apparition de pub antivirus

[arzew]

bonjour

je voudrais me débarrasser de ces apparitions qui s'effectuent courament sur mon écran :

http://www.zimagez.com/zimage/virus1.php
http://www.zimagez.com/zimage/virus.php

le lancement d'AVG, ad-aware, spybot et scan en ligne n'ont jusqu'à présent rien fait.
Y a-t'il une autre solution pour stopper irrémédiablement ces apparitions ?

Merci de votre aide

Arzew

[Xtof68]

je ne peux visualiser tes images depuis ici (intranet limité). S'agit-il de fenêtres pop-up ? Tu peux envisager un pop-up blocker / pop-up stopper, ça évitera ce genre d'apparitions, comme tu dis.
Cordialement

[bestall666]

Hello

Tu sembles utiliser firefox : installe l'extension adblock plus diso sur geckozone et plus aucune pub a part les flash ne passera !!

@+

Bestall666

[Louis-Guillaume Morand]

Citation:

Envoyé par bestall666

Hello

Tu sembles utiliser firefox : installe l'extension adblock plus diso sur geckozone et plus aucune pub a part les flash ne passera !!

@+

Bestall666

1- c'est faux :/ il se base sur une liste de pubs qu'il faut mettre à jour via une autre extension : Adblock Filterset.G Updater. de toute facon, cette solution n'est qu'un detournement du probleme que ce soit FF ou IE

2- ici ca s'ouvre dans FF parce c'est son client par défaut (et c'est bien ). Ici, il a un adware sur sa machine qui lance ces pages web. il te faut donc te munir d'un antispwyare comme par exemple, la toute derniere version de spybot, de mettre à jour ses signatures et de scanner. avec un peu de chance, cela le trouvera du premier coup.

puis tu reviens nous donner des nouvelles.

[AgnesD]

Bonjour a tous.
Si je peux me permettre une petite manip plus ciblée.

=> Télécharger HijackThis
http://xp.net.free.fr/logiciels/Hijackthis_vf.exe

=> Télécharge Fixnavilog
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip enregistre-le sur ton bureau.
Fais un clic droit sur navilog1.zip et choisis "tout extraire"
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans ta prochaine réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

• Lancer HijackThis.
• Dans la fenêtre cliquer faire un scan et sauvegarder le log
• Le blocnotes s'ouvre enregistrez le rapport (Fichier--> enregistrer sous)
• Joindre ce dernier à ton prochain post pour analyse + celui de navilog.

[bestall666]

Citation:

Envoyé par Louis-Guillaume Morand

1- c'est faux :/ il se base sur une liste de pubs qu'il faut mettre à jour via une autre extension : Adblock Filterset.G Updater. de toute facon, cette solution n'est qu'un detournement du probleme que ce soit FF ou IE

OK ca ne règle plus met au moins il n'aura plus de pub et poup et la liste des pub se met à jour automatiquement

[arzew]

bonjour

De retour au bercail je répond à vos messages et je vous en remercie .

Pour Louis-Guillaume Morand, j'ai téléchargé le nouvel SpyBot.
Je pense que c'est celui-là : Version 1.4 dernière mise à jour 2007-06-13.
Malgrè ça le problème est toujours présent !

Je vais essayer la manip d' AgnesD et je vous tiens au courant

Arzew

[arzew]

voilà pour AgnesD :

Search Navipromo version 2.0.4 commencé le 01/07/2007 à 7:48:29,85

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 29.06.2007 a 17h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***


C:\WINDOWS\msskinner trouvé !


*** Recherche dossiers dans C:\Program Files ***


C:\Program Files\MailSkinner trouvé !


*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\Compaq_Propri‚taire\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

c:\WINDOWS\system32\xapcmwd.dat
C:\windows\system32\xapcmwd.exe
c:\WINDOWS\system32\xapcmwd_nav.dat
c:\WINDOWS\system32\xapcmwd_navps.dat

Processus caché(s) dans C:\WINDOWS\system32 :

C:\windows\system32\xapcmwd.exe


*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !


*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\Lanconfig trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
C:\WINDOWS\system32\xapcmwd.dat trouvé !
**
C:\WINDOWS\system32\xapcmwd.dat trouvé !
***
****
C:\WINDOWS\system32\xapcmwd_navps.dat trouvé !
*****
******
*******
********

3)Recherche Certificats :

Certificat Egroup trouvé !


*** Analyse Terminé le 01/07/2007 à 7:57:16,04 ***


*****************************************************
--------------------------------------------------------------------
*****************************************************

Logfile of HijackThis v1.99.1
Scan saved at 08:05:41, on 01/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\a-squared free\a2service.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Look 'n' Stop Firewall Personnel] C:\Program Files\Soft4Ever\looknstop\looknstop.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by141fd.bay141.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1176010004359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1181797449328
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\program files\a-squared free\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

merci de votre contribution ... bon travail

Arzew

[AgnesD]

Bonjour et merci pour le travail arzew

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.

Ensuite tu va lancer HijackThis et cocher puis fixer cette ligne.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Pour finir passe un scan en ligne kaspersky.

Poste le rapport cleanavi.txt et le kaspersky
(si kaspersky a trouvé des objets infectés sinon pas besoin)
Et dis nous ce qu'il en est.

[arzew]

bonjour AgnesD

Voilà le rapport de Navilog1 :
(pour ce qui est du scan en ligne par Kaspersky, malgrè toute ma bonne volonté, le clic sur "démarrer" n'engendre aucune action ! )
Merci de ton aide
Cordialement
Arzew

Clean Navipromo version 2.0.4 commencé le 03/07/2007 à 5:45:32,76

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 29.06.2007 a 17h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight


*** Creation backups fichiers trouvés par Blacklight ***

Copie vers "C:\Program Files\navilog1\Backupnavi"


*** Suppression des fichiers trouvés avec Blacklight ***

c:\WINDOWS\system32\xapcmwd.dat supprimé !
C:\windows\system32\xapcmwd.exe supprimé !
c:\WINDOWS\system32\xapcmwd_nav.dat supprimé !
c:\WINDOWS\system32\xapcmwd_navps.dat supprimé !

** 2ème passage **

C:\WINDOWS\system32\xapcmwd.exe absent !
C:\WINDOWS\system32\xapcmwd.dat absent !
C:\WINDOWS\system32\xapcmwd_nav.dat absent !
C:\WINDOWS\system32\xapcmwd_navps.dat absent !
C:\WINDOWS\system32\xapcmwd_navup.dat absent !
C:\WINDOWS\system32\xapcmwd_navtmp.dat absent !
C:\WINDOWS\system32\xapcmwd_m2s.xml absent !


C:\WINDOWS\prefetch\xapcmwd*.pf trouvé !
Copie C:\WINDOWS\prefetch\xapcmwd*.pf réalise avec succes !
C:\WINDOWS\prefetch\xapcmwd*.pf supprimé !

*** Suppression dossiers dans C:\WINDOWS ***

C:\WINDOWS\msskinner ...suppression...
C:\WINDOWS\msskinner supprimé !


*** Suppression dossiers dans C:\Program Files ***

C:\Program Files\MailSkinner ...suppression...
C:\Program Files\MailSkinner supprimé !


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\Compaq_Propri‚taire\Application Data ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Compaq_Propri‚taire\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :

Certificat Egroup supprimé !

*** Nettoyage termine le 03/07/2007 à 5:47:33,48 ***

[Jannus]

Si tu n'arrives pas à scanner avec Kaspsersky essaye avec un autre scan en ligne (sercuser, McAfee, BitDefender)

ps : Agnesd est absente quelques jours

[AgnesD]

Ok passe un autre AV si tu le peux.
les Pubs sont finies ????
Si oui on fait la fin du ménage ainsi.

Tiens nous au courant.

[arzew]

bonjour

je n'ai pas passé un autre scan autre que Kaspersky car je pensais qu'il faisait partie, lui seul, de la suite de la manipulation.
Dans ce cas j'en fait un autre ...
Au fait la pub s'est interrompue , merci de votre aide .

Cordialement

Arzew