soucis de securite avec un plugin

[dia bolo]

Bonjour à tous,

 

J'utilise Mozilla comme navigateur et depuis kelke temps j'ai un probleme sur certaines avec un message d'erreur qui apparait et sur certaines pages, Mozilla plante carrement. J'ai reinstallé et changé de version ça n'a rien changeé. J'ai essayer avec Opéra et je rencontre le meme probleme sauf avec IE (en inscrivant l'adresse dans la barre de mes documents). J'ai desisntallé macroflash et installé un autre programme pour lire les plugin sur les pages , meme probleme.

 

 

 

Avec cette erreur je pe continuer a surfer

 

 

Et la sur un site ça me fait une erreur et le rapport c'est ça, mais la Mozzilla plante

 

[Thanos]

salut dia bolo

 

Ca c'est du Edgaccess tout craché

J'ai desisntallé macroflash et installé un autre programme pour lire les plugin sur les pages , meme probleme.

ca ne changera rien! pour montrer l'infection =>

 

Commence par poster un rapport hijackthis stp =>

• Télécharger la dernière version d'HijackThis
   
  
• Installation et utilisation d'HijackThis=>
  
• Créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
  
• Renomme le fichier HijackThis.exe en diabolo.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
  
• Arrêter tous les programmes en cours et fermer toutes les fenêtres
   
  
• Lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
  

NB : en cas de problème, appliquer le Tutorial de BipBip avec copies d'écran.

 

- Ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans ta prochaine réponse.

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

après ca on attaque

[dia bolo]

rapport hijackthis

 

Logfile of HijackThis v1.99.1

Scan saved at 20:31:19, on 19/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

E:\Program Files\Alwil Software\Avast4\ashServ.exe

E:\Program Files\Executive Software\Diskeeper\DkService.exe

E:\WINDOWS\System32\FTRTSVC.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\svchost.exe

E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

E:\Program Files\Alwil Software\Avast4\ashWebSv.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

E:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe

E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Program Files\Winamp\winampa.exe

E:\WINDOWS\system32\wscntfy.exe

E:\WINDOWS\system32\RunDLL32.exe

E:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

E:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

E:\PROGRA~1\Wanadoo\TaskBarIcon.exe

E:\Program Files\MSN Messenger\msnmsgr.exe

E:\Program Files\RamBoost XP\rambxpfr.exe

E:\Program Files\Logitech\SetPoint\SetPoint.exe

E:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe

E:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE

E:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE

E:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

E:\PROGRA~1\Wanadoo\ComComp.exe

E:\PROGRA~1\Wanadoo\Toaster.exe

E:\PROGRA~1\Wanadoo\Inactivity.exe

E:\PROGRA~1\Wanadoo\PollingModule.exe

E:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

E:\PROGRA~1\Wanadoo\Watch.exe

E:\WINDOWS\system32\svchost.exe

E:\Program Files\Internet Explorer\iexplore.exe

E:\Program Files\Hijackthis\dia bolo.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - E:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O1 - Hosts: 66.98.136.25 auto.search.msn.com

O1 - Hosts: 66.98.136.25 auto.search.msn.es

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray

O4 - HKLM\..\Run: [DataLayer] E:\Program Files\Fichiers communs\PCSuite\DataLayer\DataLayer.exe

O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WOOWATCH] E:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] E:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [DAEMON Tools] "E:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [PcSync] E:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [WOOKIT] E:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [MessengerPlus3] "E:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "E:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [RamBoostXp] E:\Program Files\RamBoost XP\rambxpfr.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = E:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Logitech SetPoint.lnk = E:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - E:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - E:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

 

scan blacklight

 

09/19/06 22:06:15 [info]: BlackLight Engine 1.0.46 initialized

09/19/06 22:06:15 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/19/06 22:06:15 [Note]: 7019 4

09/19/06 22:06:15 [Note]: 7005 0

09/19/06 22:06:18 [Note]: 7006 0

09/19/06 22:06:18 [Note]: 7011 1612

09/19/06 22:06:18 [Note]: 7026 0

09/19/06 22:06:18 [Note]: 7026 0

09/19/06 22:06:27 [Note]: FSRAW library version 1.7.1019

09/19/06 22:13:56 [info]: Hidden file: e:\WINDOWS\system32\dyhesqhbkh_nav.dat

09/19/06 22:13:56 [Note]: 10002 1

09/19/06 22:13:57 [info]: Hidden file: e:\WINDOWS\system32\dyhesqhbkh.dat

09/19/06 22:13:57 [Note]: 10002 1

09/19/06 22:13:57 [info]: Hidden file: e:\WINDOWS\system32\dyhesqhbkh.exe

09/19/06 22:13:57 [Note]: 10002 1

09/19/06 22:13:58 [info]: Hidden file: e:\WINDOWS\system32\dyhesqhbkh_navps.dat

09/19/06 22:13:58 [Note]: 10002 1

09/19/06 22:45:29 [Note]: 7007 0

Modifié le 20 septembre 2006 par dia bolo

[Thanos]

salut dia bolo

 

même pas un petit bonjour?? bon , Blacklight a vu les fichiers installés par Edgaccess. Allons y pour le nettoyage =>

 

Va jusqu'au bout et si tu rencontres un problème, n'hésite pas à me le dire

 

Tu as deux possiblités pour consulter les instructions qui suivent:

 

-Soit tu copie/colles le contenu de la procédure dans un fichier texte(que tu met sur le bureau) pour pouvoir le consulter en mode sans échec(tu n'auras pas accès à internet!).

 

-Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure,

en le faisant à partir de ton navigateur :

 

-Aller en haut de page et cliquer sur le menu"Fichier" : une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau".

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant par exemple:procédure

-Dans le champs"Type" en bas de page ,choisis: Page web complète

-ensuite cliquer sur le bouton "Enregistrer" à droite du champs "nom du fichier".

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer sur le fichier procédure.htm (avec l'icone de ton navigateur) situé sur le bureau.(tu noteras qu'un nouveau dossier vase créer sur le bureau en plus du fichier "procédure.htm" : c'est normal!) De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver.

--------------------------------------------------------------------------------------------------------------------------

 

La procédure:

 

 

Télécharge la version d'évaluation d'Ewido:

http://www.ewido.net/en/download/

Installe la et mets à jour.

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau.

Clique sur Update Now,

attend la fin de cette mise à jour,

puis ferme le programme.

 

-Télécharge la dernière version de Killbox et met le sur ton bureau.

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

-Télécharge Brute Force Uninstaller (de Merijn).

Créé un nouveau dossier directement sur le C:\ et nomme-le BFU. Décompresse le fichier téléchargé dans ce nouveau dossier (C:\BFU)

 

FAIS UN CLIC-DROIT ICI et choisis "Enregistrer la cible sous..." afin de télécharger EGDACCESS.bfu (de Metallica).

Voici ce à quoi doit ressembler l'icone du fichier .Bfu que tu viens de télécharger:

Sauvegarde dans le dossier créé (C:\BFU). **Note : si tu utlises Internet Explorer; lors de la sauvegarde, assure-toi que le champs "Type :" affiche "Tous les fichiers". Tu dois maintenant avoir deux fichiers dans le dossier C:\BFU : EGDACCESS.bfu et BFU.exe (très important).

 

Étape 1:

• * Copie le texte en bleu/gras ci-bas (sélectionne-le en entier avec ta souris, puis fais un clic-droit dessus et choisis "Copier") :
  
  E:\WINDOWS\system32\dyhesqhbkh_nav.dat
  E:\WINDOWS\system32\dyhesqhbkh.dat
  E:\WINDOWS\system32\dyhesqhbkh.exe
  E:\WINDOWS\system32\dyhesqhbkh_navps.dat
  
  
• Ouvre Killbox:
  
• Clique sur le menu "File" de KillBox (en haut à gauche) et choisis l'option => Paste from clipboard
  
• Sous "Full Path Of File To Delete" les fichiers viennent de s'inscrire: il faut t'en assurer en cliquant sur la petite flèche à droite!
  
• Coche les cases : "Delete on Reboot" & "Unregister Dll Before Deleting" .
  
• Une fois le bouton radio "Delete on Reboot" coché, la case "Single File" va clignoter: clique sur la case "All Files"
  
• Clique sur la croix blanche sur fond rouge , au message suivant qui va s'afficher:

  
  
  « File will be Removed on Reboot, Do you want to reboot now ? » : répondre YES

Le PC va redémarrer et supprimer le fichier de la liste.Sinon redémarre manuellement.Si tu reçois un message d'erreur après utilisation de Killbox, fais le moi savoir stp.

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

 

Étape 3:

 

* Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU)

 

- Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur :

 

EGDACCESS.bfu

 

- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu

 

Clique sur Execute et laisse-le faire son travail.

 

Attendre que Complete script execution apparaîsse et clique sur OK.

 

Clique Exit pour fermer le programme BFU.

 

Étape 4:

 

Double-clique surATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

si le menu Firefox est grisé, fais ceci =>

 

* nettoie le cache et les cookies dans Firefox :

• Ouvre Firefox et clique sur Outils=> Options
  
• Clique sur l'onglet Vie Privée
  
• clique sur le bouton Vider le cache dans l'onglet "Historique"
  
• clique sur le bouton Supprimer les cookies dans l'onglet "Cookies"
  
• clique sur le bouton Vider le cache dans l'onglet "Cache"
  
• clique sur le bouton Ok pour fermer la fenêtre des options et valider tes choix.
  

Étape 5:

 

Relance Ewido et clique sur Scanner

Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.

 

Reviens a l'onglet Scan cliques Complete system Scan.

Le scan démarre.

 

A la fin cliquer sur Apply all actions

Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.

 

Étape 6:

 

Redémarre normalement et poste les rapports suivants =>

 

- le rapport d'Ewido

- un nouveau rapport avec Blacklight.

- Fais un scan en ligne =>

 

Fais un scan en ligne avec Panda :

http://www.pandasoftware.fr/Activescan/Activescan.html .

Et poste le rapport qu'il t'affichera à la fin, pour cela, assure toi que IE est correctement configuré pour le scan en ligne comme indiqué ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809 .

Si tu n'y arrives pas, le tuto est : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

Tu n'es pas obligé de donner ton email, tu peux utiliser une adresse jetable si tu le souhaites : http://www.jetable.org/fr/index

Attention!! Panda et Avast entrent en conflit, pour pouvoir télécharger le contrôle active x de Panda, il faut que tu désactives le bouclier web d'Avast le temps du scan.

 

@+