[résolu] : ouvertures de fenetres intempestives

[jxh]

bonjour et merci encore de l'aide que vous pourrez m'apporter

 

depuis dimanche je ne suis plus vraiment maitre de mes ouvertures de pages sur le net

 

je suis constamment victime de l'ouverture de pages de casino ou de cites pornos et un certain spyware secure cherche en permanence à me faire l'acheter

 

le scan avg a détacté outre des cookies classiques un trojan .small.edz

 

a priori je l'ai supprimé mais les désordres continuent

 

le log highjackthis est le suivant

Logfile of HijackThis v1.99.1

Scan saved at 19:15:49, on 26/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\AOL\Active Virus Shield\avp.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AOL\Active Virus Shield\avp.exe

C:\WINDOWS\system32\devldr32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spyware Terminator\SpywareTerminator.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\\Bureau\entretien pc\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O4 - HKLM\..\Run: [aol] "C:\Program Files\AOL\Active Virus Shield\avp.exe"

O4 - HKLM\..\Run: [spywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154524236436

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{02ECBAD1-C323-44CF-B861-57170A19F034}: NameServer = 194.117.200.11,194.117.200.16

O17 - HKLM\System\CS1\Services\Tcpip\..\{02ECBAD1-C323-44CF-B861-57170A19F034}: NameServer = 194.117.200.11,194.117.200.16

O17 - HKLM\System\CS2\Services\Tcpip\..\{02ECBAD1-C323-44CF-B861-57170A19F034}: NameServer = 194.117.200.11,194.117.200.16

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.0.0812.00.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Program Files\AOL\Active Virus Shield\avp.exe" -r (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

 

merci de votre aide

 

 

a noter que spyware terminator que je vien d'installer me signale toutes les 30

secondes en gros qu'un processus owxclfbz vient d'etre bloqué

Modifié le 27 juin 2007 par jxh

[angelique]

* http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Télécharge Navilog1.exe (Il Mafioso)

Installe le, il va se lancer tout seul, choisis l'option 1 et poste le rapport.

 

**il va te detecter d'apres tes dires :

owxclfbz.exe

owxclfbz_navps.dat

owxclfbz.dat

owxclfbz_nav.dat

 

et p't'etre d'autre selon l'heuristic

[jxh]

* http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Télécharge Navilog1.exe (Il Mafioso)

Installe le, il va se lancer tout seul, choisis l'option 1 et poste le rapport.

 

**il va te detecter d'apres tes dires :

owxclfbz.exe

owxclfbz_navps.dat

owxclfbz.dat

owxclfbz_nav.dat

 

et p't'etre d'autre selon l'heuristic

 

merci de ton aide

 

voici ce que j'obtiens

 

Search Navipromo version 2.0.3 commencé le 26/06/2007 à 19:47:51,31

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

 

Executé en mode normal

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINDOWS ***

 

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\jean xavier henriel\Application Data ***

 

 

 

*** Recherche avec BlackLight Engine/F-secure ***

BlackLight Engine est un produit de F-secure, pour + d'infos :

http://www.f-secure.com/blacklight/blacklight_help.html

 

Fichier(s) caché(s) dans C:\WINDOWS\system32 :

 

c:\WINDOWS\system32\owxclfbz.dat

C:\windows\system32\owxclfbz.exe

c:\WINDOWS\system32\owxclfbz_nav.dat

c:\WINDOWS\system32\owxclfbz_navps.dat

 

Processus caché(s) dans C:\WINDOWS\system32 :

 

C:\windows\system32\owxclfbz.exe

 

 

*** Recherche fichiers ***

 

 

C:\WINDOWS\pack.epk trouvé !

C:\WINDOWS\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

 

 

 

Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

 

 

 

Recherche Clé Magic Control

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

HKEY_USERS\S-1-5-21-1417001333-1229272821-682003330-1004\Software\Lanconfig trouvé !

 

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche Heuristique :

*

C:\WINDOWS\system32\owxclfbz.dat trouvé !

**

C:\WINDOWS\system32\owxclfbz.dat trouvé !

***

****

C:\WINDOWS\system32\owxclfbz_navps.dat trouvé !

*****

******

*******

********

 

 

*** Analyse Terminé le 26/06/2007 à 19:54:52,87 ***

Modifié le 26 juin 2007 par jxh

[angelique]

donc voila!

 

tu va suivre le tuto de Malekal avec l'option 4 de navilog :

Eradication de Magic.Control/Navipromo avec navilog1

http://www.malekal.com//Adware.Magic_Control.php

 

et tu va spécifier:

 

owxclfbz

 

 

**tu posteras le rapport ; merci ;o)

 

________________________________________

 

puis tu vas :

 

 

Télécharge eScan Antivirus Toolkit ici:

 

http://www.spywareinfo.dk/download/mwav.exe

 

Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec :

1) Redémarre ton ordi

2) Tapote la touche F8 immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisi ton compte régulier, et non Administrateur

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

 

a+

[jxh]

premiere étape réalisée

 

voici le rapport

 

Clean Navipromo version 2.0.3 commencé le 26/06/2007 à 20:32:26,81

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 08.06.2007 a 17h00 by IL-MAFIOSO

 

*** Recherche, Creation backups et suppression ***

 

 

 

*** Suppression dossiers dans C:\WINDOWS ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\jean xavier henriel\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINDOWS\pack.epk supprimé !

C:\WINDOWS\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINDOWS\Temp effectué !

Nettoyage contenu C:\Documents and Settings\jean xavier henriel\Local Settings\Temp effectué !

 

 

*** Sauvegarde du registre vers dossier Backupnavi***

 

 

sauvegarde du registre réalise avec succes !

 

 

*** Nettoyage registre ***

 

 

Nettoyage registre Ok

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

 

2)Recherche et Suppression Heuristique :

 

*

C:\WINDOWS\System32\owxclfbz.dat trouvé !

Echec Copie C:\WINDOWS\system32\owxclfbz.dat vers dossier Backupnavi

C:\WINDOWS\system32\owxclfbz.dat non supprimé !

C:\WINDOWS\system32\owxclfbz.dat supprimé !

 

**

C:\WINDOWS\System32\owxclfbz.dat trouvé !

Echec Copie C:\WINDOWS\system32\owxclfbz.dat vers dossier Backupnavi

C:\WINDOWS\system32\owxclfbz.dat non supprimé !

C:\WINDOWS\system32\owxclfbz.dat supprimé !

 

***

****

C:\WINDOWS\System32\owxclfbz_navps.dat trouvé !

Echec Copie C:\WINDOWS\system32\owxclfbz_navps.dat vers dossier Backupnavi

C:\WINDOWS\system32\owxclfbz_navps.dat non supprimé !

C:\WINDOWS\system32\owxclfbz_navps.dat supprimé !

 

*****

******

*******

********

 

3)Contrôle présence clés Rootkit dans le registre :

 

Aucune autre clés présente dans le registre !

 

*** Nettoyage termine le 26/06/2007 à 20:33:37,17 ***

[jxh]

deuxieme etape effective

 

le log enfin obtenu (question en passant faudrait il faire la meme chose pour mon autre dd ?) mais je ne parviens pas à le poster trop lourd apparemment

 

une chose est sure en tout cas pas vu une fenetre intempestive depuis quelques minutes et process en question plus haut ne se lance plus

 

comment arriver à poster le log j'ai pourtant je crois fait ce qui était demandé c'est à dire copier le log dans un fichier txt

 

merci encore grace à vous je progresse

Modifié le 26 juin 2007 par jxh

[angelique]

**Fermes internet explorer puis Démarrer/panneau de configuration/options internet

- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :

electronic-group

egroup

Montorgueil

VIP

"Sunny Day Design Ltd"

Tu les suppriment.

 

 

**copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

si le rapport de la 2eme fenetre est si long que ça, poste le en 2 fois.

[jxh]

**Fermes internet explorer puis Démarrer/panneau de configuration/options internet

- onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés", mais regarde ailleurs :

electronic-group

egroup

Montorgueil

VIP

"Sunny Day Design Ltd"

Tu les suppriment.

**copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

si le rapport de la 2eme fenetre est si long que ça, poste le en 2 fois.

 

sauf erreur il n'y a strictement rien dans le deuxieme tableau en espérant que c'est bon signe

 

par ailleurs j'ai trouvé electronic group au milieu des certificats editeurs approuvés

 

enfin mes enfants me précisent qu'aujourd'hui aucune fenetre ou redirection de site ne les a géné dans leur navigation

 

[angelique]

1/vu que le log HJT ne montre d'infectieux, et que tu n'as rien dans la 2eme fenetre de escan ;o)

2/ton probleme est résolu, cependant :

 

**supprime escan , ses dossiers crées(si tu as scrupuleusement suivis le canned EScan):

C:\Kaspersky

C:\Bases

C:\Downloads

 

**desinstalle navilog1 via ajout/supp de prog

**si tu consideres(ce que je pense ) ensuite ton probleme résolu, edite ton 1er sujet et met [resolu] devant le titre.

 

@+

[jxh]

1/vu que le log HJT ne montre d'infectieux, et que tu n'as rien dans la 2eme fenetre de escan ;o)

2/ton probleme est résolu, cependant :

 

**supprime escan , ses dossiers crées(si tu as scrupuleusement suivis le canned EScan):

C:\Kaspersky

C:\Bases

C:\Downloads

 

**desinstalle navilog1 via ajout/supp de prog

**si tu consideres(ce que je pense ) ensuite ton probleme résolu, edite ton 1er sujet et met [resolu] devant le titre.

 

@+

 

vraiment très heureux de t'avoir croisé et merci infiniment pour le temps et l'aide précieuse accordée