malware Magic control agent pub intempestive

jlb · par **jlb** » 01 août 2006 18:40

bonjour,

j'ai depuis 10 jours pas mal de pubs qui s'ouvre sur IE et grace à Spybot, qui est le seul antispyware , a m'avoir trouvé me semble t il le problème Magic control agent qui revient toujours.

J'ai donc lu plusieurs tuto du site qui ont fonctionné et j'ai commencé un peu la procédure proposé:
j'ai téléchargé et installé F Secure Blacklight( ci joint le rapport)
puis installé clean et ewido (qui pour l'instant ne m'as rien trouvé)

Si j'ai bien compriqs il faudrait que je supprime en mode sans échec les fichiers

c:\WINDOWS\PREFETCH\PCOZAQ.EXE-1B3657FD.pf

08/01/06 18:23:41

i

: Hidden file: c:\WINDOWS\system32\pcozaq.dat

08/01/06 18:23:42

i

: Hidden file: C:\windows\system32\pcozaq.exe

08/01/06 18:23:42

i

: Hidden file: c:\WINDOWS\system32\pcozaq_nav.dat

08/01/06 18:23:42

i

: Hidden file: c:\WINDOWS\system32\pcozaq_navps.da

car j'ai le meme soucis que d'autres personnes

En fait je voudrais une confirmation pour etre sur car dans un post tu dit de faire attention a ce qu'on supprime

Est ce que je vais aussi trouvé un fichier C/prog files/Maillskinner car j'ai vu que tu le propose à plusieurs personnes àlors qu'on ne l'as pas vu avant.

merci d'avance et génial le forum j'adore et ca me sert de ressources

A+

08/01/06 18:20:11

i

: BlackLight Engine 1.0.42 initialized
08/01/06 18:20:11

i

: OS: 5.1 build 2600 (Service Pack 2)
08/01/06 18:20:12 [Note]: 7019 4
08/01/06 18:20:12 [Note]: 7005 0
08/01/06 18:20:18 [Note]: 7006 0
08/01/06 18:20:18 [Note]: 7011 1768
08/01/06 18:20:18 [Note]: 7026 0
08/01/06 18:20:19 [Note]: 7026 0
08/01/06 18:20:19 [Note]: 7024 3
08/01/06 18:20:19

i

: Hidden process: C:\windows\system32\pcozaq.exe
08/01/06 18:20:19 [Note]: FSRAW library version 1.7.1019
08/01/06 18:23:24

i

: Hidden file: c:\WINDOWS\PREFETCH\PCOZAQ.EXE-1B3657FD.pf
08/01/06 18:23:24 [Note]: 10002 1
08/01/06 18:23:41

i

: Hidden file: c:\WINDOWS\system32\pcozaq.dat
08/01/06 18:23:41 [Note]: 10002 1
08/01/06 18:23:42

i

: Hidden file: C:\windows\system32\pcozaq.exe
08/01/06 18:23:42 [Note]: 10002 1
08/01/06 18:23:42 [Info]: Hidden file: c:\WINDOWS\system32\pcozaq_nav.dat
08/01/06 18:23:42 [Note]: 10002 1
08/01/06 18:23:42 [Info]: Hidden file: c:\WINDOWS\system32\pcozaq_navps.dat
08/01/06 18:23:42 [Note]: 10002 1
08/01/06 18:24:40 [Note]: 7007 0

Hier j'ai déjà fait un scan avec Blacklight qui m'as déjà donné la meme chose et les meme fichiers.

merci d'avance A+
et j'espère que je fais bien ce qu'il faut faire au niveau présentation etc. car (et oui moi aussi ) c'es la 1ère fois que je poste un message

par **Malekal_morte** » 02 août 2006 11:18

Bonjour et bienvenue,

Voici la manipulation à effectuer en entier
Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

Télécharge Brute Force Uninstaller (de Merijn).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Pour cela :
-- Ouvre le poste de travail
-- Double-clic sur le disque C
-- Menu Fichier en haut puis Nouveau et nouveau dossier
-- Tapez BFU dans le nom du nouveau dossier

Décompresser le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Ensuite :
FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utilises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

Important : Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe.

- Télécharge et installe ewido
- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.
- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

____

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)
- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur Execute et laisse-le faire son travail.
Attendre que Complete script execution apparaîsse et clique sur OK.
Clique Exit pour fermer le programme BFU.

-- Ouvre le poste de travail
-- Double clic sur le disque C
-- Double clic sur le dossier Windows
-- Double clic sur le dossier system32
-- Fais un clic droit sur le fichier pcozaq.exe puis dans le menu déroulant clic sur supprimer
-- Fais un clic droit sur le fichier pcozaq.dat puis dans le menu déroulant clic sur supprimer
-- Fais un clic droit sur le fichier pcozaq_nav.dat puis dans le menu déroulant clic sur supprimer
-- Fais un clic droit sur le fichier pcozaq_navps.dat puis dans le menu déroulant clic sur supprimer

-- Navigue dans les dossiers et supprime, si existant :
C:\Program Files\MaillSkinner

- Ouvre ewido et clic sur l'onglet Scanner en haut
- Démarre ewido et clique "Complete System Scan"
** Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse **
Clique sur " Save Report " puis sur " Save Report As "
Enregistre ce fichier texte sur ton bureau.
N'hésite pas à consulter l'Aide ewido pour tout problème.

____

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur
Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

-- Fais un scan en ligne avec Internet Explorer : Scan Kaspersky et colle le rapport ici. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne
-- Copie/Colle ici les rapports :
- du scan Kaspersky
- ewido
- le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
- Relance un scan sur BlackLight et copie/colle le rapport ici
- ainsi qu'un nouveau log HijackThis

jlb · par **jlb** » 02 août 2006 12:56

OK la procédure est la meme que celle que j'avais commencée et que j'avais vu pour d'autres.

Je fais ca ce soir en rentrant du boulot et en corrigeant l'enregistrement de EGDACCESS.bfu car je l'avais en fichier texte EGDACCESS.bfu .txt car j'avais pas bien lu "Type :" affiche "Tous les fichiers".

merci encore du coup de main car les pubs intempestive était régulière et me proposait de téléchargé System Doctor et Winantivirus 2006 (toujours bloqué grace à l'antivirus et la protextion de Internet Explorer) + d'autres.

merci encore et le tuto est très bien fait.

Je te tiens au courant

A+

par **Malekal_morte** » 02 août 2006 17:00

Si tu suis bien les manips, tu devrais en être débarrassé

jlb · par **jlb** » 02 août 2006 19:56

rebonjour,

voici le début des log pour commencer

NB : j'ai juste 3 remarques, quand j'ai démarré en mode sans échec j'ai choisi ma session d'utilisateur (et non administrateur?): conséquence, je sais pas.
Deplus, le fichier clean.cmd n'existait pas mais il y avait clean (celui que j'ai pris) et encore un truc, dans c/windows/system32 il n'y avait qu'un fichier pcozaq (tout court, sans extension) à supprimer!!! et non pas les 4 prévus comme dans le log de Blacklight.

Par contre anayle de clean et de ewido propre

j'ai meme passé Spyboot (qui m'avait décelé le magic agent) qui me la retrouvé encore , alors je l'ai encore nettoyé en me disant que ca n'a pas marché puis relancé spyboot encore une fois et la, plus de trace du moins pour le moment.

J'ai lancé en ce moment Kaspersky....

la suite un peu plus tard merci du coup de main, en espérant que ca marche

Rapport Clean :

Script clean par Malekal_morte - https://www.malekal.com

*** SUPPRESSION DES FICHIERS

*** Suppressions de trojans/vers sur...
C:\WINDOWS\unvise32qt.exe FOUND

*** Suppressions des adware connus...

Rapport Ewido

---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 18:36:35 02/08/2006

+ Scan result:

Nothing found.

::Report end

A+

par **Malekal_morte** » 02 août 2006 20:01

Refais un scan F-Secure BlackLight et copie/colle le rapport ici.

jlb · par **jlb** » 02 août 2006 20:14

voici le log de Blacklight

08/02/06 19:58:28

i

: BlackLight Engine 1.0.42 initialized
08/02/06 19:58:28

i

: OS: 5.1 build 2600 (Service Pack 2)
08/02/06 19:58:28 [Note]: 7019 4
08/02/06 19:58:28 [Note]: 7005 0
08/02/06 19:58:31 [Note]: 7006 0
08/02/06 19:58:31 [Note]: 7011 1716
08/02/06 19:58:31 [Note]: 7026 0
08/02/06 19:58:31 [Note]: 7026 0
08/02/06 19:58:39 [Note]: FSRAW library version 1.7.1019
08/02/06 20:00:56 [Note]: 2000 1006
08/02/06 20:04:19 [Note]: 7007 0

Ca à l'air pas trop mal, j'ai aussi fait un Kaspersky (option "zones critique ") qui n'as rien trouvé et ne m'as pas proposé de rapport
et j'ai relancé avec options "complète des disque "que j'ai arreté car il a eu l'air de s'etre bloqué tout seul ( et c'était long au niveau du temps) et il m'a trouvé ca

KASPERSKY ON-LINE SCANNER - RAPPORT
mercredi 2 août 2006 19:58:03
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 2/08/2006
Enregistrements dans la base antivirus Kaspersky : 211657

Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie. vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Statistiques de l'analyse
Total d'objets analysés : 7753
Nombre de virus trouvés 1
Nombre d'objets infectés 1
Nombre d'objets suspects 0
Durée de l'analyse 00:26:03

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\proprietaire\Bureau\clean\clean\pskill.exe Infecté: not-a-virus:RiskTool.Win32.PsKill.k ignoré

Analyse interrompue par l'utilisateur !

Le fichier trouvé à l'air d'etre celui qu'a nettoyer clean, n'est ce pas?

Je continue avec un log Hijackthis OK
mais peut etre aussi avec un nouveau Kaspersky?

Il faudra aussi que tu me dise s'il est nécessaire de désinstaller les logiciels téléchargés (pour l'éradication) ou si je peu en garder certain (Ewido et blacklight ) pour m'en servir de facon hebdo

Je continue et encore merci de ton aide

jlb · par **jlb** » 02 août 2006 20:19

ouah super rapide Hijackthis voici le rapport

fait toi plaisir CHAMPOLLION

merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 20:17:22, on 02/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\proprietaire\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [pcozaq] c:\windows\system32\pcozaq.exe pcozaq
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://www.01net.com
O15 - Trusted Zone: http://www.infos-du-net.com
O15 - Trusted Zone: http://webscanner.kaspersky.fr
O15 - Trusted Zone: http://forum.malekal.com
O15 - Trusted Zone: http://www.pandasoftware.fr
O15 - Trusted Zone: http://www.secuser.com
O15 - Trusted Zone: http://fr.trendmicro-europe.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 4373818265
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/ac ... inder2.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

par **Malekal_morte** » 02 août 2006 20:22

Le fichier détecté par le scan en ligne est à ignorer.

Désinstalle ewido

Sur HijackThis, coche cette ligne :
O4 - HKLM\..\Run: [pcozaq] c:\windows\system32\pcozaq.exe pcozaq
--> clic sur fix checked

Tu ne dois plus recevoir de popup, quand-est-il ?

jlb · par **jlb** » 02 août 2006 20:49

j'ai cocher la case dans hijackthis et voici le nouveau log

Logfile of HijackThis v1.99.1
Scan saved at 20:44:15, on 02/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\proprietaire\Bureau\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://www.01net.com
O15 - Trusted Zone: http://www.infos-du-net.com
O15 - Trusted Zone: http://webscanner.kaspersky.fr
O15 - Trusted Zone: http://forum.malekal.com
O15 - Trusted Zone: http://www.pandasoftware.fr
O15 - Trusted Zone: http://www.secuser.com
O15 - Trusted Zone: http://fr.trendmicro-europe.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 4373818265
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/ac ... inder2.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Merci pour tout

Je crois que je n'ai plus de pop-up

OK je désinstalle Ewidoo et je garde le reste (meme Clean? quel utilité)

Quel est pour toi les 2 meilleures AntiSpy du moment?
pour que je puisse m'équiper correctement.

Kaspersky est toujours en cours 24% (c'est long mais ca se mérite)

je continue mais je crois que c'est très très bien parti grace à toi

GENIAL

merci

par **Malekal_morte** » 02 août 2006 20:51

CounterSpy est pas mal.
SpySweeper aussi, m'enfin ça sert à rien de bourrer ton PC d'anti-spyware.

jlb · par **jlb** » 02 août 2006 22:14

Après 1h30 de scan Kaspersky me dit que le rapport est vide mais ne propose pas de le sauvegarder.

Donc a priori tout est OK car en plus de tous ces log touours pas de pop up

Au fait, tu ne m'as pas dit si le fait de na pas avoir été en mode administrateur n'as rien changé (a priori non vu que ca a marché, mais c'est si jamais malheuresement je devais le refaire un jour) et le fait de n epas avoir 4 fichier a supprimer mais un seul, c'est du à quoi? je dis ca c'est aussi pour d'autres personnes qui serait dans mon cas pour les informés.

J'attends un confirmation de ta part et on déclare tout ca RESOLU

par **Malekal_morte** » 02 août 2006 22:16

Ton utilisateur doit avoir les droits administrateurs, donc cela ne change rien.
Les fichiers .dat sont supprimés automatiquement par BFU mais je préfére les faire supprimer quand même.

Pour moi c'est OK

jlb · par **jlb** » 02 août 2006 22:24

et bien je te remercie encore du coup de main

c'est génial et je n'en doutait pas

Bye

par **Malekal_morte** » 02 août 2006 22:26

OK bonne soirée

sujet vérouillé

je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaye de rapporter ton infection :

Comment se protéger des virus : - Tout ceci est résume sur cette page : Sécuriser son ordinateur et connaître les menaces

Rapporte ton infection pour faire condamner les auteurs - créer ton message pour faire avancer les choses sur Malware-Complaints, pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
- Voir les règles du forum
- Après t'être enregistré à l'aide du bouton en haut "register", tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..)
---> http://www.malwarecomplaints.info/viewforum.php?f=10