FireFox souci Porn Tube

[AGC.Shadow]

bonjour

j'ai un gros problème quand je surf avec Firefox de temps en temps il ouvre la page sur un faux site Porno Tube puis me dis que j'ai un virus et qu'il dois installé un antivirus! et la impossible de fermer firefox obligé de passé par le gestionnaire de tâches pour couper firefox!

j'ai utilisé Spybot puis Malewarebyte mais rien il est tjs présent, j'ai testé avec Opéra & IE7 est j'ai aucun soucis?

merci pour votre aide

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:21:29, on 19/02/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\OfficeScan NT\ntrtscan.exe

C:\WINDOWS\system32\nvsvc32.exe

c:\oracle\ora92\bin\omtsreco.exe

C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

C:\OfficeScan NT\tmlisten.exe

C:\Program Files\TeamViewer\Version4\TeamViewer.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\OfficeScan NT\ofcdog.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\OfficeScan NT\pccntmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE

C:\Program Files\Fichiers communs\System\MAPI\1036\nt\MAPISP32.EXE

C:\WINDOWS\explorer.exe

C:\Program Files\Opera\opera.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yactime.yacast.fr:8080/webquartz/au...?deconnect=true

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by YACAST France

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.yacast.fr:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.yacast.com;*.yacast.net;*.yacast.fr;213.205.*;10.0.*;193.201.103.*;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: BGInfo.lnk = C:\Program Files\_outils\Bginfo.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1229009050687

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1233052763703

O16 - DPF: {B2CC4BA0-08EB-4AF9-A532-1295DF0C8A07} (WebQuartzX Contrôle) - http://yactime.yacast.fr:8080/webquartz/ocx/WebQuartz.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = yacast.fr

O17 - HKLM\Software\..\Telephony: DomainName = yacast.fr

O17 - HKLM\System\CCS\Services\Tcpip\..\{A4AEE4C5-61F2-458D-BE21-99A442E84651}: NameServer = 192.168.22.8,192.168.0.12

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = yacast.fr

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = yacast.fr

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OracleMTSRecoveryService - Oracle Corporation - c:\oracle\ora92\bin\omtsreco.exe

O23 - Service: OracleOraHome92ClientCache - Unknown owner - c:\oracle\ora92\BIN\ONRSD.EXE

O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe

O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

 

--

End of file - 8387 bytes

Modifié le 19 février 2009 par AGC.Shadow

[Falkra]

Bonjour, bienvenue.

 

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher les désinfections.

A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" .

 

Yacast.fr et son proxy, c'est toi qui a mis ça, tu confirmes ?

 

FoxScan est un outil développé par Loup blanc pour l'affichage et l'analyse des paramètres du navigateur Mozilla FireFox afin d'y détecter des éléments anormaux voire infectieux.

 

-> Télécharge FoxScan dans le répertoire de ton choix, par exemple dans celui dans lequel tu ranges les outils à conserver : Mes Documents\Mes Téléchargements.

-> Ouvre le répertoire dans lequel tu as téléchargé et double clique sur FoxScan.exe

-> Une fenêtre de commande s'ouvre et affiche quelques informations générales.

-> Laisse faire l'outil jusqu'à affichage de "Recherches terminées.

Appuyer sur une touche pour continuer...". Appuie par exemple sur [Entrée].

-> Le programme ouvre alors son rapport dans une fenêtre du Bloc-notes.

Ce rapport est aussi rangé dans le même répertoire que FoxScan.bat sous le nom de Rapport-FS.txt.

-> Poste ce rapport sur le forum (effectue un copier-coller) pour le soumettre à l'analyse du Conseiller en sécurité que te l'a demandé.

-> Ferme le Bloc-notes et attends les instructions du Conseiller.

 

FoxScan étant un outil d'affichage, il n'est pas dangereux et peut être conservé sur le disque. Néanmoins, il est conseillé de télécharger la version la plus récente avant utilisation car des améliorations ont pu y être apportées.

[AGC.Shadow]

Yacast.fr et son proxy je confirme

[AGC.Shadow]

le petit rapport

FoxScan Version 1.0.5

Ecrit par Loup blanc - Zebulon.fr

Scan lancé le 19/02/2009 à 12:58:39,48

 

 

Microsoft Windows XP [version 5.1.2600]

Service Pack 3

 

Mozilla Firefox version : 3.0.6 (fr)

Dossier d'installation : C:\Program Files\Mozilla Firefox

 

Profil : default

Dossier du profil : C:\Documents and Settings\xlebail\Application Data\mozilla\firefox\Profiles\ov0tbxfx.default\

Pages de démarrage : "http://www.google.fr/firefox?client=firefox-a&rlz=1R0GGGL_fr"

 

------------------------------------------------------

 

 

//////////// Modules complémentaires \\\\\\\\\\\\\

======= Profil : default =======

 

La notification d'installation des modules complémentaires est activée

 

Nom : Google Toolbar for Firefox

Etat : Activé

Dossier : C:\Documents and Settings\xlebail\Application Data\Mozilla\Firefox\Profiles\ov0tbxfx.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}

 

Nom : Java Quick Starter

Etat : Activé

Dossier : C:\Program Files\Java\jre6\lib\deploy\jqs\ff

 

Nom : Microsoft .NET Framework Assistant

Etat : Activé

Dossier : C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

 

Nom : Default

Etat : Activé

Dossier : C:\Program Files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

 

 

 

------------------------------------------------------

 

 

 

//////////// Plugins de recherche \\\\\\\\\\\\\

======= Profil : default =======

 

Recherche dans "prefs.js" :

 

browser.search.defaultenginename : "Google"

 

browser.search.defaulturl : ""

 

browser.search.selectedEngine : ""

 

keyword.URL : "chrome://browser-region/locale/region.properties"

 

 

--------- Moteurs de recherche trouvés ------------

+ Formulaire de recherche configuré pour le moteur

 

 

C:\Program Files\Mozilla Firefox\searchplugins\amazon-france.xml

template="http://www.amazon.fr/exec/obidos/external-search/">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\eBay-france.xml

template="http://rover.ebay.com/rover/1/709-47295-17703-3/4">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\google.xml

template="http://www.google.com/search">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\MediaDICO-fr.xml

template="http://www.dictionnaire-mediadico.com/dictionnaires.asp">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-fr.xml

template="http://fr.wikipedia.org/wiki/Special:Recherche">

 

 

C:\Program Files\Mozilla Firefox\searchplugins\yahoo-france.xml

template="http://fr.search.yahoo.com/search">

 

 

------------------------------------------------------

 

 

//////////// DLL présentes dans C:\Program Files\Mozilla Firefox\components \\\\\\\\\\\\\

 

browserdirprovider.dll

brwsrcmp.dll

 

------------------------------------------------------

 

//////////// Plugins configurés dans la Base de registre \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@adobe.com/FlashPlayer]

"Description"="Adobe® Flash® Player 10"

"Vendor"="Adobe Systems Incorporated"

"Path"="C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@divx.com/DivX Browser Plugin,version=1.0.0]

"Description"="DivX Web Player"

"Vendor"="DivX,Inc."

"Path"="C:\Program Files\DivX\DivX Web Player\npdivx32.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@divx.com/DivX Player Plugin,version=1.0.0]

"Description"="DivX® Player Plugin for VOD Content"

"Vendor"="DivX,Inc."

"Path"="C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@ma-config.com/HardwareDetection]

"Description"="Détection de sa configuration"

"Vendor"="CybelSoft"

"Path"="C:\Program Files\ma-config.com\nphardwaredetection.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@Microsoft.com/NpCtrl,version=1.0]

"Description"="Ag Player Plugin"

"Vendor"="Microsoft"

"Path"="C:\Program Files\Microsoft Silverlight\2.0.31005.0\npctrl.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WLPG,version=14.0.8064.0206]

"Description"="WLPG Install MIME type"

"Vendor"="Microsoft"

"Path"="C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/WPF,version=3.5]

"Description"="Windows Presentation Foundation plug-in for Mozilla browsers"

"Vendor"="Microsoft Corp."

"Path"="C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nppl3260;version=6.0.12.69]

"Description"="RealPlayer LiveConnect-Enabled Plug-In"

"Vendor"="RealNetworks"

"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nprjplug;version=1.0.3.69]

"Description"="RealJukebox Netscape Plugin"

"Vendor"="RealNetworks"

"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nprpjplug;version=6.0.12.69]

"Description"="6.0.12.69"

"Vendor"="RealNetworks"

"Path"="C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll"

 

[HKEY_LOCAL_MACHINE\software\mozillaplugins\@real.com/nsJSRealPlayerPlugin;version=]

 

------------------------------------------------------

 

//////////// Recherche additionnelles pour les infections Goored, YoogSearch... \\\\\\\\\\\\\

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\extensions]

"{20a82645-c095-46ed-80e3-08825760534b}"="C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\" ==== Infection Goored possible ====

Contenu du dossier :

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome.manifest

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\install.rdf

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\chrome\chrome.jar

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults\preferences

C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\defaults\preferences\defaults.js

 

 

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.0.6\extensions]

 

 

------------------ Fin du rapport ------------------

Modifié le 19 février 2009 par AGC.Shadow

[Falkra]

Désinstalle l'extension nommée "Default" via le panneau des modules complémentaires de firefox, ainsi que celle nommée Microsoft .NET Framework Assistant.

Redémarre ensuite firefox et vois si ça va mieux.

[AGC.Shadow]

oui ça marche nickel merci !

[Falkra]

Ca remarche après redémarrage, et tout et tout ?