Forum Clubic

Logiciel publicitaire... rrrh

Salut à tous !!
J’ai une fenêtre de pub “aurora” qui s’ouvre toutes les 5 minutes… pénible…
J’ai passé :
Ad-Aware : qui trouve cette clé comme vulnérable : HKEY_LOCAL_MACHINE:software\microsoft\windows nt\currentversion\winlogon"Shell" (explorer.exe c:\windows\nail.exe avec en commentaire : “Shell possibly compromised” :sweat:
Spybot : RAS
Crosoft antispy : RAS
Norton Anti-virus : des *.exe dont nail.exe (j’ai aussi passé norton en mode ss échec de XP parce qu’il me disait qu’il ne pouvait pas supprimer certains *.exe)

Donc Norton me dit que nail.exe est viré mais il est encore là j’ai beau lancer Ad-Aware, le problème revient…
Je ne sais plus quoi faire là… HELP !!!

Et Hijackthis ??? tu scannes tu postes le log et cela complète adware et spybot

Recherche et supprime toutes les lignes dans la base de registre qui contiennent nail.
Idem pour les fichiers sur ton dd.
Il doit bien y avoir nail.exe quelque part.
Ensuite, avec startupRun regarde ce qui se lance au démarrage.

Voilà pour le log de Hijackthis : (c’est bien ça ?? première utilisation…)

Logfile of HijackThis v1.99.1
Scan saved at 11:47:18, on 07/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\DaemonTools 3.47\daemon.exe
C:\Program Files\TOSHIBA\Silencieux pour unité CD-DVD\toscdspd.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Winamp 5.08e\Winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinRAR 3.20\WinRAR.exe
C:\DOCUME~1\Bou\LOCALS~1\Temp\Rar$EX00.243\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - D:\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM…\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM…\Run: [000StTHK] 000StTHK.exe
O4 - HKLM…\Run: [TFNF5] TFNF5.exe
O4 - HKLM…\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM…\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM…\Run: [TPSMain] TPSMain.exe
O4 - HKLM…\Run: [TFncKy] TFncKy.exe
O4 - HKLM…\Run: [ccApp] “C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM…\Run: [fox] C:\WINDOWS\fox.exe
O4 - HKLM…\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM…\Run: [MessengerPlus3] “C:\Program Files\MessengerPlus! 3\MsgPlus.exe”
O4 - HKLM…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe”
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\DaemonTools 3.47\daemon.exe” -lang 1033
O4 - HKLM…\Run: [ukrken] c:\windows\system32\fjgxre.exe
O4 - HKCU…\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\Silencieux pour unité CD-DVD\toscdspd.exe
O4 - HKCU…\Run: [MessengerPlus3] “C:\Program Files\MessengerPlus! 3\MsgPlus.exe” /WinStart
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\DOSSIE~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - D:\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - D:\MATLAB_701\webserver\bin\win32\matlabserver.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Sinon j’ai trouvé le nail.exe c’est bon mais je peux le virer comme ça ??
Sinon comment je fais pour que je supprime toutes les lignes dans la base de registre qui contiennent nail.

Démarrer > Exécuter > Regedit > Recherche
Auparavant : Démarrer > Exécuter > Regedit > Poste de travail > Onglet Registre > Exporter pour sauvegarder la base.

Le fichier Nail.exe renomme le provisoirement nail.exe.old

Ton log tu le post ici et tu règles (fix) les problemes un par un
http://www.hijackthis.de/fr
Dis nous ensuite…
Ta ligne hijackthis F2 est avec nail tu commences par cela

Oki, merci beaucoup :jap:
Je ne peux pas faire ça maintenant mais je vous ferais signe quand ce sera fait !!

bien bien, j’ai donc passé un ti coup de hijackthis
J’ai donc pu fixé le nail.exe, un fox.exe aussi plus deux trois autres truc qu’il m’a dit d’effacer “à tout prix” !!
sinon pour la base de registre je n’ai que celle ci qui apparait :
Type : REG_SZ
Données : Shell.ThumbnailExtract.GdiPlus.1
Faut faire péter ??

sinon dans hijackthis, ya le prog svcproc.exe qui parait bizarre… vous connaissez ? Voilà ce qu’il me dit : :??:

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
Inconnu
Ces entrées montrent tous les services qui ne sont pas de Microsoft. Souvent malware démarre comme un service système et n’est pas facile à détecter. Service inconnu. (svcproc.exe)

Et sinon malgré les fix et le passage de nail.exe en nail.exe.old, j’ai toujours la fenêtre qui s’ouvre… :sweat:

installe si ne c’est dejas fait la barre de recherche (toolbarre)google dans ton navigateur.
elle deispose d’un anti popup integrée.
pitete cela resoudra t-il le probleme.
bye

ben ça bloquera l’ouverture de la fenêtre mais ça n’éradiquera pas ce satané programme de m****, non ??

:slight_smile: fixe ces lignes

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

les lignes 04 doivent être arrêtées (ctrl/alt/supp) avant de repasser sur le log. et fixer

O4 - HKLM…\Run: [ukrken] c:\windows\system32\fjgxre.exe

pour cette ligne :
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS[b]svcproc.exe[/b]
sers-toi du “Delete NT Service” dans la partie -->Misc Tools

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked) (+ pour la 023)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille

ensuite tu dois rechercher svcproc.exe dans C–>Windows ou dans la Base de Registre (faire une sauvegarde au préalable) et le supprimer manuellement- les fix dans l’hijack pour les lignes 023 arrête le programme mais ne le supprime pas

voir :
http://www.bleepingcomputer.com/startups/svcproc.exe-8594.html

svcproc.exe
Description: This infection is identified as Trojan.Win32.Stervis.b. It is usually bundled with nail.exe, a Abetterinternet adware variant. It is notoriously difficult to remove …

après les fix/recherche et supprime :

C:[u]WINDOWS<–situé ici[/u]–> supprime : Nail.exe
C:\WINDOWS[u]system32<–situé ici[/u]–> supprime : fjgxre.exe
C:[u]WINDOWS<–situé ici[/u]–> supprime : svcproc.exe

  1. désactive la restauration système
  2. affiche les dossiers cachés et protégés (important)
  3. passe en mode sans échec (préférable)
  4. recherche et supprime les […].exe(s)
  5. redémarre en mode normal
  6. effectue un nettoyage du disque (outils système)
  7. réactive ta restauration système

tu devrais télécharger Ad-aware.SE/ Spybot.s&d 1.3


Oki merci westerunion mais je suis bloqué svcproc.exe. Quand je rentre svcproc dans le “delete NT”, j’ai un message d’erreur : “The service’svcproc’ is enabled and/or running. Disable it first, using Haijckthis itself (from the scan results) or the Services.msc windows”…comment qu’on fait…?? (je ne le vois pas quand je fais ctrl+alt+sup… je vois juste 6 svchost…) :sweat:
Sinon je sais pas si c’est normal mais quand je fixe ma ligne F2, elle reste malgré tout…
Et puis ma ligne O2 n’existe plus et fjgxre n’apparait plus (surement dû aux fix que j’ai fait hier…??)
Sinon j’ai jeté un oeil dans C:\windows et j’ai trouvé quelques autre *.exe comme par exemple sqgrmtrtee.exe qui a le même icône que celui de la fenêtre de pub ou d’autres aux noms bizarres tel jre.exe ou jrew.exe ou encore sxuohk.exe… est-ce qu’il y a un lien ou alors je deviens parano ?? :??: :pt1cable:

voilà pour le moment, merci beaucoup de ton aide en espérant pouvoir arriver à éradiquer c’te bête !!

un peu normal l’erreur de l’hijack sur la ligne 023 c’est une entrée délicate

  • tu dois afficher les dossiers cachés et protégés et lancer la recherche soit par l’explorateur soit dans la base de registre pour les exe(s) restantes à supprimer

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe<-- ne peut pas apparaitre par ctrl/alt/supp parceque ce programmes n’est pas actif au démarrage - seuls les programmes des lignes 04 (démarrage) apparaissent par le ctrl/alt/supp

relance Hijack et regarde les lignes qui restent à cocher et fixe

ensuite selon les lignes encore infectées/fait les dernières suppressions :

1) désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

2) affiche les dossiers cachés :
Clique sur “Démarrer” >> “Panneau de Configuration” >> “Options des Dossiers”
Clique sur l’onglet “Affichage”>> Dans la liste des “Paramètre avancés”, sous la rubrique “Fichiers et dossiers cachés”>>[!coche!] “Afficher les fichiers et dossiers cachés”
Pour afficher les autres fichiers cachés>>[!décoche!] la case “Masquer les fichiers protégés du système d’exploitation” *

3) passe en mode sans échec
:
donne des impulsions rapides dès l’allumage de ton ordi sur la touche F8 ou F5
http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

4) recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32—> supprime : [xxxxxx].exe

5) redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système

jre.exe <–il semblerait que ce soit en rapport avec Java

sqgrmtrtee.exe/sxuohk.exe <-- ?? si tu es sûr des noms : Google/inconnus (si c’est une forme de worm qui hante ton ordi, chaque boot, il se renomme différement)

bien j’ai fait ce que tu m’as dit… et rien, le nail.exe est revenu…snif ainsi que les fenêtres plublicitaires…
concernant sqgrmtrtee.exe/sxuohk.exe, oui je suis sûr. Sinon, je pense que le premier joue son role dans mon problème vu qu’il a le même icône et je n’ai pas voulu le supprimer en mode sans écheec (tout comme l’autre d’ailleurs); aurais-je du…??? that’s the question…

aussi, ils ne sont pas renommés au démarrage…

en faisant :
Demarrer–>Executer -->tape : Services.msc
recherche le service : svcproc.exe
System Startup Service/
clic dessus/clic sur “arreter” puis dans type de démarrage selectionne “désactivé”

pour ce spyware sur Bleeping
http://www.bleepingcomputer.com/startups/svcproc.exe-8594.html
il parle d’un log à télécharger ewido security pour effacer les données créent par ce spy - ainsi que “Cleanup”

regarde ces posts :
http://castlecops.com/postp528548.html


etc… sur Google

bon merci beaucoup tout le monde les gens pour votre aide mais pour être sur d’être tranquille, j’ai formaté car mon PC en avait quand même besoin…c’était la goutte d’eau…
Merci à tous, vive Clubic !!
Tcho