page blanche aléatoire

[Wullfk]

Bonsoir,

 

je voyais pas bien ou poster mon problème,

 

donc sur une config sous XP PRO SP3 (AntiVir Premium, Online Armor Firewall Free 4.0.0.35) j'ai de façon complétement aléatoire le navigateur (Firefox 3.6.3 ou IE8) qui s'ouvre sur une page blanche alors que celle ci devrait être celle de Yahoo.fr (c'est le choix fait pour la page d'accueil)

dans la barre des taches du navigateur, je n'ai que l'indication "Terminé"

 

j'ai fait plusieurs recherche mais rien de probant.

 

j'utilise HostMan pour le fichier Host et celui ci est bien à jour.

 

j'avoue être un peu perplexe sur ce phénomène, car j'ai ce problème que sur une seule config (en plus c'est celle de madame )

 

niveau sécurité mis à part le choix du Firewall qui diffère des autres configs, tout est configuré à l'identique.

 

Merci d'avance à ceux qui pourront me mettre sur une autre piste, ou me fournir une manip/conseil qui pourrait résoudre ce problème.

 

@+

[Wullfk]

pour plus de clarté , j'ai réalisé un scan Malwarebytes et HisJackThis

 

dont voici les rapports :

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3900

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

11/04/2010 12:14:48

mbam-log-2010-04-11 (12-14-22).txt

 

Type de recherche: Examen rapide

Eléments examinés: 119649

Temps écoulé: 6 minute(s), 33 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe (Security.Hijack) -> No action taken.

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

le rapport HJT :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:43:11, on 11/04/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Tall Emu\Online Armor\OAcat.exe

C:\Program Files\Tall Emu\Online Armor\oasrv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe

C:\Program Files\Tall Emu\Online Armor\OAui.exe

C:\Program Files\HostsMan\hm.exe

C:\Program Files\WinRoll\winroll.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\DeskPins\DeskPins.exe

C:\Program Files\Tall Emu\Online Armor\OAhlp.exe

C:\Program Files\Secunia\PSI\psi.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\HiJackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Virginie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\OAui.exe"

O4 - HKCU\..\Run: [HostsMan] "C:\Program Files\HostsMan\hm.exe" -s

O4 - HKCU\..\Run: [WinRoll] "C:\Program Files\WinRoll\winroll.exe

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')

O4 - Startup: DeskPins.lnk = C:\Program Files\DeskPins\DeskPins.exe

O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{93E37264-AE8B-4765-99EF-F4351D91BF01}: NameServer = 208.67.222.222,208.67.220.220

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOCUME~1\Virginie\LOCALS~1\Temp\AVSETUP_49fae17c\basic\avupgsvc.exe (file missing)

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Seagate Service (FreeAgentGoNext Service) - Seagate Technology LLC - C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\OAcat.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe

 

--

End of file - 8432 bytes

 

 

@+

[Tibonhomme]

Bonjour Wullfk

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3900

Ta version de MBAM est obsolète, nous en sommes à la version 1.45, base de données 3976 au moment de ce message.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe (Security.Hijack) -> No action taken.

Tu n'as pas permis à MBAM de supprimer cette clé, est-ce volontaire ?

 

Tu peux suivre la procédure ci-dessous (va directement à l'étape de la mise à jour) :

 

Télécharge Malwarebytes' Anti-Malware (MBAM) en version gratuite (Download free version) : http://www.malwarebytes.org/mbam.php

Si tu possèdes déjà le logiciel, passe à la mise à jour.

 

Si le téléchargement, l'installation ou l'analyse ne fonctionne pas, signale-le.

 

Ce logiciel, très efficace en analyse à la demande, est à garder. La version payante apporte en plus un module résident avec protection contre des IP malveillantes, et les mises à jours automatiques.

 

En cas de problème de mise à jour au paragraphe suivant, télécharger directement les mises à jour ici : http://mbam.malwarebytes.org/database/mbam-rules.exe

 

Connecter tous les supports amovibles utilisés (clés usb, disques durs externes, MP3 etc...) avant de lancer l'analyse.

La mise à jour est à effectuer systématiquement avant chaque analyse avec la version gratuite.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation (sous Vista -Windows 7, lancer MBAM par clic droit / Exécuter en tant qu'administrateur)
  
• Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour, si le pare-feu demande l'autorisation à MBAM de se connecter, accepte
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche
  
• Sélectionne Exécuter un examen complet
  
• Clique sur Rechercher
  
• L'analyse démarre, elle peut demander du temps, cela est normal
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

• Clique sur Ok pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  
• Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse. Au cas ou tu fermes MBAM trop rapidement, le rapport se trouve dans l'onglet Rapports/Logs, nommé par la date et l'heure.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

Ne pas vider la quarantaine de MBAM sans avis (des faux-positifs peuvent y avoir été placés).

 

Au vu du rapport HijackThis, il y a effectivement quelques soucis. Nous verrons si MBAM répare cela.

 

Connais-tu ces adresses IP ?

O17 - HKLM\System\CCS\Services\Tcpip\..\{93E37264-AE8B-4765-99EF-F4351D91BF01}: NameServer = 208.67.222.222,208.67.220.220

Ce sont des adresses aux Etats-Unis. Voici ce que donne la recherche sur chacune :

http://www.robtex.com/ip/208.67.222.222.html

http://www.robtex.com/ip/208.67.220.220.html

 

@+

[Wullfk]

quelques réponses :

 

oui j'avais un petit problème avec la mise à jour, j'obtenais une erreur , mais c'est résolu je dispose bien maintenant de la version 1.45 et de la dernière mise à jour

 

je relance un scan pour supprimer l'élément trouvé précédemment

 

pour

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{93E37264-AE8B-4765-99EF-F4351D91BF01}: NameServer = 208.67.222.222,208.67.220.220

 

ce ne sont pas des adresses IP , mais simplement les DNS d'OPEN DNS

 

@+

[Tibonhomme]

Re,

 

Oui, j'ai vu par les recherches que cela correspond à OPENDNS, je voulais juste être sûr que c'est volontaire.

 

oui j'avais un petit problème avec la mise à jour, j'obtenais une erreur

OK, je comprends mieux.

 

Dis-nous si MBAM suffit.

 

Cordialement

[Wullfk]

la nouvelle analyse à trouvé la même chose, j'ai donc cette fois ci cliquer sur supprimer.

 

pour l'instant j'ai pas assez de recule pour savoir si le problème à disparu, surtout que celui ci n'est pas systématique, c'est très aléatoire, et qui plus est pas d'adresse spécifique pour lesquelles ça se produirait.

 

le PC de madame traine se problème depuis quelques temps déjà, et j'ai vérifier quasiment tout sur le PC, donc même si pour l'instant ça semble être bon, je ne crie pas victoire trop top.

 

pour l'instant je dirais que MBAM peut avoir eux un impact positif, mais à voir sur du long terme. de ce fait je ne clos pas le sujet pour l'instant, je vais laisser passer la semaine, pour dire ce qu'il en est.

 

Merci pour ton assistance Tibonhomme, et toute mes excuses pour mon manque de politesse (j'ai omis de dire bonjour lors de ma première réponse, c'est pourtant pas dans mon habitude)

 

Cordialement

[Tibonhomme]

Re,

 

et toute mes excuses pour mon manque de politesse

Aucun souci, je ne me formalise pas, et j'avais bien compris que, de ta part, c'était plutôt un oubli.

 

Si cela semble fonctionner, tant mieux.

 

Tu pourras également effectuer quelques modifications du registre en fixant certaines lignes inutiles dans HijackThis: entrées de démarrages inutiles, 1ère ligne R1 qui pointe vers une page d'erreur.

 

Je suppose que tu as volontairement restreint l'accès à certaines options d'IE :

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

 

A bientôt

[Wullfk]

Tu pourras également effectuer quelques modifications du registre en fixant certaines lignes inutiles dans HijackThis: entrées de démarrages inutiles, 1ère ligne R1 qui pointe vers une page d'erreur.

 

heu je l'ai fait pour certains éléments inutile (BHO ou 04) mais j'ai pas fait attention à la première ligne R1

 

Je suppose que tu as volontairement restreint l'accès à certaines options d'IE

 

c'est tout à fait possible, du fait que j'utilise XP-antispy mais faut que j'aille vérifier tout de même, même si j'ai réussi à convertir madame à Firefox en navigateur par défaut.

 

++