.dll (file missing)


quitte tes applications et navigateur et fix les lignes ci dessus.

2

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
   

C:\Program Files\Information Update\iu.exe


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

3

Fais un clic droit sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)


4
as tu msn plus?

@+

callipyge · Answer

Merci pour ta reponse ultra rapide.
J'imprime et je  fais ça dès que je rentre chez moi ! suite au prochain épisode ;-)

moK´s@ · Answer

ok

@+

callipyge · Answer

Helpppp en lançant Moveit ça me met un message d'erreur : 

File/Folder C:\Program Files\Information Update\iu.exe not found.
File/Folder  not found.
 
Created on 06/29/2007 14:29:33


je fais quoi là??

callipyge · Answer

Le rapport de Navilog : 



Search Navipromo version 2.0.3 commencé le 29/06/2007 à 14:34:05,18
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files
avilog1
Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes *** 

 
HotTVPlayer


*** Recherche dossiers dans C:\WINNT ***




*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\HotTVPlayer trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Quernet\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en

Fichier(s) caché(s) dans C:\WINNT\system32 :

C:\winnt\system32\xbklvb.exe 

Processus caché(s) dans C:\WINNT\system32 :

C:\winnt\system32\xbklvb.exe 


*** Recherche fichiers *** 


C:\WINNT\pack.epk trouvé !
C:\WINNT	mlpcert2005 trouvé !
C:\WINNT\system32\EGAUTH.dll trouvé !
C:\WINNT\system32\eglivecam_1029.dll trouvé !
C:\WINNT\system32
vs2.inf trouvé !
C:\WINNT\system32\HotTVPlayer.dll trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] 
 
    C:\WINNT\System32\eglivecam_1029.dll	REG_DWORD	0x1
 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage] 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINNT/System32/eglivecam_1029.dll
 

Recherche Clé Magic Control 
 
HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 
 
 
*** Module de Recherche complémentaire *** 
(Recherche fichiers spécifiques) 
 
1)Recherche fichiers connus:


2)Recherche Heuristique :
* 
C:\WINNT\system32\xbklvb.dat trouvé !
** 
C:\WINNT\system32\xbklvb.dat trouvé !
*** 
**** 
C:\WINNT\system32\xbklvb_navps.dat trouvé !
***** 
****** 
******* 
******** 
 
 
*** Analyse Terminé le 29/06/2007 à 14:34:45,00 ***

moK´s@ · Answer

salut callipyge,

on verra apres pour iu.exe..

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau. 

    * Ferme Internet Explorer puis Démarrer/Panneau de Configuration/Options Internet.
    * Choisis l'onglet Contenu puis onglet Certificats.
    * Si tu trouves les programmes suivants (en particulier dans "Editeurs approuvés" ), supprime-les : 


electronic-group
egroup
Montorgueil
VIP
Sunny Day Design Ltd 

2

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

@+

callipyge · Answer

Bon ben j'ai un pote qui a pu se liberer et est venu me dezinguer le vilain mechant virus.
Tout est ok je retrouve enfin un surf normal sans etre envahie toutes les deux minutes

Je vous remercie beaucoup pour votre aide !!

<----------------repart rattraper une semaine de surf de retard !!!!

moK´s@ · Answer

et clean zip?

Envahie de fenetre pop up

8 réponses

Discussions similaires

Newsletters