fenetres indsirables intempestives...aidez moi je vous en supplie!

[anais]

bonjour à tous,

depuis environ 2 semaines j'ai des fenetres de pub sur dialsexy,crazygirls,videozapping...qui s'ouvrent automatiquement quand je suis connectée je ne sais pas quoi faire, j'ai un windows XP et j'utilise firefox, merci d'avance.

[WawaSeb]

Bonjour anais,

 

*** Bienvenue sur le forum sécurité de Zebulon ! ***

 

 

--> Télécharge HijackThis ici : http://download.hijackthis.eu/hijackthis_199.zip

---> Décompresse l'archive dans un dossier dédié

---> Renomme HijackThis.exe en Vundo.exe

---> Lance-le

---> Choisis l'option "Do A System Scan And Save A Log File"

---> Copie-colle le rapport sur ce forum

 

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm

[anais]

voici le rapport log HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 12:19:45, on 02/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\DSLMON.exe

C:\Program Files\Microsoft Reference\Bibliorom Larousse 2.0\QShlf2f.exe

C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\you.ADMIN\Bureau\Scanner.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/def.../search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/def...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/def...//www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO

O4 - Startup: QuickShelf Fr.lnk = C:\Program Files\Microsoft Reference\Bibliorom Larousse 2.0\QShlf2f.exe

O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe

O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\DSLMON.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1064_XP.cab

O16 - DPF: {5F4D3335-3194-4167-85AE-E7325F2695EF} - http://scripts.dlv4.com/binaries/egaccess4..._1068_em_XP.cab

O16 - DPF: {AA59202C-5E41-48FC-AF7D-324F5FD6A9F1} - http://scripts.dlv4.com/binaries/egaccess4..._1070_em_XP.cab

O16 - DPF: {CB5D474E-A510-40A4-B5A4-838933BCBA64} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1065_XP.cab

O16 - DPF: {FA1D6D8F-C6ED-4752-8512-A33283240130} - http://scripts.dlv4.com/binaries/egaccess4...ss4_1066_XP.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{43C7EC32-432B-4409-8188-4D63A2B69A03}: NameServer = 208.67.222.222 208.67.220.220

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

Modifié le 2 mars 2007 par anais

[WawaSeb]

Bonjour anais,

 

*** Ton ordinateur est infecté par NaviPromo ***

---> Je t'envoie une procédure à suivre dans la soirée...

 

@ ce soir !

[anais]

merci j'attend avec impatience

[WawaSeb]

Voilà,

 

 

1) Suis la procédure avec navilog1 décrite ici

 

Cette procédure doit être suivie à la lettre.

Copie / Colle sur le forum les rapports obtenus en suivant la procédure.

 

 

* Merci IL-MAFIOSO pour le fix et à Malekal_morte pour son excellent tutoriel !

 

 

2) Clique sur "Démarrer", "exécuter" et tape (sans les guillemets) "cleanmgr"

 

 

---> Valide en appuyant sur OK

---> Laisse Windows calculer, coche uniquement les cases Fichiers Internet temporaires, Corbeille et Fichiers temporaires

---> Clique à nouveau sur OK

 

 

3) Nous allons vérifier qu'il ne reste pas d'infection à l'aide d'un scan en ligne :

 

Rends-toi sur le site de Kaspersky WebScanner

Dans "Démonstration en ligne", tu as une explication de la marche à suivre

Pour démarrer l'analyse, tu sélectionnes "Exécuter l'analyse en ligne".

 

Cette manipulation doit absolument être effectuée avec Internet Explorer

 

Télécharge le contôle Active X, accepte .

Dans le menu "Choisissez la cible de l'analyse", sélectionne "Poste de travail".

Le scan va commencer. Poste également le rapport qui sera généré stp.

 

Très bon tutoriel ici : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId237368

 

 

Bon travail à toi !!!!

[anais]

En ce qui est des deux premières étapes voici les deux rapports suivants:

 

Rapport fixnavi

Search Navipromo version 1.0.4 commencé le 02/03/2007 à 20:39:57,57

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Documents and Settings\you.ADMIN\Bureau

Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

C:\Program Files\InternetGameBox trouvé !

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\you.ADMIN\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\rbthzpd.exe

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\rbthzpd.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\tmlpcert2007 trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

C:\WINDOWS\system32\prodsrvs.exe trouvé !

 

 

*** Recherche cles registre ***

 

 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1063.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1065.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/system32/egaccess4_1066.dll

 

 

Recherche Clé Magic Control

 

 

 

*** Module de recherche complémentaire ***

(recherche fichiers spécifiques)

 

1)Recherche nouveaux fichiers connus:

 

C:\WINDOWS\pack.epk trouvé !

 

2)Recherche Heuristique :

(fichiers non traités par le fix)

*

C:\WINDOWS\system32\rbthzpd.dat

**

C:\WINDOWS\system32\rbthzpd.dat

***

****

C:\WINDOWS\system32\rbthzpd_navps.dat

 

 

*** Analyse Terminé le 02/03/2007 à 20:41:51,34 ***

 

Rapport cleanavi

 

Clean Navipromo version 1.0.4 commencé le 02/03/2007 à 20:58:22,50

 

Fix lancé depuis C:\Documents and Settings\you.ADMIN\Bureau

Mise a jour le 26.02.2007 a 14h00 by IL-MAFIOSO

 

Executé en mode sans echec

 

Mode suppression par méthode manuelle

 

Nom du fichier saisi : rbthzpd

 

*** Recherche, Creation backups et suppression ***

 

C:\WINDOWS\system32\rbthzpd_navup.dat absent !

C:\WINDOWS\system32\rbthzpd_navtmp.dat absent !

C:\WINDOWS\system32\rbthzpd_m2s.xml absent !

 

C:\WINDOWS\system32\rbthzpd.exe trouvé !

Copie C:\WINDOWS\system32\rbthzpd.exe réalisé avec succès !

C:\WINDOWS\system32\rbthzpd.exe supprimé !

 

C:\WINDOWS\system32\rbthzpd.dat trouvé !

Copie C:\WINDOWS\system32\rbthzpd.dat réalisé avec succès !

C:\WINDOWS\system32\rbthzpd.dat supprimé !

 

C:\WINDOWS\system32\rbthzpd_nav.dat trouvé !

Copie C:\WINDOWS\system32\rbthzpd_nav.dat réalisé avec succès !

C:\WINDOWS\system32\rbthzpd_nav.dat supprimé !

 

C:\WINDOWS\system32\rbthzpd_navps.dat trouvé !

Copie C:\WINDOWS\system32\rbthzpd_navps.dat réalisé avec succès !

C:\WINDOWS\system32\rbthzpd_navps.dat supprimé !

 

C:\WINDOWS\prefetch\rbthzpd*.pf trouvé !

Copie C:\WINDOWS\prefetch\rbthzpd*.pf réalisé avec succès !

C:\WINDOWS\prefetch\rbthzpd*.pf supprimé !

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

C:\Program Files\InternetGameBox ...suppression...

C:\Program Files\InternetGameBox supprimé !

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\you.ADMIN\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\tmlpcert2007 supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

C:\WINDOWS\system32\prodsrvs.exe supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\you.ADMIN\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre réalisée avec succès !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

 

1)Recherche/Suppressions nouveaux fichiers connus:

 

C:\WINDOWS\pack.epk trouvé !

Copie C:\WINDOWS\pack.epk réalisé avec succès !

C:\WINDOWS\pack.epk supprimé !

 

2)Recherche Heuristique (Fichiers à supprimer si nécéssaire):

*

**

***

****

 

*** Nettoyage termine le 02/03/2007 à 21:00:02,73 ***

 

le problème se pose à la troisième étape car quand j'essaye de télécharger ActiveX ----il y'a le message suivant:

Echec du chargement du controle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des prévilèges d'administrateur sur ce poste;en outre, il faut configurer le niveau de sécurité IE sur moyen.

 

????? qu'est ce que je dois faire?

[anais]

j'attend la réponse svp

[WawaSeb]

Bonsoir anais,

 

** Désolé de te répondre si tard ; avec la sortie de Vista, je suis un peu débordé ! **

 

Echec du chargement du controle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des prévilèges d'administrateur sur ce poste;en outre, il faut configurer le niveau de sécurité IE sur moyen.

----> En ce qui concerne le contrôle Active-X, vérifie que ton navigateur est bien configuré comme indiqué ici

 

---> Tu peux également essayer le scan en ligne avec Panda

 

 

---> Merci de reposter un nouveau rapport HijackThis ainsi qu'un nouveau rapport de BlackLight...

 

Bonne nuit !

[anais]

Bonsoir,

Au fait j'ai oublié de préciser que j'ai déja 4 antivirus: avast,ad-aware,spybot,a.squared free et étant donné que pour le scan en ligne il peut y avoir des incompabilités d'anti-virus alors est ce suffisant d'utiliser un de ces 4 anti-virus et reposter ensuite les rapports?

a+