ouverture fenêtres intempestives

[mimi_87]

Bonjour,

 

depuis quelques jours des fenêtres internet s'ouvrent sans que je l'ai demandé. Ce peut être soit des fenêtres de pub diverses pour des jeux de casino, des téléphones portables... ou même on me propose de télécharger des logiciels pour protéger mon micro.

J'ai essayé de corriger celà en regardant sur les forums ce qui était proposé mais ne suis pas suffisamment experte pour m'en débrouiller seule.

Y a il un(e) expert(e) pour m'aider

Merci beaucoup

[wong]

Bonjour mimi 87, et bienvenue,

 

 

Télécharge Hijackthis v 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

 

Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

• Fais un double clic sur HJTInstall.exe afin de lancer l'installation ( par défaut il s'installera ici : C:\Program Files\Trend Micro\HijackThis ).
  
• Clique sur Install ensuite sur I Accept
  
• Clique sur Do a scan system and save log file
  
• Cela va t'ouvrir un rapport dans le Bloc-note à la fin du scan.
  
• Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
  
• Enregistre le fichier sous le nom HJT1.txt.
  
• Copie/Colle tout son contenu dans ta prochaine réponse.
  

Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

 

 

Cordialement.

[jeanbayli]

bonjour,j'ai eu le me^me problème chez un ami,la seule solution a été de téléchargé l'antivirus ANTIVIR ( gratuit) de scanner l'ensemble des disques et avira Rootkit détection et de shooter tout ce qu'il détecte .si vous savez le faire en mde sans échec c'est mieux ( moins de processus en route ) cordialement

[mimi_87]

Bonjour mimi 87, et bienvenue,

Télécharge Hijackthis v 2.0.2 : http://www.trendsecure.com/portal/en-US/th.../HJTInstall.exe

 

Enregistre ce fichier sur le bureau. Ferme tous les programmes ouverts y compris le navigateur ( sauf ton anti-virus et pare-feux )

• Fais un double clic sur HJTInstall.exe afin de lancer l'installation ( par défaut il s'installera ici : C:\Program Files\Trend Micro\HijackThis ).
  
• Clique sur Install ensuite sur I Accept
  
• Clique sur Do a scan system and save log file
  
• Cela va t'ouvrir un rapport dans le Bloc-note à la fin du scan.
  
• Dans le Bloc-notes, vérifie dans le menu Format que l'option "Retour automatique à la ligne" n'est pas cochée.
  
• Enregistre le fichier sous le nom HJT1.txt.
  
• Copie/Colle tout son contenu dans ta prochaine réponse.
  

Pour t'aider, voici un Tuto en images : http://cybersecurite.xooit.com/t138-Hijack...-2-0-2.htm#1185

Cordialement.

 

 

Re bonjour,

 

voici le rapport demandé:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:28:11, on 09/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Creative\Shared Files\CTDevSrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

C:\Program Files\Sony\VAIO Power Management\SPMgr.exe

C:\Program Files\Sony\ISB Utility\ISBMgr.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\documents and settings\pénélope.unicorni-397369\local settings\application data\zuhdxkwrey.exe

C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\PNLOPE~3.UNI\LOCALS~1\Temp\Rar$EX00.766\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe

O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\Sony\VAIO Update 2\VAIOUpdt.exe" /Stationary

O4 - HKLM\..\Run: [iSBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [OlStatusMon] "C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe" dvcStatusMinimize

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [CTZDetec.exe] C:\Program Files\Creative\Creative Media Lite\CTZDetec.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [zuhdxkwrey] c:\documents and settings\pénélope.unicorni-397369\local settings\application data\zuhdxkwrey.exe zuhdxkwrey

O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')

O4 - Startup: palmOne Registration.lnk = C:\Program Files\palmOne\register.exe

O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Fichiers communs\DataViz\DvzIncMsgr.exe

O4 - Global Startup: HotSync Manager.lnk = C:\Program Files\palmOne\Hotsync.exe

O4 - Global Startup: HOTSYNCSHORTCUTNAME.lnk = C:\Program Files\palmOne\Hotsync.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15030/CTSUEng.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://mimi-b87.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mimi-b87.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15030/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFA0DBA0-75EF-4B7C-B9AC-B06743FED610}: NameServer = 80.10.246.2,80.10.246.129

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: olMntrService - Olivetti - C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 8727 bytes

 

Cordialement

[wong]

RE mimi_877,

 

Pourquoi n'as-tu pas laissé HijackThis s'installer normalement dans C:\Program Files\Trend Micro\HijackThis

 

HijackThis ne dois pas être placé dans un répertoire temporaire sous peine de perdre les backups.

 

Désinstalle-le, et réinstalle-le en suivant la procédure.

 

 

Télécharge Navilog1 ( de IL-MAFIOSO et lazzzi ) : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

• Enregistre la cible ( du lien ) sous... et enregistre-le sur ton bureau.
  
• Ferme toutes les fenêtres y compris celle de ton navigateur.
  
• Double-clique sur le fichier Navilog1.exe ( il se peut que ".exe" n'apparaisse pas et que tu n'ais que Navilog1 ) pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement ( Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau ).
  
• Après le choix de la langue et les messages, tu arrives au menu principal.
  
• Choisis l'Option 1, pour cela, tape sur la touche 1 de ton clavier, puis appuie sur la touche Entrée du clavier ( ne fais pas le choix 2,3 ou 4 sans notre avis/accord ).
  
• La vérification du système s'effectue alors... Cela peut prendre plusieurs minutes ( de 5 à 10min ), ne touche à rien.
  
• Patiente jusqu'au message : *** Analyse Terminé le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir avec le rapport.
  
• Si ce dernier ne s'ouvre pas : Ouvre le Poste de travail, puis Disque C: et enfin double-clique sur fixnavi.txt
  
• Copie/Colle le contenu complet de ce rapport dans ta prochaine réponse
  

Pour t'aider voici un tuto en images : http://www.malekal.com/Adware.Magic_Control.html

 

Cordialement.

[mimi_87]

Bonsoir,

 

J'ai supprimé et réinstallé HijackThis comme demandé.

 

Puis j'ai téléchargé Navilog1 et l'ai installé.

le fix ne s'est pas exécuté automatiquement donc je l'ai lancé par double clic.

Tout s'est passé normalement jusqu'à ce que s'inscrive:

"recherche avec catchme par gmer

pour plus d'infos.....

 

Veuillez patienter le scan peut durer une dizaine de minutes"

 

A ce moment là s'ouvre une fenêtre m'indiquant la présence d'un cheval de troie

le fichier concerné est un fichier khrvyoxp-397369.dll sous c:\documents ans settings\Pénélope.unicorni-397369\local settings\temp

 

J'ai supprimé ce fichier : ai je bien fait?

ensuite j'ai laissé faire au moins 1/4 heure et rien ne s'est passé.

J'ai voulu stopper le scan en cours et çà m'a indiqué que "le programme ne répond pas"

 

Que dois-je faire ?

 

Merci encore pour l'aide

Cordialement

[wong]

RE mimi_87,

 

Je comprends qu'il n'est pas agréable d'avoir un malware dans son PC. Essaye de faire les choses plus calmement, et n'hésite pas à poser des questions.

 

Un fichier .dll ne se supprime pas, il faut le désinstaller.

 

Désinstalle Navilog1 dans "Ajout/suppression de programmes" si présent, et dans C:\Program Files : tu supprimes le dossier "Navilog1" ( sur ton bureau aussi ).

 

 

Lance un scan HijackThis

 

Clique sur Do a system scan only et coche la ligne ci-dessous :

 

O4 - HKCU\..\Run: [zuhdxkwrey] c:\documents and settings\pénélope.unicorni-397369\local settings\application data\zuhdxkwrey.exe zuhdxkwrey

 

Ferme toutes les fenêtres, sauf le logiciel Hijackthis, et Clique sur Fix checked puis ferme HijackThis.

 

 

Retélécharge Navilog1

 

Recommence la procédure indiquée ci-dessus.

 

 

Cordialement.

Modifié le 9 décembre 2007 par wong

[IL-MAFIOSO]

Bonsoir,

 

A ce moment là s'ouvre une fenêtre m'indiquant la présence d'un cheval de troie

le fichier concerné est un fichier khrvyoxp-397369.dll sous c:\documents ans settings\Pénélope.unicorni-397369\local settings\temp

Cette dll est légitime et est utilisé par catchme le temps du scan. C'est un faux positif.

 

Lorsque tu réutiliseras Navilog1, si Antivir tique sur une dll de cette sorte dans ce dossier précis au moment du scan fait par catchme , fais le ignorer par Antivir.

 

En même temps je remonte l'info à gmer.

 

Bonne continuation.

[wong]

Bonsoir IL-MAFIOSO,

 

Merci de ton intervention et de ta précision.

 

Amicalement.

[mimi_87]

Re bonsoir Wong,

Bonsoir Il Mafioso,

 

J'ai fait ce que Wong m'a indiqué,

J'ai relancé Navilog1 et j'ai eu à nouveau le même cheval de troie sur le même fichier.

J'ai écouté les conseils de Il Mafioso et j'ai cliqué sur ignorer au lieu de supprimer.

Malgré celà le scan ne se termine pas au bout de la dizaine de minutes annoncée, ni même à 20.

 

Ensuite quand je veux arrêter le scan j'ai des soucis :

Cà m'indique que le programme ne répond pas et ensuite je ne peux plus rien faire, j'ai des fenêtres

qui s'ouvrent avec fin de programme Office Watson....

 

Merci à vous