Votre question

trojan pop up

Tags :
  • service pack 2
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Novembre 2006 15:21:44

bonjour,

j'ai des soucis de fenêtres pop up avec pub anti-virus qui s'ouvrent toutes les 5 mn lorsque je suis connectée... J'ai lu sur différents forums quelques explications et voies à suivre. Voici donc mon rapport Blbeta (F secure black light) :

11/16/06 14:57:03 [Info]: BlackLight Engine 1.0.47 initialized
11/16/06 14:57:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/16/06 14:57:03 [Note]: 7019 4
11/16/06 14:57:03 [Note]: 7005 0
11/16/06 14:57:07 [Note]: 7006 0
11/16/06 14:57:07 [Note]: 7011 2556
11/16/06 14:57:07 [Note]: 7026 0
11/16/06 14:57:07 [Note]: 7026 0
11/16/06 14:57:07 [Note]: 7024 3
11/16/06 14:57:07 [Info]: Hidden process: C:\windows\system32\refqufkuqc.exe
11/16/06 14:57:07 [Note]: FSRAW library version 1.7.1020
11/16/06 15:06:40 [Info]: Hidden file: c:\WINDOWS\Prefetch\REFQUFKUQC.EXE-04FA1E52.pf
11/16/06 15:06:40 [Note]: 10002 1
11/16/06 15:08:30 [Info]: Hidden file: c:\WINDOWS\system32\refqufkuqc.dat
11/16/06 15:08:30 [Note]: 10002 1
11/16/06 15:08:30 [Info]: Hidden file: C:\windows\system32\refqufkuqc.exe
11/16/06 15:08:30 [Note]: 10002 1
11/16/06 15:08:32 [Info]: Hidden file: c:\WINDOWS\system32\refqufkuqc_nav.dat
11/16/06 15:08:32 [Note]: 10002 1
11/16/06 15:08:34 [Info]: Hidden file: c:\WINDOWS\system32\refqufkuqc_navps.dat
11/16/06 15:08:34 [Note]: 10002 1
11/16/06 15:09:43 [Note]: 7007 0

Quelqu'un peut-il m'aider à y voir plus clair ?
Merci
ALex

Autres pages sur : trojan pop

a b 8 Sécurité
16 Novembre 2006 18:27:49

Bonjour,

Infection EGDACCESS.

Les manipulations sont à faire sans interruption et dans l'ordre
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.


Enregistre cette page pour avoir accès à la procédure en mode sans échec :
- Fichier
- Enregistrer Sous...
- Nom du fichier : Procédure
- Type : Page Web, complète
- Pour l'emplacement, chosis ton Bureau
- Clique maintenant sur Enregistrer

Télécharge :

Brute Force Uninstaller (de Merjin).
Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

Navipromo.zip et décompresse-le sur ton bureau.

FAIS UN CLIQUE-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica). Sauvegarde-le dans le dossier créé (C:\BFU).
Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

Note : Si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers".

AIDE : Comment installer et utiliser BFU ?

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

Lance le fichier Navipromo.bat qui se trouve sur ton bureau dans le dossier Navipromo. Sélectionne l'option "Recherche et suppression automatique" en tapant sur la touche R.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé.

Démarre "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

EGDACCESS.bfu

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

Clique sur Execute et laisse-le faire son travail.

Attends que Complete script execution apparaîsse pour cliquer sur OK.
Clique Exit pour fermer le programme BFU.

Redémarre normalement.

Poste les rapports :
- Hijackthis
- C:\egd.txt
- C:\Navipromo.txt
16 Novembre 2006 20:54:24

merci beaucoup... j'ai déjà amorcé tout, mais je ne retrouve pas le hijackthis pour le poster. Où est-il caché ?
Contenus similaires
16 Novembre 2006 21:00:13

indows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"PreloadApp"="c:\\hp\\drivers\\printers\\photosmart\\hphprld.exe c:\\hp\\drivers\\printers\\photosmart\\setup.exe -d"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"Watch"="C:\\PROGRA~1\\Minitel\\Watch.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"srmclean"="C:\\Cpqs\\Scom\\srmclean.exe"
"QT4HPOT"="C:\\PROGRA~1\\HPQ\\ONE-TO~1\\OneTouch.EXE"
"MessagerStarter Wanadoo"="C:\\PROGRA~1\\MESSAG~1\\StartMessager.exe Messager Wanadoo"
"Display Settings"="C:\\Program Files\\HPQ\\Notebook Utilities\\hptasks.exe /s"
"Cpqset"="C:\\Program Files\\HPQ\\Default Settings\\cpqset.exe"
"CARPService"="carpserv.exe"
"autoclk"="autoclk.exe"
"adiras"="adiras.exe"
"CloneCDTray"="\"C:\\Program Files\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"SsAAD.exe"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe"
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"EoEngine"=""
"EoRss"=""
"EoWeather"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

16 Novembre 2006 21:00:39

apport Navipromo.bat 0.5 effectué le 16/11/2006 à 20:34:37,89

** Recherche...

1/ refqufkuqc trouvé, recherche de refqufkuqc*
C:\WINDOWS\system32\refqufkuqc.dat
C:\WINDOWS\system32\refqufkuqc.exe
C:\WINDOWS\system32\refqufkuqc_nav.dat
C:\WINDOWS\system32\refqufkuqc_navps.dat
C:\WINDOWS\prefetch\REFQUFKUQC.EXE-04FA1E52.pf

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
refqufkuqc REG_SZ c:\windows\system32\refqufkuqc.exe refqufkuqc

------------------
Fin du rapport de recherche
Adware Navipromo trouvé 1 fois avec cette méthode

################################################

** Nettoyage...

1/ Déplacement de refqufkuqc* vers C:\Navipromo\Backups...
C:\Windows\System32\refqufkuqc* déplacé avec succès !
C:\WINDOWS\prefetch\refqufkuqc* déplacé avec succès

------------------
* Suppression clés et valeurs de registre
1 entrées de registre ont été nettoyées

* Backups :

C:\Navipromo\Backups\ARPCache.reg
C:\Navipromo\Backups\HKCURun.reg
C:\Navipromo\Backups\HKLMRun.reg
C:\Navipromo\Backups\refqufkuqc.dat
C:\Navipromo\Backups\refqufkuqc.exe
C:\Navipromo\Backups\REFQUFKUQC.EXE-04FA1E52.pf
C:\Navipromo\Backups\refqufkuqc_nav.dat
C:\Navipromo\Backups\refqufkuqc_navps.dat
C:\Navipromo\Backups\Uninstall.reg

Ajout d'extension .off aux backups

## Fin du rapport de Suppression
a b 8 Sécurité
16 Novembre 2006 21:05:04

Re,

Supprime ce dossier :
C:\Navipromo\Backups\

Télécharge puis installe AVG Anti-Spyware (AVG AS)
Une fois AVG AS lancé, clique sur "Mise à jour"
Ferme le programme.
AIDE : Tuto de Malekal

Redémarre en mode sans échec

Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

/!\ Si un fichier est infecté en fin d'analyse /!\
Clique sur "Appliquer toutes les actions "

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.

Redémarre normalement
Copie/Colle le rapport ici.
16 Novembre 2006 23:27:19

RE...
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 23:09:36 16/11/2006

+ Résultat de l'analyse:



C:\System Volume Information\_restore{58E8BEBA-26A4-45ED-9D92-ED376219F13B}\RP465\A0120425.exe -> Adware.Casino : Nettoyé.
C:\WINDOWS\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.m : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@bluestreak[2].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@casalemedia[2].txt -> TrackingCookie.Casalemedia : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@ehg-businesslab.hitbox[1].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@hitbox[2].txt -> TrackingCookie.Hitbox : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@perf.overture[1].txt -> TrackingCookie.Overture : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@questionmarket[1].txt -> TrackingCookie.Questionmarket : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Damien\Cookies\damien@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.
C:\Documents and Settings\Alexandra\Cookies\alexandra@zedo[2].txt -> TrackingCookie.Zedo : Nettoyé.


Fin du rapport

Merci encore pour ta précieuse aide. Je suis connecté depuis une dizaine de minutes, et pas encore eu de pop up... J'espère que C enfin résolu !
a b 8 Sécurité
17 Novembre 2006 17:54:54

C'est OK je pense.
17 Novembre 2006 20:34:52

Merci vraiment beaucoup pour la rapidité et l'efficacité de tes réponses.. RESOLU
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS