Se connecter / S'enregistrer
Votre question

[ RESOLU ] Probléme trés agaçant

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Mai 2007 20:31:47

Bonjour, dépuis quelque jour je suis agacé par ce message qui s'affiche dans mon internet explorer

Warning: possible spyware or adware infection! Click here to scan your computer for spyware and adware...

Une page htm se lance automatiquement qui m'éxpedie vers le site commercial de Antispysolutions.com

Voila mon log HijackThis

Citation :
Logfile of HijackThis v1.99.1
Scan saved at 19:57:28, on 31/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
D:\Program Files\WinZip\WZQKPICK.EXE
D:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Opera\Opera.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
O2 - BHO: msdn_lib.msdn_hlp - {38847C4B-1AB1-4A47-9026-9A6CF7B43D31} - C:\WINDOWS\system32\msdn_lib.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\RunOnce: [navilog1] C:\Program Files\Navilog1\navilog1.bat
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = D:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Fenêtre d'état Canon LBP-800.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


Et mon log FSBL
Citation :
05/31/07 19:42:02 [Info]: BlackLight Engine 1.0.61 initialized
05/31/07 19:42:02 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/31/07 19:42:02 [Note]: 7019 4
05/31/07 19:42:02 [Note]: 7005 0
05/31/07 19:42:09 [Note]: 7006 0
05/31/07 19:42:10 [Note]: 7011 1360
05/31/07 19:42:10 [Note]: 7026 0
05/31/07 19:42:10 [Note]: 7026 0
05/31/07 19:42:19 [Note]: FSRAW library version 1.7.1021
05/31/07 19:45:22 [Note]: 7007 0


Merci d'avance pour votre aide :jap: 

Autres pages sur : resolu probleme tres agacant

31 Mai 2007 20:40:20

Salut :hello: 
-- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31 - mirroir http://72.232.135.12/siri/SmitfraudFix.php
(Si tu as Norton Antivirus ou NOD32, désactive le)
-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix
-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)
-- Choisis l'option 1 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier
-- Copie/colle le contenu du rapport ici
31 Mai 2007 20:40:26

Bonjour ,

Télécharge Smitfraudfix

Enregistre le sur ton bureau

Double clique sur SmitfraudFix.exe ( le .exe peut ne pas apparaitre )
Choisis ensuite l'Option 1 ( Recherche )

Poste le rapport généré

Citation :
EDIT : Grilled by Cracker
Contenus similaires
31 Mai 2007 20:40:59

oups bon tu peux le prendre eric ;) 
31 Mai 2007 20:42:57

Vas-y tu étais le premier ;) 
31 Mai 2007 20:54:54

ils vont pas se battre quand meme sinon 6 secondes d'ecart c'est un record !!!
1 Juin 2007 09:08:12

Grand MERCI pour vos reponses :jap: 

Citation :
voici le rapport

SmitFraudFix v2.189

Rapport fait à 9:05:04,65, 01/06/2007
Executé à partir de C:\Documents and Settings\Boss\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\susp.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Boss


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Boss\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Boss\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

1 Juin 2007 18:58:03

Re,
-- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix
-- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne
clique sur aucun autre fichier!!!)
-- Choisis l'option 2 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier,


-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur
Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

Copie/colle le rapport ici.
2 Juin 2007 11:39:17

Merci de ta reponse
Voila le rapport SmitFraudFix.


En fait je crois qu'une commande va chercher le fichier suivant
C:\Windonws\system32\drivers\detect.htm

J'ai ouvert ce fichier et il s'agit de la page qui est affichée automatiquement.
J'ai renommé ce fichier.


Citation :
SmitFraudFix v2.189

Rapport fait à 11:17:53,87, 02/06/2007
Executé à partir de C:\Documents and Settings\Boss\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\susp.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5A7354FD-3F39-4F0C-A178-8D119B932C99}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5A7354FD-3F39-4F0C-A178-8D119B932C99}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5A7354FD-3F39-4F0C-A178-8D119B932C99}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

2 Juin 2007 12:27:50

Re,
Normalement maintenant la fenêtre ne doit plus s'afficher?
En fait, tu parles de quelle commande?
Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
Une fois sur le bureau, tu fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, tu clics sur extrait tout ou extraire ici.
Cela va créer un dossier clean.
Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.
2 Juin 2007 15:26:38

Non, la fenetre ne s'affiche plus puisque j'ai renommé le fichier C:\Windonws\system32\drivers\detect.htm en revenche j'ai un message d'erreur d'IE me disant qu'il ne trouve pas le fichier :ange:  et pour cause

Voici le rapport Clean

Citation :
02/06/2007 a 15:23:35,12

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\satmat.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\System32\msdn_lib.dll FOUND
C:\WINDOWS\764.exe FOUND
C:\WINDOWS\System32\wml.exe FOUND
C:\WINDOWS\System32\vxddsk.exe FOUND
C:\WINDOWS\System32\WER8274.DLL FOUND
C:\WINDOWS\System32\MSIXU.DLL FOUND
C:\WINDOWS\System32\msdn_lib.dll FOUND
C:\WINDOWS\System32\fuamfu32.ini FOUND
C:\WINDOWS\stcloader.exe FOUND
C:\WINDOWS\pbar.dll FOUND
C:\WINDOWS\flt.dll FOUND
C:\WINDOWS\7search.dll FOUND
C:\WINDOWS\bokja.exe FOUND
C:\WINDOWS\system32\SBFC.dat FOUND
C:\WINDOWS\system32\SBRC.dat FOUND
C:\WINDOWS\System32\stfv.bin FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !


Merci encore pour tes reponses.
2 Juin 2007 15:34:34

Re,
Ouvre la page html et fais-en moi un screenshot stp.
2 Juin 2007 17:44:20

Comment inserer une image à partir du disque ?
2 Juin 2007 21:12:24

Super, merci
Alors voici les 2 images




Cet écran s'affiche automatiquement et sans arret

Si on clique sur le warning on obtient la page suivante



Qui est en réalité le fichier
C:\windows\system32\drivers\detect.htm
2 Juin 2007 21:30:09

Re,
On commence d'abord par ça:
- Télécharge et installe AVG Anti-Spyware - Tutorial : http://www.malekal.com/tutorial_AVG_AntiSpyware.html
- Mets le à jour à partir du menu Mise à jour en haut
- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Double-clic sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
Double-clic sur clean. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 2 en appuyant sur la touche 2 de ton clavier.
Clean va travailler.
Un rapport Va etre généré, colle le contenu entier ici.

- Ouvre AVG Anti-Spyware et clic sur l'onglet Analyse, puis le sous-onglet Paramètres
- Sélectionne dans Comment Réagir ? Quarantine. (voir l'aide l'aide AVG Anti-Spyware)
- Reviens au sous-onglet Analyser puis clique sur Analyse complète du système.
---> Le scan démarre.

A la fin clique sur Appliquer toutes les actions, les éléments doivent alors être déplacés en quarantaine.
Puis clique sur Enregistrer le rapport d'analyse et enregistre le rapport sur le Bureau.

Aide : N'hésite pas à consulter l'Aide AVG Anti-Spyware pour tout problème.

-- Redémarre en mode normal

Copier/coller le rapport AVG Anti-Spyware
7 Juin 2007 21:32:41

Re,
Je pense que c'est pas la même faille ?
Fais le reste de la procédure.
8 Juin 2007 11:09:19

GRAND MERCI à toi et au forum cracker :bounce: 
Ta methode a marché ;) 


Moi par contre j'ai merdé :whistle: 
J'ai fait "Effacer" au lieux de "Quarantaine" et resultat des course je n'ai pas eu le rapport de AVG

Celui de Clean je l'ai et je le mets au cas ou ça pourrait servir à quelque chose
Mais pour ce qui me regarde le probléme est disparu MERCI encore


Rapport CLEAN

Citation :
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 08/06/2007 a 8:54:23,58

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\satmat.exe

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\System32\msdn_lib.dll
tentative de suppression de C:\WINDOWS\764.exe
tentative de suppression de C:\WINDOWS\System32\wml.exe
tentative de suppression de C:\WINDOWS\System32\vxddsk.exe
tentative de suppression de C:\WINDOWS\System32\WER8274.DLL
tentative de suppression de C:\WINDOWS\System32\MSIXU.DLL
tentative de suppression de C:\WINDOWS\System32\fuamfu32.ini
tentative de suppression de C:\WINDOWS\stcloader.exe
tentative de suppression de C:\WINDOWS\pbar.dll
tentative de suppression de C:\WINDOWS\flt.dll
tentative de suppression de C:\WINDOWS\7search.dll
tentative de suppression de C:\WINDOWS\bokja.exe
tentative de suppression de C:\WINDOWS\system32\SBFC.dat
tentative de suppression de C:\WINDOWS\system32\SBRC.dat
tentative de suppression de C:\WINDOWS\System32\stfv.bin

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


8 Juin 2007 19:06:16

Re,
C'est bon ;) 
Pour AVG Antispyware, c'est pas grave si tu mets pas Quarantaine, par contre le rapport de s'afficher quand même.
Pas grave, bon surf
:hello: 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS