[Résolu] Infection Advertising

[Van Damme]

salut tout le monde

j'ai un probleme quand je fait une analyse de spyware doctor il me dit comme infection 10 advertising

j'ai windows xp je fait quoi avec ca svp. aidé moi quelqu'un merci

Modifié le 10 novembre 2007 par Van Damme

[Apollo]

Bonsoir Van Damme.

 

Tu n'aurais pas reçu ce genre de message par hasard?

 

http://www.secuser.com/phishing/2007/071101_ebay.htm

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
  
• Poste le rapport généré sur le forum.
  

[Van Damme]

merci pour ta reponse

j'ai faite l'analyse comme tu ma dit

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:21:01, on 2007-11-01

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\ehome\mcrdsvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\Program Files\Spyware Doctor\sdtrayapp.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qc.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoIMédia\WeatherEye.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1192987990828

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jin...ows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

 

--

End of file - 9601 bytes

[Apollo]

Lance Hijackthis --> do a system scan only et coche les cases devant ces lignes:

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE => Realtek Pilotes AC97

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC => Microsoft Input Message Editor (IME)

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName => Microsoft Input Message Editor (IME)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime => Quick Time

 

Ferme toutes les fenêtre sauf Hijackthis et clique sur Fix Checked.

 

-Télécharge sur ton bureau : clean

Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.

Cela va créer un dossier clean.

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.

Double-clic sur clean. Cela va ouvrir une fenêtre noire.

Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.

Clean va travailler.

Un rapport Va etre généré (C:\rapport_clean.txt), colle le contenu entier ici.

[Van Damme]

salut apollo 01

merci beaucoup tes explication etait tres clair et bien détailler voici le rapport du logiciel clean

2007-11-03 a 13:58:22,93

 

*** Recherche des fichiers dans C:

 

*** Recherche des fichiers dans C:\WINDOWS\

 

*** Recherche des fichiers dans C:\WINDOWS\system32

C:\WINDOWS\Temp\setup.exe FOUND

 

*** Recherche des fichiers dans C:\Program Files

*** Fin du rapport !

[Apollo]

Bonsoir,

 

Dans ce cas-ci deux manières se présentent:

 

Soit:(mais il faut aller en mode sans échec)

-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

 

Relance clean avec l'option 2

 

Redémarre l'ordinateur

 

Soit: (plus facile pour les Temp) Garde ce petit utilitaire très pratique.

 

Télécharger ATF Cleaner par Atribune.

• Installe-le sur le bureau.
   
  Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Cliquer sur le bouton Empty Selected
  

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Cliquer le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.
  

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

Reposte un log Hijackthis stp.

@+tard.

[Van Damme]

il a deux rapport upload 1 upload 2

upload 1

C:\WINDOWS\System32\iklog.log -->2007-11-03 09:44:31

C:\WINDOWS\System32\S32EVNT1.DLL -->2007-10-30 17:26:58

C:\WINDOWS\System32\wpa.dbl -->2007-10-25 18:20:18

C:\WINDOWS\System32\FNTCACHE.DAT -->2007-10-24 18:04:51

C:\WINDOWS\System32\giveio.sys -->2007-10-24 16:15:21

C:\WINDOWS\System32\perfh00C.dat -->2007-10-23 17:43:28

C:\WINDOWS\System32\perfh009.dat -->2007-10-23 17:43:28

C:\WINDOWS\System32\perfc00C.dat -->2007-10-23 17:43:28

C:\WINDOWS\System32\perfc009.dat -->2007-10-23 17:43:28

C:\WINDOWS\System32\PerfStringBackup.INI -->2007-10-23 17:43:27

C:\WINDOWS\System32\jupdate-1.6.0_03-b05.log -->2007-10-21 21:03:42

C:\WINDOWS\System32\nscompat.tlb -->2007-10-21 13:44:38

C:\WINDOWS\System32\amcompat.tlb -->2007-10-21 13:44:38

C:\WINDOWS\System32\$winnt$.inf -->2007-10-21 13:09:24

C:\WINDOWS\System32\TZLog.log -->2007-10-21 12:54:12

C:\WINDOWS\System32\DivXCodecVersionChecker.exe -->2007-09-28 12:08:18

C:\WINDOWS\System32\dsm_fr.qm -->2007-09-28 12:07:54

C:\WINDOWS\System32\divxsm.tlb -->2007-09-28 12:07:54

C:\WINDOWS\System32\DivXsm.exe -->2007-09-28 12:07:54

C:\WINDOWS\System32\qt-dx331.dll -->2007-09-28 12:07:52

C:\WINDOWS\System32\pxwave.dll -->2007-09-28 12:07:50

C:\WINDOWS\System32\pxsfs.dll -->2007-09-28 12:07:50

C:\WINDOWS\System32\pxmas.dll -->2007-09-28 12:07:50

C:\WINDOWS\System32\pxhpinst.exe -->2007-09-28 12:07:50

C:\WINDOWS\System32\vxblock.dll -->2007-09-28 12:07:48

 

C:\WINDOWS\WindowsUpdate.log -->2007-11-03 09:14:09

C:\WINDOWS\setupapi.log -->2007-11-03 09:13:27

C:\WINDOWS.log -->2007-11-03 09:11:41

C:\WINDOWS\wiaservc.log -->2007-11-03 09:11:20

C:\WINDOWS\wiadebug.log -->2007-11-03 09:11:20

C:\WINDOWS\bootstat.dat -->2007-11-03 09:10:28

C:\WINDOWS\SchedLgU.Txt -->2007-11-03 09:09:14

C:\WINDOWS\NeroDigital.ini -->2007-11-02 06:40:55

C:\WINDOWS\SpywareDoctor5Install.log -->2007-10-31 17:18:17

C:\WINDOWS\SpywareDoctor5Uninstall.log -->2007-10-30 06:20:16

C:\WINDOWS\DirectX.log -->2007-10-26 18:11:06

C:\WINDOWS\setupact.log -->2007-10-25 18:12:27

C:\WINDOWS\LUINSTALL.LOG -->2007-10-23 17:30:06

C:\WINDOWS\win.ini -->2007-10-23 17:27:16

C:\WINDOWS\system.ini -->2007-10-23 17:27:16

 

upload 2

C:\WINDOWS\System32\DivXCodecVersionChecker.exe -->2007-09-28 12:08:18

C:\WINDOWS\System32\DivXsm.exe -->2007-09-28 12:07:54

C:\WINDOWS\System32\pxhpinst.exe -->2007-09-28 12:07:50

C:\WINDOWS\System32\S32EVNT1.DLL -->2007-10-30 17:26:58

C:\WINDOWS\System32\qt-dx331.dll -->2007-09-28 12:07:52

C:\WINDOWS\System32\pxwave.dll -->2007-09-28 12:07:50

C:\WINDOWS\System32\pxsfs.dll -->2007-09-28 12:07:50

C:\WINDOWS\System32\pxmas.dll -->2007-09-28 12:07:50

C:\WINDOWS\System32\vxblock.dll -->2007-09-28 12:07:48

[Van Damme]

excuse tu as ete plus rapide que moi

le messages 5 va avec le messages 7 upload 1 et upload 2

jutilise le navigateur internet explorer et windows xp

[Apollo]

Re

 

Ton Spyware Doctor, il n'aurait pas un rapport que tu puisses poster stp?

 

Sinon fais ce scan en ligne pour ne pas installer 36 antispywares

 

http://www.ewido.net/en/onlinescan/

Vire tout ce qu'il trouve et sauvegarde le rapport, merci.

 

@plus tard.

[Apollo]

Re Van Damme,

 

Concernant Advertissing, tu n'as rien à craindre hein! Ce n'est qu'un cookie que tu peux facilement virer avec ATF Cleaner et/ou CCleaner. il s'affole un peu vite ton Spy Doctor lol

 

Fais quand-même le scan en ligne Ewido pour voir s'il n'y a rien d'autre...