Author Topic: malware (Read 3852 times)

orbiter28 · 13 August 2008, 22:57:36

Bonjour à tous,

Depuis quelques temps, je me bat avec des pub.
Du genre (je ne sait pas si il est prudent de cliquer) :

http://www.security-notifications.com/041/index_fr.php?alfl=1&nums=N15DFRI8682413122-FCC1UwGAAJ&login=672125&mediaid_prefix=005&asked_billing_id=2&time=312e323132

J'ai réinstallé firefox, mais rien à faire, les pubs continuent. Adaware & spyboot se révèle incompétant cette fois-ci.

Y-a t-il un moyen de savoir quel programme, quel script, ou quel modification dans le registre provoque cela ?

Cela fait presque un mois, et ça commence à devenir pénible, surtout quant on ne trouve pas de solution.

merci pour vos sugestions.

j'ai Windows Xp, le SP2 et antivir.

Message modifié ( 13-08-2008 22:58 )

Charlotman · Reply #1 - 13 August 2008, 23:02:14

télécharge ca:
http://www.clubic.com/telecharger-fiche17891-hijackthis.html

fais un scan et post le rapport (fichier txt) ici. je vais voir si je trouve un truc louche

Message modifié ( 13-08-2008 23:02 )

astro_seb · Reply #2 - 13 August 2008, 23:07:07

Pour fifi, installe ad-block plus: https://addons.mozilla.org/fr/firefox/addon/1865
Tu peux ensuite bloquer facilement beaucoup de pubs gênantes:
dans les adresses des pubs, il suffit souvent de ne laisser que la première partie de l'adresse, qui est celle du site qui
héberge la pub, et tu en élimines du coup plusieurs différentes à la fois!
C'est un peu plus délicat avec certaines pubs en flash, mais j'en suis très content.

orbiter28 · Reply #3 - 14 August 2008, 00:32:10

Voilà. Ce logiciel restera toujours un mystère réservé au élite à mes yeux

Merci.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:29:33, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\WINDOWS\system32\winsys2.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Mozilla Firefox 3 Beta 4\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Program Files\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Winreboot] C:\Windows\System\systwin32.
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute 2008\vrie.dll (file missing)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute
2008\vrie.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) -
http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D3D0E7BC-170E-11D0-B2D1-00AA00B92B50} (FireEvent Control) - http://singles.sfr.fr/dlm/ax/fireev.2.4.0.0.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) -
http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) -
https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{43A2384F-1A0B-4466-8560-928296785377}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC9C4E9F-D369-436D-9BB9-4EA47EC38384}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{43A2384F-1A0B-4466-8560-928296785377}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{43A2384F-1A0B-4466-8560-928296785377}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program
Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir
PersonalEdition Classic\avguard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers
communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6730 bytes

Quant à l'astuce d'astro-seb, je préfère commencer par hijackthis. Merci ceci dit.

Charlotman · Reply #4 - 14 August 2008, 08:48:58

bon j'ai fait analyser ton rapport chez http://www.hijackthis.de

une croix rouge.:

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

apres recherche sur le net , il semble quand meme bizarre ce "jeu". a moins d'etre sur qu'il soit inoffensif, je te conseil
de cocher la case correspondante.

J'ai aussii quelques points d'interrogations notamment concernant http://messenger.zone.msn.com. Mais visiblement ce n'est
pas méchant.

Passe aussi un coup de CCleaner pendant que tu y es

http://www.ccleaner.com/

nettoyeur et registre

Message modifié ( 14-08-2008 08:49 )

orbiter28 · Reply #5 - 14 August 2008, 11:52:37

D'habitude je fait confiance à BOONTY, j'ai télécharger une démo de IL2 chez eux, d'arpès ce que j'ai vu c'est une entreprise
qui se fait de l'argent en revendant des jeux, un peu du genre gamer for ever, mais il passe par le téléchargement.

Ceci dit, je ne voit pas l'intérêt de garder ce "service" car je n'utilise aucun jeux de boonty.

Merci encore. Du fait d'avoir mis spyboot et tea timer, j'ai le fichiers host qui n'est plus accessible par un jeux, et mon
frère n'aprécie pas du tout.

dede · Reply #6 - 14 August 2008, 15:34:46

Moi pour les malwares j'utilise " MalwareBytes' AntiMalware "
je dois dire que sa fonctionne bien mais bon ...chuis pa informaticien non plus!

orbiter28 · Reply #7 - 14 August 2008, 16:30:33

C'est un logiciel de bon choix, il est simple et exploitable gratuitement, en plus, c'est le seul parmis spyboot, adaware et avira à avoir trouvé et supprimer un petit programme malveillant.
J'avais désactivé le lancement au démarage de ce programme, je me disait bien que c'était un malware.

je garde ce soft

(bug réglé pour le blocage de fichier host par spyboot, ça remarche

)

Message modifié ( 14-08-2008 17:42 )

Pierre_le · Reply #8 - 15 August 2008, 23:56:19

@orbi28
system32\winsys2.exe est un trojan

normalement antivir devrait t'afficher çà

orbiter28 · Reply #9 - 16 August 2008, 00:05:58

Je le ferai analyser par antivir, merci.
Ra, je ne vois vraiment pas comment tout ça à bien put arriver là, tout marchais bien il y-a quelques mois. Mon pare-feux est bien fermé.
Surment quelqu'un qui a télécharger un certain exe pas très catholique... retrouvé dans la corbeille

Charloman, comment puis-je accédé à la réponse de www.hijackthis.de ?

En tout cas, merci pour votre aide, vous m'avez déjà beaucoup avancé.

Message modifié ( 16-08-2008 10:12 )

dede · Reply #10 - 16 August 2008, 08:34:08

Pas de quoi cher Orbiter28

Clockover2 · Reply #11 - 16 August 2008, 13:36:03

Ben tu colle ce que tu as mis sur le forum dans la zone approprié et tu fais évaluer

.

Ba chope une merde c'est très vite fait sous Windows.
Le pare-feu de Windows = 0
Et puis un petit surf avec IE et voila.

Charlotman · Reply #12 - 16 August 2008, 19:42:03

Quote

orbiter28 a écrit:
Charloman, comment puis-je accédé à la réponse de www.hijackthis.de ?
En tout cas, merci pour votre aide, vous m'avez déjà beaucoup avancé.

Quote

Ben tu colle ce que tu as mis sur le forum dans la zone approprié et tu fais évaluer .

voila tu fait un copier coller du rapport de hijackthis et tu le colle dans la partie reservée sur le site, puis tu clique
sur "évaluer". si une croix rouge apparait devant une ligne, ca veut dire que le site l'a évaluer comme dangereuse.

orbiter28 · Reply #13 - 16 August 2008, 20:59:34

merci, ça parrait évident maintenant, je me suis emmelé les pinceaux en fait.
Merci pour vos réponse.

Dédé, je vient d'installé antimalware sur un autre pc, il est exelent ! On peut très facilement le comparé à ad aware ou spyboot, il est peut-être meilleurs.

L'autre PC en question avait quant même dans les 250 virus détecté par avira antivir...

Message modifié ( 16-08-2008 21:27 )

dede · Reply #14 - 17 August 2008, 05:46:31

Tien orbiter, antivir m'a été conseillé a défault de mon avast!
est ce une bonne solution a remplacé mon antivirus?

orbiter28 · Reply #15 - 17 August 2008, 11:47:21

Il y-a la un comparatif entre les deux : http://forum.malekal.com/ftopic3528.php

De plus, j'ai pus voir antivir repéré des choses qu'avast ne repèrait pas, car l'odinateur qui avait eu 250 alerte de l'antivirus n'avait absolument rien eu avec avast 8o

Charlotman · Reply #16 - 17 August 2008, 15:56:31

Quote

orbiter28 a écrit:
Il y-a la un comparatif entre les deux : http://forum.malekal.com/ftopic3528.php

De plus, j'ai pus voir antivir repéré des choses qu'avast ne repèrait pas, car l'odinateur qui avait eu 250 alerte de
l'antivirus n'avait absolument rien eu avec avast 8o

Je confirme, malgré ce que peut lire sur le net (quoique de moins en moins maintenant), Avast! est une grosse daube. je le
sais pour l'avoir essayé...Antivir est 10x mieux, plus léger, plus efficace... Bon certains grincheux diront que la version
gratuite n'a pas de scanner de mails.... je leur répondrais que ca sert un rien, un scanner de mail, juste a ralentir le
chargement des mails... car si on charge un mail piégé, il sera de toute façon détecté par l'antivirus quand on essayera
d'ouvrir la pièce jointe, donc pas de soucis...et puis si on a un bon anti spam, le problème ne se pose meme pas...

Apolloman · Reply #17 - 17 August 2008, 16:04:54

C'est marrant ca... Hijackthis ne reconnait pas le pare-feu de Window Vista, il me répond que soit il n'est pas activer
ou soit que je n'en ai pas????

dede · Reply #18 - 17 August 2008, 21:31:48

Oui j'ai vu le comparatif " page par page" entre les deux et...
...je change demain,là trop tard et dodo
merci gentlemens