detection de Magic Control Agent comment le suppri

02/08-2006 à 16:04Bonjour,
Depuis 2jours, j'ai des pubs internets qui apparaissent alors que je n'ai rien demandé.
Je lance
Ad-Aware: rien.
Spybot: Magic Control Agent detecté, qui le supprime mais à chaque re-démarrage il revient.

J'ai comme antivirus kit G DATA: rien d'anormal.

En allant sur different forum j'ai installé "A²" je suis en train de faire une analyse j'attend la réponse!

Comment le supprimer sans qu'il reviennent? merci

02/08-2006 à 16:31regardes ce post, pour commencer


http://www.memoclic.fr/forum/technique/221774/magiccontrolagent__untrucpourquildisparais.html

02/08-2006 à 17:40j'ai bien regarder le post communiquer mais les etapes on été réalisées suivant des rapports hijack et je ne dois avoir le meme!
merci de me dire comment communiquer le rapport et de me dire les etapes une a une, je vous en serai tres reconnaissant!

02/08-2006 à 18:03mon analyse avec A² n'a rien donné non plus.
Peu etre qu'avec un rapport vous pourrez m'en dire +. merci d'avance

02/08-2006 à 19:50je desespere de trouver une solution! et des pages apparaissent me disant que mon pc est infecté et qu'il faut telecharger sytemdoctor2006, je ne l'ai pas fait heureusement mais cet appel doit bien venir d'un virus?
s.o.s please

02/08-2006 à 20:19en allant sur des forums j'ai telecharger f-secure blacklight et il me detecte 4fichiers cachés dans win32 ?

02/08-2006 à 20:29Bonsoir

Pour télécharger Hitjackthis http://www.infos-du-net.com/telecharger/HijackThis.html

Pour obtenir une évaluation du rapport http://www.hijackthis.de/fr


Pas de panique, tu vas y arriver...

----------

Quoi que je fasse, où que je sois, rien ne t'efface, je pense à toi...

http://www.monzoo.net/myzoo.php?pseudo=Anoli%2034
http://www.monzoo.net/myzoo.php?pseudo=Cheyenne34

02/08-2006 à 20:30vas sur cette adresse

http://www.noadware.net/?hop=orderform5

02/08-2006 à 20:42

Spybot: Magic Control Agent detecté, qui le supprime mais à chaque re-démarrage il revient

Bonsoir
Spybot est-il bien vacciné, les mises à jour effectées, le fichier host enregistré?

----------
Beethoven était sourd, ça dépasse l' entendement.

02/08-2006 à 21:03apparemment, spybot seul n'arrive pas à éradiquer MAGIC !

il revient à chaque fois, d'après les commentaire sur google

l'adresse que j'ai donnée semble résoudre ce problème

à voir

[°)]

02/08-2006 à 21:24Voici l'analyse hijack

Logfile of HijackThis v1.99.1
Scan saved at 21:20:29, on 02/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\AVK InternetSecurity\AVK\AVKService.exe
C:\Program Files\AVK InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AVK InternetSecurity\AVKTray\AVKTray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\Program Files\Lexmark 3100 Series\lxbrcmon.exe
C:\Program Files\AVK InternetSecurity\Firewall\GDFirewallTray.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AVK InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Propriétaire.NOM-OGL2XDJJQAE.000\Bureau\pichounelou\fichiers recu\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\AVK InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\AVK InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVKTray] "C:\Program Files\AVK InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Club Internet.lnk.disabled
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version6/Applet/vchatsign.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Fichiers communs\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AVK InternetSecurity\AVK\AVKService.exe
O23 - Service: Gardien d'AVK (AVKWCtl) - Unknown owner - C:\Program Files\AVK InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Pare-feu personnel G DATA (GDFwSvc) - Unknown owner - C:\Program Files\AVK InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\program files\mcafee.com\agent\mcdetect.exe (file missing)
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)

*******************************************************************************************************************

voici l'analyse avast:
02/08/2006, 20:36:04
Analyse de la mémoire démarrée...
Aucun corps de virus trouvé en mémoire.
Analyse de la mémoire terminée (1,4s).
----------
Analyse des fichiers démarrée...
Aucun corps de virus trouvé.
Analyse des fichiers terminée (74216 fichiers, 0 infectés, 1754,8s).
Lecteurs analysés : C: D:
----------
*******************************************************************************************************************

voici l'analyse de f-secure blacklight
08/02/06 20:12:56 [Info]: BlackLight Engine 1.0.42 initialized
08/02/06 20:12:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/02/06 20:12:57 [Note]: 7019 4
08/02/06 20:12:57 [Note]: 7005 0
08/02/06 20:13:01 [Note]: 7006 0
08/02/06 20:13:01 [Note]: 7011 3712
08/02/06 20:13:02 [Note]: 7026 0
08/02/06 20:13:02 [Note]: 7026 0
08/02/06 20:13:02 [Note]: 7024 3
08/02/06 20:13:02 [Info]: Hidden process: C:\windows\system32\dqrkgvjaxt.exe
08/02/06 20:13:02 [Note]: FSRAW library version 1.7.1019
08/02/06 20:19:14 [Info]: Hidden file: c:\WINDOWS\system32\dqrkgvjaxt_nav.dat
08/02/06 20:19:14 [Note]: 10002 1
08/02/06 20:19:15 [Info]: Hidden file: c:\WINDOWS\system32\dqrkgvjaxt.dat
08/02/06 20:19:15 [Note]: 10002 1
08/02/06 20:19:15 [Info]: Hidden file: C:\windows\system32\dqrkgvjaxt.exe
08/02/06 20:19:16 [Note]: 10002 1
08/02/06 20:19:16 [Info]: Hidden file: c:\WINDOWS\system32\dqrkgvjaxt_navps.dat
08/02/06 20:19:16 [Note]: 10002 1
08/02/06 20:21:05 [Note]: 7007 0
*******************************************************************************************************************

et voici l'analyse de Gdata ANTIVIRUS KIT:

Lors du (de la) Fermer du fichier "C:\Documents and Settings\Propriétaire.NOM-OGL2XDJJQAE.000\Local Settings\Temporary Internet Files\Content.IE5\GHIJKLMN\SystemDoctor2006FreeInstall_fr[1].cab", le virus "not-a-virus:Downloader.Win32.WinFixer.l" a été détecté par le moteur "KAV". Fichier nettoyé : Non. Fichier effacé : Non. En quarantaine : Non.
Lors du (de la) Ouvrir du fichier "C:\Documents and Settings\Propriétaire.NOM-OGL2XDJJQAE.000\Local Settings\Temporary Internet Files\Content.IE5\GHIJKLMN\SystemDoctor2006FreeInstall_fr[1].cab", le virus "not-a-virus:Downloader.Win32.WinFixer.l" a été détecté par le moteur "KAV". Fichier nettoyé : Non. Fichier effacé : Non. En quarantaine : Non.
*******************************************************************************************************************

merci d'avance pour votre aide

02/08-2006 à 21:26Assez bizarrement, j'ai également comme doc.1664 cette pub mais uniquement quand je viens sur Memoclic (comme maintenant) et celui depuis deux jours.

Serions nous les seuls ?

----------
Le seul ordinateur réellement en sécurité est un ordinateur éteint... et encore... je ne suis pas sûr."
Citation de je ne sais plus qui..

Boriss

02/08-2006 à 21:30rien de tout ca pour moi
bise bise Boris

----------

02/08-2006 à 21:34pour spybot, il est bien a jour, reverifier et vacciner;
quand a l'adresse http://www.noadware.net/?hop=orderform5 je ne peux selectionner de scan pas d'accès?
A verifier l'adresse.

02/08-2006 à 21:38clique sur scan you pc

----------

02/08-2006 à 21:42Bonsoir
L'adresse est bonne.
Ton antivirus l'a trouvé ce doctor2006, il faut nettoyer, supprimer, mettre en quarantaine, payer ta tournée
y a Boriss qu' a soif !

----------
Beethoven était sourd, ça dépasse l' entendement.

02/08-2006 à 21:50

quand a l'adresse http://www.noadware.net/?hop=orderform5 je ne peux selectionner de scan pas d'accès?
A verifier l'adresse.

je viens d'y aller !

http://www.noadware.net/?hop=orderform5


clic-dessus

02/08-2006 à 22:03ok pour l'adresse, je sais pas ca marchait pas et maintenant ok ca roule!
par contre j'ai encore + peur car il me detecte 10 fois plus de mauvaise lignes mais a la finale c'est payant!


analyse noadaware

mon antivirus ne peut supprimer, renomer ou mettre en quarantaine systemdoctor car il me met qu'il sont protegé par mot de passe!
peu etre lancé l'analyse en mode sans echec? ou supprimer manuellement en mode sans echec?

OU AUTRES ???

02/08-2006 à 22:06
analyse1 noadaware



analyse2

02/08-2006 à 22:21Il va falloir te prendre par la main et supprimer en prorité les deux HKEY.....
C'est à dire entrer dans la base de registre ; tu sais faire ?

----------
Beethoven était sourd, ça dépasse l' entendement.