WinAntispyware2006 tenace ... [Résolu]

Bonjour,
Nouvelle apparition de fenêtres Spam intempestives : WinAntispyware2006, sur le portable cette fois (XP SP2), lorsque Internet Explorer est actif.
J'ai exécuté F-Secure Blacklight. Voici le rapport :

12/11/06 15:34:30 [Info]: BlackLight Engine 1.0.47 initialized
12/11/06 15:34:30 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/11/06 15:34:31 [Note]: 7019 4
12/11/06 15:34:31 [Note]: 7005 0
12/11/06 15:34:45 [Note]: 7006 0
12/11/06 15:34:45 [Note]: 7011 1568
12/11/06 15:34:45 [Note]: 7026 0
12/11/06 15:34:45 [Note]: 7026 0
12/11/06 15:34:45 [Note]: 7024 3
12/11/06 15:34:45 [Info]: Hidden process: C:\windows\system32\dzavligeaj.exe
12/11/06 15:34:45 [Note]: FSRAW library version 1.7.1020
12/11/06 15:35:49 [Info]: Hidden file: c:\WINDOWS\PREFETCH\DZAVLIGEAJ.EXE-1D653436.pf
12/11/06 15:35:49 [Note]: 10002 1
12/11/06 15:36:03 [Info]: Hidden file: c:\WINDOWS\system32\dzavligeaj.dat
12/11/06 15:36:03 [Note]: 10002 1
12/11/06 15:36:04 [Info]: Hidden file: C:\windows\system32\dzavligeaj.exe
12/11/06 15:36:04 [Note]: 10002 1
12/11/06 15:36:04 [Info]: Hidden file: c:\WINDOWS\system32\dzavligeaj_nav.dat
12/11/06 15:36:04 [Note]: 10002 1
12/11/06 15:36:04 [Info]: Hidden file: c:\WINDOWS\system32\dzavligeaj_navps.dat
12/11/06 15:36:05 [Note]: 10002 1
12/11/06 15:37:01 [Note]: 7007 0

Quels sont les outils à utiliser dans ce cas pour faire disparaître ces fenêtres ?
Merci d'avance pour votre aide.
Gawetss

Bonjour!

Qu'est -ce qui c'est passé avec ce fil?
http://forum.telecharger.01net.com/ordinateurindividuel/securite_problemes_et(...)

Esst-ce une question [Résolu] (si oui, veuillez svp l'incrire grace à éditer dans le sujet) ou est-ce le même problème???

A+

Aussi,
Q2. Quel méthode précédemment suggérées...avait fonctionnée ou avez-vous utilisées???

Q3.Suite, à la précédente recommandation, il ya-t-il eu un moment de rémission?

A+

Bonsoir,

Pour ce fil :
http://forum.telecharger.01net.com/ordinateurindividuel/securite_problemes_et(...)
il s'agit du PC de ma belle-sœur.
Je n'ai pas encore eu le temps d'aller nettoyer cette machine !

Pour le message posté le 11/12/06 à 17:48:22, il s'agit d'une autre machine, le PC de ma femme.

Les fenêtres spam se ressemblent sur ces 2 machines, ainsi que les rapports de F-Secure Blacklight. Est-il possible d'utiliser la même méthode pour éradiquer ce spam empoisonnant ?
(F-Secure Blacklight + Pocket KillBox). Je pense que oui.
Vos avis s.v.p. pour confirmation.

Merci d'avance pour vos conseils.
Gawetss

REbonjour!

Utilisez en premier lieu la méthode avec Smitfraudfix

Téléchargez sur le bureau
Smitfraudfix
http://telechargement.zebulon.fr/259-smitfraudfix.html

=Double-cliquez sur SmitfraudFix.zip
= Extraire tout
---------
Redémarrez en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.
Relancez le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionnez Mode sans échec ==> entrée ==>nom utilisateur habituel

Pour Relancez Smitfraudfix...
=Doublez-cliquez sur SmitfraudFix
= Double-Cliquez sur SmitfraudFix.cmd
=Choisissez Option 2
= Sauvez le rapport

= Copier/coller ce rapport ICI même sur ce fil de dicussion.

Au cas où...

Voici un tutoriel,
http://telechargement.zebulon.fr/259-smitfraudfix.html

A+

Bonjour,
Pour le PC de ma femme (Packard-Bell EasyNote XP SP2), j'ai exécuté l'analyse avec SmitfraudFix – Option 1 Recherche.
Voici le rapport :

SmitFraudFix v2.127

Rapport fait à 9:54:17,81, 12/12/2006
Executé à partir de C:\Installation Logiciels\CleanPC\SmitfraudFix\V2.127\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ckiline


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ckiline\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ckiline\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="pushow60.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Dans ce rapport, je ne vois pas les fichiers cachés que F-Secure Blacklight avait vus.
Est-ce normal ?
Si oui, faut-il continuer la procédure de SmitfraudFix ?
Merci beaucoup.
Gawetss

Bonjour!

Refaite un scan avec Smitfraudfix(en suivant la même procédure) MAIS ce coup-ci nettoyer les clés trouvées.

A+

Bonjour,
J'ai exécuté la procédure avec SmitfraudFix.
Voici le rapport après exécution :

SmitFraudFix v2.127

Rapport fait à 8:42:04,43, 13/12/2006
Executé à partir de C:\Installation Logiciels\CleanPC\SmitfraudFix\V2.127\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

>> Les Fenêtres Spam intempestives n'ont pas toutes disparues.
Après quelques minutes avec Internet Explorer, j'ai eu droit à "NaviSearch", "WinAntivirusPro2006", etc …

J'ai fait un scan avec F-Secure Blacklight. Voici le rapport :

12/13/06 09:10:21 [Info]: BlackLight Engine 1.0.47 initialized
12/13/06 09:10:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/13/06 09:10:21 [Note]: 7019 4
12/13/06 09:10:21 [Note]: 7005 0
12/13/06 09:10:23 [Note]: 7006 0
12/13/06 09:10:23 [Note]: 7011 1556
12/13/06 09:10:23 [Note]: 7026 0
12/13/06 09:10:23 [Note]: 7026 0
12/13/06 09:10:23 [Note]: 7024 3
12/13/06 09:10:23 [Info]: Hidden process: C:\windows\system32\aswfhrbxm.exe
12/13/06 09:10:23 [Note]: FSRAW library version 1.7.1020
12/13/06 09:11:29 [Info]: Hidden file: c:\WINDOWS\PREFETCH\ASWFHRBXM.EXE-15BE2BC0.pf
12/13/06 09:11:29 [Note]: 10002 1
12/13/06 09:11:38 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm.dat
12/13/06 09:11:38 [Note]: 10002 1
12/13/06 09:11:39 [Info]: Hidden file: C:\windows\system32\aswfhrbxm.exe
12/13/06 09:11:39 [Note]: 10002 1
12/13/06 09:11:39 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm_nav.dat
12/13/06 09:11:39 [Note]: 10002 1
12/13/06 09:11:40 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm_navps.dat
12/13/06 09:11:40 [Note]: 10002 1
12/13/06 09:13:15 [Note]: 7007 0

Quelle suite donner pour éradiquer ce Spam pénible ?
Merci d'avance les spécialistes.
A+
Gawetss

Bonjour à tous,
Le PC : Portable Packard-Bell Easynote XP SP2

J'ai refait un scan avec F-Secure Blacklight. Voici le rapport :

12/21/06 10:59:01 [Info]: BlackLight Engine 1.0.47 initialized
12/21/06 10:59:01 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/21/06 10:59:01 [Note]: 7019 4
12/21/06 10:59:01 [Note]: 7005 0
12/21/06 10:59:05 [Note]: 7006 0
12/21/06 10:59:05 [Note]: 7011 1600
12/21/06 10:59:05 [Note]: 7026 0
12/21/06 10:59:05 [Note]: 7026 0
12/21/06 10:59:05 [Note]: 7024 3
12/21/06 10:59:05 [Info]: Hidden process: C:\windows\system32\aswfhrbxm.exe
12/21/06 10:59:05 [Note]: FSRAW library version 1.7.1020
12/21/06 11:00:04 [Info]: Hidden file: c:\WINDOWS\PREFETCH\ASWFHRBXM.EXE-15BE2BC0.pf
12/21/06 11:00:04 [Note]: 10002 1
12/21/06 11:00:15 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm.dat
12/21/06 11:00:15 [Note]: 10002 1
12/21/06 11:00:16 [Info]: Hidden file: C:\windows\system32\aswfhrbxm.exe
12/21/06 11:00:16 [Note]: 10002 1
12/21/06 11:00:16 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm_nav.dat
12/21/06 11:00:16 [Note]: 10002 1
12/21/06 11:00:17 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm_navps.dat
12/21/06 11:00:17 [Note]: 10002 1
12/21/06 11:01:19 [Note]: 7007 0

Ensuite, j'ai utilisé KillBox pour supprimer les fichiers "Hidden" ci-dessus après avoir coché la case " Delete on reboot ".
Le PC a redémarré normalement.

J'ai fait un nouveau scan avec Blacklight. Voici le rapport :

12/21/06 11:13:33 [Info]: BlackLight Engine 1.0.47 initialized
12/21/06 11:13:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/21/06 11:13:33 [Note]: 7019 4
12/21/06 11:13:33 [Note]: 7005 0
12/21/06 11:13:37 [Note]: 7006 0
12/21/06 11:13:37 [Note]: 7011 1408
12/21/06 11:13:37 [Note]: 7026 0
12/21/06 11:13:37 [Note]: 7026 0
12/21/06 11:13:37 [Note]: 7024 3
12/21/06 11:13:37 [Info]: Hidden process: C:\windows\system32\aswfhrbxm.exe
12/21/06 11:13:37 [Note]: FSRAW library version 1.7.1020
12/21/06 11:15:06 [Info]: Hidden file: c:\WINDOWS\PREFETCH\ASWFHRBXM.EXE-15BE2BC0.pf
12/21/06 11:15:06 [Note]: 10002 1
12/21/06 11:15:19 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm.dat
12/21/06 11:15:19 [Note]: 10002 1
12/21/06 11:15:19 [Info]: Hidden file: C:\windows\system32\aswfhrbxm.exe
12/21/06 11:15:20 [Note]: 10002 1
12/21/06 11:15:20 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm_nav.dat
12/21/06 11:15:20 [Note]: 10002 1
12/21/06 11:15:21 [Info]: Hidden file: c:\WINDOWS\system32\aswfhrbxm_navps.dat
12/21/06 11:15:21 [Note]: 10002 1
12/21/06 11:16:48 [Note]: 7007 0

Les fichiers "Hidden" sont toujours là.
Avant d'exécuter cette manip, j'ai fait un nettoyage avec CCleaner.

Comment faire pour virer ces fenêtres spam tenaces ?
Merci d'avance à vous les experts.
Gawetss

Bonjour!

Comme vous avez une entré différente par rapport au début...
Avant d'aller plus loin...

Des petites questions s'imposent: C'est quoi votre solution pare-feu et votre antivirus et finalement votre navigateur usuel???

Bonsoir loch-ness,

Windows XP SP2 Edition familiale. Pare-feu activé.
Norton Internet Security 2005 Pare-feu activé.
Internet Explorer 6.0. Version 7.0 installée le 18/12/06.
J'ai fait un nettoyage avec CCleaner sans toucher à la Base de registre.

A++
Gawetss

Bonjour à tous
Le problème de ces fenêtres spam intempestives est réglé.
Avec l'aide d'un autre forum informatique, j'ai utilisé " Brute Force Installer " comme décrit ci-dessous :

1 – Exécution du fichier EGDACCESS.bfu (en mode sans échec)
http://metallica.geekstogo.com/EGDACCESS.bfu

2 - Exécution du fichier WINSOFTWARE.bfu
http://perso.numericable.fr/~altshift/Info/Fichiers/Winsoftware.bfu

3 – Exécution du fichier FIXME.bfu contenant :

RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\aswfhrbxm
RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|aswfhrbxm
FileDelete %SYSDIR%\aswfhrbxm_navps.dat
FileDelete %SYSDIR%\aswfhrbxm_nav.dat
FileDelete %SYSDIR%\aswfhrbxm.dat
FileDelete %SYSDIR%\aswfhrbxm.exe

FileDelete C:\egd.txt
SystemRun regedit|/e C:\egd.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"|0

SystemEmptyTempFolder
SystemEmptyRecycleBin

Après 30 minutes de connexion avec Internet Explorer, je n'ai eu aucune fenêtre spam.

Merci beaucoup
Je vous souhaite à tous un Joyeux Noël.
Gawetss

Bonjour!

Pardon pour mon absence de deux jours...

Merci! pour le feedback et la précision...

Joyeux Noël et Joyeuses fêtes à vous aussi!

merci pour la Santé...je la boirai en douce.