[Résolu] Ouverture intempestive panneau connection du FAI

[sharleen*]

Bonjour.

 

Le FAI est AOL, il y a ce problème depuis le changement de la boîte AOL, rien de méchant mais c'est pénible et si cela peut être résolu..

 

 

Explications (toutes les informations n'étant pas forcément nécessaires) :

 

Suite à un orage, la connexion téléphonique AOL ne fonctionnait plus.

Après vérification des services techniques, il a fallu changer de box et réinstaller AOL.

A l'ouverture d'Internet (le propriétaire de l'ordinateur utilisant Internet), la page d'accueil était l'AOL Toolbar ou bien un moteur de recherche "lost" alors que la page d'accueil enregistrée était bien Google news.

Je ne suis plus certaine si "lost" est apparu tout de suite en page d'accueil, cela remonte à pas mal de mois, et n'utilisant pas Internet, je ne l'ai pas découvert immédiatement.

 

J'ai supprimé l'AOL Toolbar ; la page d'accueil était à nouveau Google news, mais avec cet onglet supplémentaire "lost" qui me paraissait bizarre.

Après quelques recherches j'ai vu qu'il y avait bien problème. Je suis parvenue à supprimer ce "lost".

Mais il demeure un onglet vide accolé sur la page d'accueil.

 

Le problème qui persiste c'est qu'alors même que l'on ouvre IE (version 7), à chaque fois le panneau de connexion AOl s'ouvre, parfois même en ouvrant Mozilla. Et tant que la connexion n'a pas été établi à AOL, panneau et page d'accueil vide d'AOL prennent le dessus sur la fenêtre IE.

 

Depuis le changement de box, Norton Internet Security a bloqué l'enregistreur de frappe suivant :

C:\Program Files\AOL 9.0c\waol.exe (en date maintenant du 23/07/09 ; il y a eu du nettoyage de fait sur cette machine)

 

Ainsi que C:\WINDOWS\système32\ctfmon.exe : cela au quotidien ; c'est de mon fait = suite à des problèmes exposés sur la section "Analyse HijackThis", en voyant à l'historique de Norton qu'il y avait eu accès de ce programme nouveau au réseau, je l'ai restreint).

 

Merci à qui pourra me renseigner.

Modifié le 11 août 2009 par sharleen*

[Falkra]

Bonjour à tous,

 

lost j'ai viré ses restes (inactifs) pendant la désinfection.

 

Ctfmon.exe vient de MIcrosoft ezt sert à l'affichage des caractères asiatiques (pour faire court).

Tu peux empêcher le retour de CTFmon.exe au redémarrage en faisant la manip décrite, et si les lignes restent dans Hijackthis, les supprimer après avoir effectué ladite manip.

 

C:\Program Files\AOL 9.0c\waol.exe ne me semble pas être un enregistreur de frappe mais un faux positif (erreur de détection) de Norton.

[sharleen*]

Merci Falkra : pour lost, je pensais qu'il ne restait plus rien...

 

J'ai décoché les langues asiatiques.

 

 

Le problème mentionné avec l'ouverture intempestive du FAI par rapport à IE se fait aussi avec Mozilla si la barre anti-phising Norton est présente : ?

Je l'ai donc enlevée de Mozilla.

Parfois ça affiche même un message comme quoi AOL doit installer de nouveaux programmes.

 

 

Norton 2009 :

 

l'historique montre un accès non autorisé consigné, risque moyen :

C:\WINDOWS\système32\dvwtsn.32.exe : accéder aux donnés de processus

 

Il y a quelques autres choses de ce genre, des accès bloqués ou consignés.

 

J'ai finalement lancé une analyse complète :

 

des fichiers exe supprimés, à risque faible, d'omnipass, d'aol

SecurityRisk.URL Redir, risque élevé, supprimé : ? en liaison avec merijn.org

(je viens de chercher, et vu le post d'ipl_01 sur votre site )

Modifié le 7 août 2009 par sharleen*

[Tibonhomme]

Bonsoir Sharleen*,

 

Je te laisse terminer la procédure avec Falkra.

Juste une remarque : http://assiste.forum.free.fr/viewtopic.php?t=23045

Falkra saura certainement nous en dire un peu plus à ce sujet.

 

Cordialement

[Falkra]

l'historique montre un accès non autorisé consigné, risque moyen :

C:\WINDOWS\système32\dvwtsn.32.exe : accéder aux donnés de processus

Clean, c'est un utilitaire de Windows.

 

Le problème mentionné avec l'ouverture intempestive du FAI par rapport à IE se fait aussi avec Mozilla si la barre anti-phising Norton est présente : ?

Je l'ai donc enlevée de Mozilla.

Why not, ce type de barre n'a rien d'indispensable.

 

Aol est envahissant, je crains que l'ayant FAI les options soient plutôt minces.

 

 

Edit : pas compris le rapport avec le topic d'assiste.com

[Tibonhomme]

Bonjour sharleen,

Bonjour Falkra,

 

Désolé, je n'ai pas été assez précis.

SecurityRisk.URL Redir, risque élevé, supprimé : ? en liaison avec merijn.org

Le lien parle de problèmes de sites détournés de leur objet initial, dont celui de Merijn.

Simple curiosité de ma part à ce propos.

 

Merci

[sharleen*]

Bonjour Tibonhomme, bonjour Falkra.

 

Merci pour le lien Tibonhomme : oui, c'est ce que j'ai lu aussi dans un autre forum sur ce site.

Je ne sais pas d'où sort ce SecurityRisk.URL.. ayant été voir pour les modules de sécurisation de Mozilla, je me souviens avoir été confrontée à un lien ou une page qui n'existait plus. Pê cela.

 

Pour Norton anti-phising : dans la mesure où elle s'était installée toute seule sur les précédentes versions de Mozilla et vu mes petits soucis d'alors, je pensais que c'était mieux de l'avoir ; mais depuis j'ai fait un peu de lecture et oui, pas indispensable.

Et merci encore à Tibonhomme de m'avoir épargné quelques recherches en plus

 

 

AOL envahissant ? ... ça n'est rien de le dire !

Il semble que le changement de box n'ait rien arrangé, mais bon.

 

Pour info :

 

Le jour où j'ai reçu dans la BAL d'AOL un e-mail ne venant pas de mes contacts et non répertorié comme spam, ce que j'ai fait, j'ai vu dans l'historique de Norton cet accès de Ctfmon.exe qui était nouveau.

Vu mon ignorance, et dans le doute, et découvrant par ailleurs que les paramètres de la BAL avait été modifiés sans que j'y ait touchés, j'ai préféré restreindre ce pgme exe.

Ensuite les paramètres de la BAL n'ont plus changé (mais le lien de cause à effet ?).

Et donc, en regardant les nouvelles données de Norton 2009 j'ai découvert hier que les règles de spam personnalisées contenaient l'adresse de l'e-mail que j'ai classé comme spam et supprimé, ss pouvoir lire l'intégralité de l'adresse : c'est en fait un truc "sexu...".

Et peu de temps après avoir reçu cet e-mail bien douteux, j'ai eu la bêtise d'aller voir une annonce en page d'accueil AOL, en fait un site tournant porno..

Et avant sur Mozilla, "comment ça marche", pubs porno.

 

Je pense savoir d'où peut venir ce parasitage -dites-moi si je me trompe :

il y a des semaines de cela, j'ai voulu vérifier sur Google qui était une personne du cinéma, et je me suis retrouvée avec stupéfaction avec des liens porno ! = pas besoin de lire les adresses, il y avait des photos, alors vite hors de la page, j'efface les traces, mais à l'époque j'avais encore les pubs et cookies qui étaient actifs pendant les sessions.

Ma question : y a-t-il moyen de "nettoyer" cela, de ne plus être la cible de ce parasitage ? Qui en fait maintenant ne concerne qu'AOL (bien que je n'utilise plus le site) ?

Modifié le 8 août 2009 par sharleen*

[Tibonhomme]

Bonjour sharleen*,

 

La AOL Toolbar est-elle toujours présente?

Nous allons voir cela et éviter les retours de ces fenêtres indésirables.

Comme HijackThis a été supprimé à la fin de la procédure de désinfection, suis ce qui suit :

 

Télécharger HijackThis V2.02 ici (cliquer sur "Download HikackThis Installer") : http://www.trendsecure.com/portal/en-US/to...ckthis/download

L'enregistrer sur le bureau.

 

* Double-cliquer sur l'installateur

* Installer sur C: (pas dans un dossier temporaire)

* A la fenêtre d'avertissement, accepter

* Cliquer sur Do a system scan and save a log file

* Le rapport est généré dans une fenêtre Bloc-notes qui s'ouvre

* Copier-coller l'intégralité du rapport dans ton prochain message (si tu ne le retrouves pas il se nomme hijackthis.log)

 

Cela permettra de voir les processus et services lancés au démarrage.

 

A plus tard

[sharleen*]

Merci

Non, il n'y pas d'AOL Toolbar.

 

 

Voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:58:28, on 08/08/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\TOSHIBA\TOSHIBA RAID\Service\kraidsvc.exe

C:\Program Files\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe

C:\Program Files\TOSHIBA\TOSHIBA RAID\Service\krdevctl.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ThpSrv.exe

C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe

C:\WINDOWS\wanmpsvc.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE

C:\Program Files\Enryko\Enryko.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\AOL 9.0c\waol.exe

C:\Program Files\AOL 9.0c\shellmon.exe

C:\Program Files\Fichiers communs\AOL\1171206881\ee\aolsoftware.exe

C:\Program Files\Fichiers communs\Aol\aoltpspd.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\IPSBHO.DLL

O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ccleaner] "C:\Documents and Settings\YORK\Mes documents\Logiciels\CCleaner\CCleaner.exe" /AUTO

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Enryko.lnk = C:\Program Files\Enryko\Enryko.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 4.0\resources\fr-FR\local\search.html

O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://www-secure.symantec.com/techsupp/as...abs/tgctlsr.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flas...ent/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A03628E2-88F3-4AFB-9F23-4F53264D1AD5}: NameServer = 205.188.146.145

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: TOSHIBA RAID Service (kraidsvc) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA RAID\Service\kraidsvc.exe

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\WINDOWS\system32\ThpSrv.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

 

--

End of file - 8030 bytes

[sharleen*]

Bon, n'y connaissant rien comme tu le sais, tu m'expliqueras :

 

je viens de lire le rapport, j'y vois l'AOL Toolbar, "mais" sur la page d'accueil du FAI AOL, pas de "toolbar", et pas sur IE non plus = voilà ce que je voulais dire.