[Résolu] infection? rapport hijackthis

[Gof]

Bonjour Desdemona

 

Je ne crois pas tes extensions responsables de tes soucis. De même que les 2 toolbar mentionnées plus haut.

 

Alors.. Les fenêtres s'ouvrent lors de surf sur internet et,donc, quand le navigateur est ouvert (logique lol). Les fenêtres suivantes sont apparues aujourd'hui :

Je souhaiterais que tu m'indiques sur quel(s) tu te trouve(s) lorsque ces publicités sous formes de popups d'affichent.

Il faut distinguer les publicités intempestives, s'ouvrant systématiquement à l'ouverture du navigateur et/ou celles s'ouvrant sur le pc même si le navigateur n'est pas ouvert avec celles "normales" lors de surfs sur des sites particuliers ou agressifs en terme de publicité sans restrictions particulières.

Auquel cas, une simple sécurisation du navigateur [sous Firefox par exemple avec quelques extensions appropriées (ici Adblock et Noscript feront simplement le travail)] devrait résoudre le souci (par extension, ou par hosts).

C'est pour cela que je souhaite que tu relèves la nature des publicités (pour quel produit) en fonction des sites visités (sur quel site), que je regarde par moi même.

[desdemona]

Coucou Gof!!

 

Heu.. je t'ai déja noté les pubs qui s'ouvraient (3 post plus haut) 1 pub pour un antivirus qui se met en route pour le téléchargement alors que l'on essaye de la fermer et une pub argus automobile.. mais effectivement pas les sites sur lequel le propriétaire de l'ordi était à ce moment là.. Et hélas il ne se souvient pas!!

 

Pour l'instant et depuis ma manip sur les extensions plus aucunes fenêtres de pub ne s'ouvrent!!???

 

Donc on attend.. lol.. Si cela recommence je te dis!

 

Mais du coup cela me parait bien avoir un rapport avec le problème? Alors qu'est qu'on fait.. on élimine comment ces extensions?

 

A bientôt

[desdemona]

 

ah et cet ordi n'utilise pas Firefox mais Internet Explorer.

[Gof]

Bonsoir desdemona

 

Il y a des jours où je ne vois pas clair visiblement

 

Les deux dernières DLL sont légitimes ( Cf ici & ici), la première ne l'est pas par contre (ici).

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O2 - BHO: Media Holding Enterprises, LLC - {0D39A900-0F3A-4C29-A254-3E65244FDC34} - C:\Program Files\ContextTool\ContextTool-3.dll
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

Redémarre, supprime les répertoires suivants (si présents) :

• C:\Program Files\ContextTool
  C:\Program Files\anonystat
  C:\Program Files\errorstool
  

Indique moi lesquels tu auras trouvé.

 

Je crois cependant qu'une majorité des pop-ups qui s'ouvrent lors du surf sont directement liés aux sites fréquentés comme indiqué précédemment. Il faudrait vraiment que ton ami relève le nom du site visité si le souci se représente de manière à confirmer ou infirmer.

[desdemona]

Salut Gof!!

 

Non, non, c'est rien.. une bonne paire de lunettes et ça ira mieux

 

Bon j'ai fait Fixchecked et j'ai supposé qu'il fallait répondre oui aux 2 messages suivants (il y était question de supprimer ou réparer.. mais suis pas douée en anglais!!).

Aprés redemarrage j'ai trouvé un seul des fichiers sus-nommés :

C:\ProgramFiles\ContextTool\

 

J'ai supprimé et pour le cas où je te reposte un nouveau log HijackThis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:29:26, on 21/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\PROGRA~1\Iomega\System32\AppServices.exe

C:\WINDOWS\system32\MGE\RunSC.exe

C:\WINDOWS\system32\MGE\PCtl.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Iomega\AutoDisk\ADService.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\MGE\BIL.EXE

C:\WINDOWS\system32\MGE\CILUSB.EXE

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\MSN Messenger\livecall.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Hervé\Bureau\HiJackThis\HijackThis.exe

C:\Program Files\Internet Explorer\iexplore.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1177600690050

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1187368664034

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game01.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Pack Sécurité (BackWeb Plug-in - 361343) - Unknown owner - C:\PROGRA~1\PACKSC~1\backweb\361343\Program\SERVIC~1.EXE (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

O23 - Service: MGE Service module - Unknown owner - C:\WINDOWS\system32\MGE\RunSC.exe

O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINDOWS\System32\ups2.exe (file missing)

O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Program Files\Iomega\AutoDisk\ADService.exe

O24 - Desktop Component 0: (no name) - http://www.service-pack.sfr.fr/NEACT/logo.gif

 

--

End of file - 7835 bytes

 

 

Voilà! J'espère que c'est bon. Du coup je vais remettre en route les 2 autres modules complémentaires puisqu'ils sont bons.

 

Qu'est ce que t'en pense.. Je marque le sujet comme résolu et je te recontacte si il y a un souci ou j'attends un peu??

En tous cas, Merci pour ton aide

[Gof]

Bonjour desdemona

 

Qu'est ce que t'en pense.. Je marque le sujet comme résolu et je te recontacte si il y a un souci ou j'attends un peu??

 

Si lorsque tu prends connaissance de mon message tout va toujours bien, précise le moi. Je te ferais ensuite désinstaller et/ou supprimer les divers outils que l'on a téléchargés ensemble.

 

A bientôt.

[desdemona]

Bonjour Gof!!

 

Bin oui.. pour l'instant tout va bien!!

 

Pour les outils j'ai désinstallé tous ceux que j'ai trouvé dans ajouter-supprimer des programmes, par la désinstallation normale!

Pour les autres qui ne s'étaient pas installés dans les programmes mais seulement en dossier sur le bureau j'ai supprimer le dossier tout simplement..

 

Par contre je sais pas si ces programmes ont créés des dossiers de sauvegarde dans C ou ailleurs... Alors je veux bien que tu me spécifies la marche à suivre!!

 

Merci encore

[Gof]

Re

 

Je te fais télécharger un outil qui automatise la suppression des outils généralement utilisés. Ensuite on fignolera.

 

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

• Double-clique sur ToolsCleaner2.exe
  
• Clique sur Extract sans changer la destination initiale.
  
• Ouvre le Poste de Travail puis le Lecteur C:\
  
• Ouvre le dossier ToolsCleaner.
  
• Double-clique sur ToolsCleaner2.bat () et suis les directives.
  
• Fais un copier/coller du rapport,il se trouve dans C:\TCleaner.txt
  
• Note: ton bureau va disparaitre ; c'est normal. S'il n'apparaît pas a la fin de l'analyse, fais la manipulation suivante:
  • -CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    -Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    -Tape explorer.exe et valide. Cela fera re-apparaitre le Bureau
    

[desdemona]

Bonjour Gof!!

 

Tout d'abord désolée d'avoir mis autant de temps à répondre mais j'ai pas pû m'en occuper avant.. Ensuite.. Bin..Y a comme un problème! (lol!! encore!!).

 

Le lien vers toolscleaner2 que tu m'as laissé me mène à une page d'erreur et je ne trouve pas ce logiciel sur le web!! Quoi faire??

 

J'attends tes instructions! Merci

[Gof]

Bonjour desdemona,

 

Je te donne le lien vers la version ZIP de l'outil :

Télécharge maintenant, ToolsCleaner2 de A.Rothstein qui va supprimer ce que l'on à téléchargé lors de ce post.

 

Enregistre-le sur le Bureau,Dézippe le contenu sur le bureau double-clic sur , et laisse le travailler.

Ferme le rapport qui s'ouvre, et poste le dans ta prochaine réponse.

Il se trouve a la racine du disque C:\TCleaner.txt