problème internet (pubs + sites) (Pas mon PC)

[Alex36]

bonjour , je tien a preciser que ce n'est pas mon PC (de toutes façon vous le verrez bien dans le raport hijackthis )

donc , ce pc , qui' n'est pas tout récent , seul mon père s'en sert , a été infecté , par je ne sais quel malware , (je ne m'en sert jamais , il n'y a pas logiciel de P2P !

 

* impossible d'installer Mbam , ou même de le lancer ( je l'avais installé puis désinstrallé )

* impossible de ancer spybot S&D

*impossible de navuguer sur le net sans avoir des sites qui s'ouvrent : par exemple , je suis sur google , et là on tape zebulon , je clique sur le lien , et sa fait une redirection d'adresse du style : go .google .com

 

EDIT apparament , sa le fait de façon aléatoire , car je vien de retestré et sa ne le fais plus !!

je comprends rien , mais toujours cette impossibilité d'ibnstaller nimporte quel logiciel de maintenance

ci joint le rapport hijack this (bien maigre a mno gout )

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:16:26, on 10/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\FileZilla Server\FileZilla Server.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

H:\_Programmes_\HiJackThis.exe

 

 

--

End of file - 1338 bytes

 

 

sa c'est pdt que le malware fesait son effet , et là c'est pdt que le malware n'agissait plus , enfin bref , sa le fait de façon aleatoire

 

 

Donc VOICI LE NOUVEAU rapport

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:27:07, on 10/01/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Program Files\FileZilla Server\FileZilla Server.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

H:\_Programmes_\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series sur ORDI_BAS (à partir de ORDI_ALEX)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P63 "EPSON Stylus DX4800 Series sur ORDI_BAS (à partir de ORDI_ALEX)" /O5 "TS001" /M "Stylus DX4800"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

 

--

End of file - 5777 bytes

Modifié le 10 janvier 2009 par Alex36

[Alex36]

un peu d'aide svp c'est génant tout de même , j'ai exactenent le même problème qui ce membre : §

Bonsoir,

 

Je suspecte une infection sur mon pc depuis que peu : les snapshots de GooglePreview sont remplacés par des gros sens interdits (images cassés ?), et surtout je suis "détourné" lorsque je clique sur des liens, et je n'arrive pas du tout au bon endroit.

[Falkra]

Bonjour,

 

tu choppes une infection plus d'une fois par mois, et toujours le même genre, par des contenus infectés (cracks/keygens etc). On se demande vraiment à quoi ça sert...

On passe du temps à désinfecter ta machine, et pan, tu réinfectes ça rapidement.

 

Ce n'est pas ton PC, oui, bah tout le monde dit ça : même constat. Faut arrêter avec les cracks, pour toi, les amis dont le pc est infecté, etc... sinon tu ne t'en sortiras jamais, chef.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[Alex36]

Faut arrêter avec les cracks, pour toi, les amis dont le pc est infecté, etc... sinon tu ne t'en sortiras jamais, chef.

 

ce n'est pas un bagle , car les symptomes , sont a priori (pour un bagle ) le suivants non ?

 

- plus de parfeu

-centre de securité desact.

-plus de son

-plus de connexion internet

-plus d'acces mode MSE

- plus D'antivirus

 

OR , il n'y a aucun de ces symptomes cités au dessus , j'en deduis donc que ce n'est pas un bagle ( amoins que je me trompes )

 

de plus une amie qui connait tres bien l'ordi en question , a fait diverses maintenances pour récuperer les données, reinstaller windows (il y a 2 ans de ça )

et il c'est averé que le disque dur a fait plusieurs pannes , passage en raw injustifié (pas de virus ) , des Chk dsk qui n'aboutissaient jamais , windows qui s'éteignait jamais

 

bref elle ma dit que combofix allait "achever" le DD et qu'il fallait rien lancer tant que les backups était pas faites !

- est-ce vrai ?

n'y a t-il pas de solution alternative ??

Modifié le 12 janvier 2009 par Alex36

[Falkra]

Bah je n'ai pas évoqué le mot bagle.

 

Au boulot !

[Alex36]

le problème c'est que mon père a lancer une autre recherche de son coté !! :s (là j'ay suis pour rien a mons avis ce sont des gars du fofo volcreol qui lui ont dit de faire ça )

 

il a mis a analyser avec bitdefender

 

pour le moment il a trouvé :

C :doc etc , Bit2.exe

Trojan . 32 {other}

effectivement baggle mais pour le moment ça scan tout , l'ordi est immobilisé !

>> je vais tacher de m'enparer du rapport et le poster

[Falkra]

C'est pourtant simple : soit vous avez besoin d'un coup de main, et on vous aide, mais il faut suivre les instructions, soit vous savez faire seuls, et on ferme le topic (sans s'énerver).

Par contre, vos manips vont compliquer les choses pour la suite.

 

C'est au choix.

[Alex36]

ok ben , je pense que l'on va fermer le topic , ou alors je poste le rapport de l'analyse

je fais quoi ?

[Falkra]

Si tu veux un coup de main, suis la procédure postée plus haut (post n°3), avec combofix.

Sinon, tu me dis, et on en reste là (bonne chance, vu la bestiole qui est en place, et je ne parle pas de Bagle).