[Resolu] ouverture intempestive de pages web (entre autre)

[Radalescu]

Bonjour,

 

depuis quelques temps des pages web s'ouvrent toutes seules sur mes navigateurs (firefoc, opera) qui sont ensuite souvent redirigés vers Google

J'ai remarqué aussi, qu'une de ces pages ouverte sur opera, m'avait dirigé sur un site de recherche, avec des mots clés d'une recherche faite précedemment sur firefox, qui était fermé a ce moment là.

 

J'ai essayé quelques éliminateurs de spyware et autres, mais rien n'y fait!

 

J'avais contaté quelques autres problemes sur mon ordi depuis quelques temmps, environ depuis avoir installé une imprimante HP...

mon disque dur systeme qui n'apparait pas dans le gestionnaire de disque dur; il apparait dans le gestionnaire de péripherique / lecteurs de disque si je coche l'option "afficher les peripheriques cachés". Il apparait par contre comme il faut dans les logiciels genre 'partition magic'

J'ai aussi pas mal d'erreurs qui aparaissent dans l'observateur d'evenement

 

Je ne sais pas si tout cela est lié!

 

Ci joint mon log HijackThis ,

en vous remerciant par avance pour votre aide

 

-------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:04:44, on 11/08/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Utils-Securite\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\Tablet.exe

C:\WINDOWS\Explorer.EXE

C:\UtilsWeb\looknstop\looknstop.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Utils-Securite\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\NVTray\NVTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\WTablet\TabUserW.exe

C:\UtilsWeb\proxomitron45\Proxomitron.exe

C:\UtilsWeb\StatnPerf\StatnPerf.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Microsoft Office\Office\1036\msoffice.exe

C:\UtilsWeb\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Utils\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [Look 'n' Stop] "C:\UtilsWeb\looknstop\looknstop.exe" -auto

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Utils-Securite\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [NVTray] C:\Program Files\NVTray\NVTray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-746137067-1682526488-682003330-1003\..\Run: [NVTray] C:\Program Files\NVTray\NVTray.exe (User '?')

O4 - HKUS\S-1-5-21-746137067-1682526488-682003330-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - S-1-5-21-746137067-1682526488-682003330-1003 Startup: Proxomitron.exe.lnk = C:\UtilsWeb\proxomitron45\Proxomitron.exe (User '?')

O4 - S-1-5-21-746137067-1682526488-682003330-1003 Startup: Statnperf.lnk = C:\UtilsWeb\StatnPerf\StatnPerf.exe (User '?')

O4 - Startup: Proxomitron.exe.lnk = C:\UtilsWeb\proxomitron45\Proxomitron.exe

O4 - Startup: Statnperf.lnk = C:\UtilsWeb\StatnPerf\StatnPerf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Utils-Securite\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Utils-Securite\Avira\AntiVir Desktop\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe

O23 - Service: Seagate Scheduler2 Service (SgtSch2Svc) - Seagate - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

 

--

End of file - 3584 bytes

Modifié le 15 août 2010 par Radalescu

[pear]

Bonjour,

 

Téléchargez cet outil de diagnostic.

 

Téléchargez Random's system information tool (RSIT) par random/random et sauvegardez-le sur le Bureau.

 

Sous Xp

Double-cliquez sur RSIT.exe pour le lancer.

Sous Vista

Clic droit sur l'icône et "Exécuter en tant qu'administrateur"

Sous Sept

Sur le bureau, faire un clic droit sur le fichier RSIT.exe

Dans Propriétés->onglet Compatibilité-> cocher Exécuter ce programme en mode compatibilité pour

et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.

Valider par Appliquer.

 

* Cliquez Continue à l'écran Disclaimer.

* Si l'outil HIjackThis (version à jour) n'est pas présent ou détecté sur l'ordinateur, RSIT le télécharge et vous acceptez la licence.

* L'analyse terminée, deux fichiers texte s'ouvriront.:

Poster le contenu de log.txt (qui sera affiché)

ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).

* Si ces deux rapports n'apparaissent pas, vous les trouverez dans le dossier C:\rsit

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

 

Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

Nettoyage

 

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[Radalescu]

Bonjour et merci pour votre réponse.

 

ci joint les logs demandés

 

© CJoint.com, 2008

 

en vous remerciant pour votre aide

[pear]

Bonjour,

 

Recherche de Rootkit

Télécharger SysProtsur le bureau

Installez le et double cliquez sur "SysProt.exe"

Cliquez sur l'onglet "log" ;

Cochez toutes les cases présentes dans la fenêtre "Write to log" ;

Cochez Hidden Objects Only (au bas, à gauche)

Les "Objets cachés (Hidden)" sont en Rouge dans tous les modules

Cliquez sur Create log (au bas, à droite)

Une nouvelle fenêtre apparaîtra : cochez Scan root drive et cliquez sur Start ;

Un rapport sera sauvegardé dans le dossier SysProt.

Signalez les lignes rouges, car votre rapport ne montrera pas la couleur

Copiez/collez en le contenu dans votre réponse.

[Radalescu]

Bonjour,

 

ci joint le log Sysprot

© CJoint.com, 2008

 

Seuls, les 4 kernels modules sont en rouges

 

en vous remerciant pour votre aide

[pear]

Bien,

 

Nettoyage de Rootkit

Relancer Sysprot

 

Rechercher:

Module Name: \SystemRoot\System32\Drivers\avvxp2go.SYS

Hooked Module: \SystemRoot\System32\Drivers\avvxp2go.SYS ( toutes les occurences trouvées)

 

Pour tuer un processus(Onglet Processes) clic droit->puis clic sur Kill ou Disable(Kernel Modules), ou Fix Hook(SSDT) ou Delete(Files Système)

 

 

Et dites moi si votre problème persiste.

[Radalescu]

Bonsoir,

 

Impossible de disable le module Module Name: \SystemRoot\System32\Drivers\avvxp2go.SYS

 

J'ai donc relancé la machine pour voir si cela était possible après,

et certains noms de module ont changé.

spew.sys est devenu spwr.sys

avvxp2go.SYS est devenu ank1xit5.SYS

 

voir le fichier log ci dessous

 

----------------------------------

 

SysProt AntiRootkit v1.0.1.0

by swatkat

 

******************************************************************************************

******************************************************************************************

******************************************************************************************

******************************************************************************************

Kernel Modules:

Module Name: spwr.sys

Service Name: ---

Module Base: B9EA7000

Module End: B9FA7000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\ank1xit5.SYS

Service Name: ---

Module Base: B9282000

Module End: B92B9000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_diskdump.sys

Service Name: ---

Module Base: B6F97000

Module End: B6F9B000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_nvgts.sys

Service Name: ---

Module Base: B6D5D000

Module End: B6D81000

Hidden: Yes

[pear]

Ce n'est pas banal!

 

Recherche de rootkit

Télécharger The Avenger par Swandog46 sur le Bureau.

 

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

The Avenger sait rechercher des rootkits cachés(par définition) .

Pour pour activer cette fonction:

Vérifiez que la case "Scan for rootkits" est bien cochée.( Elle l'est par défaut).

 

 

 

Ne pas autoriser The Avenger à désactiver automatiquement tous les rootkits qu'il trouve.

 

Cliquez sur Exécute.

la recherche de rootkits se fera au redémarrage , avant l'installation de Windows.

Un fichier log s'ouvrira que vous pourrez retrouver ici : C:\avenger.txt

Copiez /collez le résultat dans votre réponse.

[Radalescu]

re bonsoir,

 

chose faite et rien trouvé semble t-il.

ci dessous le log de avenger

 

------------------------------------------------------------

 

Logfile of The Avenger Version 2.0, © by Swandog46

Swandog46's Public Anti-Malware Tools

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

[pear]

Bonsoir,

 

Ok.

 

Avez vous toujours des pubs envahissantes ?