Se connecter / S'enregistrer
Votre question

pop up et plus encore ... écran bleu au passage des antivirus ... si si !!!

Tags :
  • Sécurité
  • Écrans
Dernière réponse : dans Sécurité et virus
28 Décembre 2005 21:08:53

bonsoir,
j'ai ramassé quelque chose que je ne maîtrise pas ...
1) qui m'envoie des pop up à la pelle
2) que je ne peux éradiquer parce qu'en cours de route tous les antivirus ou antispyware que j'ai mis en oeuvre me présentent l'écran bleu (avast - adaware - spysweeper)
après avoir cherché et lu j'ai téléchargé HiJackThis et j'ai fait le scan avec rapport (qui suit ... c'est toujours ça de gagné en communication)
et comme sur HiJackThis ils recommandent de soumettre le rapport à un gourou (ce que je ne suis pas) vous avez compris les raisons de ma présence sur ce forum ...
un grand merci d'avance à ceux qui se pencheront sur les lignes qui suivent et dont je suivrai les conseils fidèlement
bien cordialement
Laurent


Logfile of HijackThis v1.99.1
Scan saved at 20:48:44, on 28/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\rundll32.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\windows\System32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\windows\system32\pctspk.exe
C:\WINDOWS\Hcontrol.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Microsoft Office\Office\1036\msoffice.exe
C:\windows\system32\fxssvc.exe
C:\WINDOWS\ATKOSD.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\LaurentVerbois\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TempRemove] "C:\Program Files\Crystal Ball\CB Predictor\terminator.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/r...
O17 - HKLM\System\CCS\Services\Tcpip\..\{21B163B1-A045-4866-BFF2-9BFAC61B920A}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C118F81-3541-40A6-A69D-481F3EBC0CD8}: NameServer = 212.27.54.252,213.228.0.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E535DFF-B123-467E-BAF7-BC3AD4BDE3A4}: NameServer = 212.27.54.252,213.228.0.23
O17 - HKLM\System\CS1\Services\Tcpip\..\{21B163B1-A045-4866-BFF2-9BFAC61B920A}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\m646lghs1646.dll
O20 - Winlogon Notify: WRNotifier - C:\windows\SYSTEM32\WRLogonNTF.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\windows\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

Autres pages sur : pop ecran bleu passage antivirus

28 Décembre 2005 21:18:19

Bonsoir,

Tu as une infection de type VX2.Look2Me très coriace
(ligne O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\m646lghs1646.dll)

essaie l'uninstaller édité par les auteurs de cette saleté de Look2Me
(certains l'ont testé et a priori ça ne provoque pas d'autres infections ou dysfonctionnements)
28 Décembre 2005 21:57:25

merci de ta patience,
ton lien vers l'uninstaller de Look2Me est brisé
et celui de ce site aussi :
http://www.pctoday.com/editorial/article.asp?article=ar...
je vais tenter de réparer cela avec la fonction fixer de HiJackThis
sinon, j'essaierai la méthode manuelle du site ci-dessus avec la .DLL que tu as pointé ... à l'ancienne !!!
je reviendrai vers toi rapidement ... si mon ordinateur fonctionne encore après tout ça
plus tard si je dois réinstaller Windows et son grand orchestre
pace e salute
Laurent
Contenus similaires
28 Décembre 2005 22:10:09

le lien n'est pas brisé, mais certains prog comme Spy Sweeper empêche d'y accéder car il s'agit du site des auteurs de Look2Me.
Donc désactive Spy Sweeper et même peut-être Avast pour y accéder.
De plus il n'est accessible que 2 fois par jour pour une même IP.

Tu ne pourras pas virer Look2Me manuellement car la DLL change de nom sans cesse et se régénère dans la base de registre. Comme je te l'ai dit, il est très coriace.
29 Décembre 2005 21:43:52

bonsoir,

ah ... oui, oui, oui !!!
je m'étais aperçu du changement de nom de la .DLL
et j'avais abandonné l'idée du truc à la main
je n'ai pas fait le rapprochement avec SpySweeper ou Avast pour le lien avec le désinstalleur Look2Me
-je ne suis pas gourou et il y a de bonnes raisons à cela-
entre temps j'ai recherché un autre uninstaller et j'ai trouvé ce post -on dira que c'est ma petite contribution à la communauté- :
http://www.geekstogo.com/forum/index.php?showtopic=8563...
(38 pages, c'est un peu long, mais ce sont les logs HJK et consorts qui prenent de la place)
j'ai suivi leur recommandations qui semblaient me concerner ; si cela a nettoyé quelques "trucs" et m'a rendu un HJL log qui paraît plus propre que précédemment
en revanche une version de SpySweeper avec environ 110 000 definitions a nettoyé quelques bricoles supplémentaires ... sans encombre jusqu'à la fin du scan
et de façon surprenante la même version de SpySweeper mais avec environ 120 000 définitions trouve encore 2 adware (dollarrevenue & look2me) ainsi que 3 trojan-backdoor (keylog-sters & securemulti & us15info)
avant de me présenter l'écran bleu et de redémarrer l'ordinateur
idem si je lance AdAwareSE ... écran bleu et reboot au bout d'un petit moment (il me semble que c'est lorsqu'il scanne Windows\System32)
démarrage normal ou bien mode sans échec

j'ai télécharger le désintalleur de look2me qui me répond qu'il n'est pas installé ...

j'ai tenté de réinstaller mon bon vieux PestPatrol ... impossible !!!

je pense que je vais rendre les armes ... si tu n'as pas de solution à me proposer ... ou de piste à m'indiquer ...
je me rends compte que la formulation n'est pas bonne ... elle n'est pas dirigée contre toi et ne remets pas en cause tes compétences
elle n'exprime que mon propre découragement
je vais reformater C et réinstaller Windows ce week-end
et je serai plus vigilant à l'avenir ... jura mais un peu tard ... bla bla bla

merci du temps que tu m'as consacré et de ta patience
bravo pour ta passion

bien cordialement

Laurent

29 Décembre 2005 22:42:14

Bonsoir,

essaie ça :

1/ Télécharge l2mfix.exe
Mets-le sur ton bureau.
Double-clic sur l2mfix.exe
A la 1ère question clic sur Accept, ensuite clic sur Install

2/ Ouvre le dossier l2mfix créé sur le bureau puis double-clic sur L2Mfix.bat
Ensuite choisis l'option 1 puis Entrée
Poste ce 1er rapport.

3/ Ensuite ferme tous les programmes parce qu'il va y avoir reboot automatique
Ouvre le dossier l2mfix créé sur le bureau puis double-clic sur L2Mfix.bat
Ensuite choisis l'option 2 puis Entrée
Puis appuie sur n'importe quelle touche pour redémarrer l'ordinateur
Après redémarrage, le bureau et les icônes vont apparaître puis disparaître, c'est normal ! Et un nouveau rapport va apparaître à l'écran.
>> Si après redémarrage les icônes n'apparaissent/disparaissent pas ou si le rapport n'apparaît pas, alors ouvre le dossier l2mfix et lance second.bat
Enfin poste ce 2ème rapport avec un nouveau rapport HJT.
3 Janvier 2006 15:02:24

bonjour et meilleurs voeux pour une année 2006 riche en évènements personnels heureux ...
l2mfix.exe est le même que celui qui figurait dans le post que j'avais trouvé et cité dans ma réponse précédente
j'ai cependant fait tout ce que tu m'as dit ... (je t'épargne ainsi qu'aux lecteurs du sujet les logs enregistrés)
mais la situation s'est dégradée avec des écrans bleus intempestifs quasi permanents
je reviens donc avec un HDD tout propre effacé formaté réinstallé
sans rien de nuisible dedans (tous les fichiers récupérés placés dans des archives et scannés avant transfert ... si, si, si !!!)
je peux mener un scan Avast ou AdAware à son terme sans encombre ... SpySweeper je n'ai pas essayé mais ça ne va pas tarder
je n'ai toujours pas compris ce que j'avais ramassé comme virus ??? spyware ??? malware ??? trojan horse ??? en ça, j'ai le sentiment de ne pas avoir fait avancer la communauté
La vie est un long fleuve tranquille ...
pace e salute
Laurent
PS je te laisse le soin, en qualité de modérateur, de fermer le sujet et je te remercie, encore une fois du temps que tu as consacré à mes questions
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS