fenêtres intempestives du Web

[Dr Nono]

Bonsoir,
J'ai besoin de vos lumières.
Je reçois des fenêtres intempestives du Web depuis que je suis allé sur un site pour trouver ######## supprimé : contraire à la charte du forum (JPL, modérateur)
J'ai tout essayé: ad-ware, spybot, ccleaner, un scanning complet par Norton.
Rien n'y fait.
De quel type d'infection s'agit-il?

PS: les fenêtres n'apparaissent que auand je suis connecté (cable)
-----

[Cyrrus]

Bonsoir Nono,

Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

Bonne soirée
Cyrrus

[JPL]

Je serais cynique, je dirais, c'est bien fait pour toi vu le type de site dont tu parles. En tout cas ce n'est pas une surprise.

[Dr Nono]

Je serais cynique, je dirais, c'est bien fait pour toi vu le type de site dont tu parles. En tout cas ce n'est pas une surprise.

Je ne recommencerai plus; j'ai bien retenu la leçon.

[A voir en vidéo sur Futura]

[Dr Nono]

Merci pour ton aide; à charge de revanche dans mon domaine.
Voici come demandé mon log:
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 20:15:26 11/09/2006

+ Scan result:



C:\Program Files\TBONBin -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\TBONUnst.htm -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\TBONWnd.EXE -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\Uninstall.exe -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\tboninst.cfg -> Adware.BetterInternet : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0\Level_ 0\Seqn_1068 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0\Level_ 0\Seqn_1074 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0\Seqn_4492 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0\Seqn_4496 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0\Seqn_4543 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2\Level_ 0\Seqn_1068 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2\Level_ 0\Seqn_1074 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3\Level_ 0\Seqn_1068 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3\Level_ 0\Seqn_1074 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1116 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1524 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1553 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1641 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Services -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Services\Queu e -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Services\Stat us -> Adware.Cydoor : Cleaned with backup (quarantined).
C:\WINDOWS\system32\lvro0993e. dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\ubrvpa.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\vqrifier.d ll -> Adware.Look2Me : Cleaned with backup (quarantined).
[1016] C:\WINDOWS\system32\nirses.dll -> Adware.Look2Me : Error during cleaning.
[940] C:\WINDOWS\system32\nirses.dll -> Adware.Look2Me : Error during cleaning.
C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBu gTransporter.dll -> Adware.Minibug : Cleaned with backup (quarantined).
C:\Program Files\Deskbar\deskbar.dll -> Adware.Softomate : Cleaned with backup (quarantined).
C:\nwnmff_17.exe_tobedeleted -> Downloader.Adload.fg : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@c lickbank[1].txt -> TrackingCookie.Clickbank : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@c pvfeed[2].txt -> TrackingCookie.Cpvfeed : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@s tats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@t ribalfusion[1].txt -> TrackingCookie.Tribalfusion : Cleaned with backup (quarantined).


::Report end

[Cyrrus]

Bonsoir Nono,

Merci pour le rapport, mais il en manque un, et les rapports doivent être mis en pièces jointes.

Bonne soirée
Cyrrus
PS : J'analyserai tout çà demain

[Dr Nono]

Désolé, j'avais pas lu jusqu'au bout.
J'ai un blem avec les pièces jointes: impossible de passer en .txt.

[Cyrrus]

Re,

Pour le fichier hijackthis.log, ne t'en occupe pas, le forum accepte maintenant cette extension (merci Yoyo ). Normalement donc pas besoin de renommer.

[Dr Nono]

Pourtant, c'est refusé: taille insuffisante.

[Dr Nono]

Exeptionnellement et pour la dernière fois, je te le met en copier-coller.
Encore mille excuses.
Log supprimé.
yoda1234.

[Cyrrus]

Bonjour Nono,

J'avoue que je ne comprend pas trop l'erreur que t'a renvoyé le forum....sans doute les modérateurs nous en diront plus...

J'analyse tout ça et je reviens pour te donner la marche à suivre...

Bonne journée
Cyrrus

[yoda1234]

Bonjour Nono,

J'avoue que je ne comprend pas trop l'erreur que t'a renvoyé le forum....sans doute les modérateurs nous en diront plus...

Bonjour

non, cela fonctionne...

[Cyrrus]

Re,


Bon, bonne infection, mais rien d'irréparable à première vue. On va s'en occuper. Si tu as des questions, n'hésite pas, la procédure est longue, due au fait que tout y est expliqué.

Sauvegarde cette procédure dans un fichier texte ou imprime là, car à partir de l'étape 3 tu n'auras plus accès à Internet

1/

Télécharge Look2Me-Destroyer.exe de Atribune sur ton Bureau.
---> Télécharger Look2Me-Destroyer.exe

- Ferme toutes les fenêtres et programmes actifs avant de passer à l'étape suivante.
- Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
- Coche Run this program as a task
- Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
- Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
- Lorsque le scan termine, clique sur le bouton Remove L2M
- Un message Done Scanning apparaîtra, clique OK.
- Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
- Ton PC va maintenant s'éteindre.
- Démarre ton PC normalement.
- Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

** Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.

** Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : Accepte.

** Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX, et place-le dans le dossier C:\Windows\System32.

2/

Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
--> Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix. Ne t'en sers pas tout de suite on le fera plus tard...

3/ Redemarre en mode sans échec (tuto => ici)


4/

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne
clique sur aucun autre fichier!!!)
-- Choisis l'option 2 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier.
-- Le passage du fix enleve ton fond d'écran, c'es normal, il suffit de remettre le tien just après.

5/ Toujours en mode sans échec, lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes (certaines peuvent avoir disparus due aux manips dejà effectuées) :

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [WinAntiSpyware 2006 Scanner] C:\Program Files\WinAntiSpyware 2006 Scanner\was6.exe
O4 - HKCU\..\Run: [tbon] C:\Program Files\TBONBin\tbon.exe /r
O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr...TelecomInt.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\nirses.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\f02mlaf11d 2.dll (file missing)

Ferme toutes les fenêtres, exceptés hijackthis, et clique sur Fix Checked.


6/ Toujours en mode sans échec (et oui ), assure toi d'avoir accès à tous les fichiers/dossiers :

-- Ouvre le poste de travail
-- Clic sur le menu outils en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
-- Coche dans la liste "Afficher les fichiers cachés"
-- Décoche "Masquer les fichiers du système"

7/ Supprime les fichiers/dossiers suivants si trouvés (certains seront dejà partis) :

C:\Program Files\WinAntiSpyware 2006 Scanner<-- le dossier
C:\Program Files\TBONBin<-- le dossier
C:\WINDOWS\system32\nirses.dll
C:\WINDOWS\system32\f02mlaf11d 2.dll
C:\Program Files\Fichiers communs\Real\WeatherBug<-- je te conseille de désinstaller ce programme, qui est un adware. Tu peux le remplacer par WeatherPulse, une alternative non vérolé.
C:\Program Files\Deskbar<-- le dossier

8/ Redemarre en mode normal (et oui enfin )

9/ Poste moi le rapport de Looktome-Destroyer, celui de SmitfraudFix ainsi qu'un nouveu rapport Hijackthis, le tout en pièces jointes.

Bonne journée
Cyrrus
edit : Coucou Yoda, et merci pour la mise en pièces jointes

[Dr Nono]

Salut Cyrrus,
Merci pour ton temps que j'imagine précieux.
Néanmoins, j'ai un problème avec la 4ème étape de tes instuctions: pas de ss-dossier intitulé "Smitfraudfix.cmd".
Comme tu as insisté pour ne pas ouvrir les autres, j'attend tes instuctions.

[Cyrrus]

Bonjour Nono,

Une fois l'archive smitfraudfix.zip téléchargé et dézippé, tu as normalement un fichier smitfraud.cmd. C'est celui ci que tu dois lancer.

Si tu n'arrives pas à dézipper, double clique sur smitfraudfix.zip, puis fais un glisser-dposer de ce qui se trouve dans l'archive.

Bonne soirée
Cyrrus

[Dr Nono]

Désolé, après dézippage , je n'ai que 9 dossiers, aucun ne correspondant à celui dont tu parles?!

[Cyrrus]

Bonsoir Nono,

Ce ne sont pas 9 dossiers mais 9 executables. Si tu doubles clique sur smitfraudfix.zip, tu arrive à un dossier smitfraudfix, et c'est ce dossier que tu dois extraire (par glisser déposer par exemple sur ton bureau).

Une fois le dossier smitfraudfix ouvert, tu as 9 fichiers, dont un nommé smitfraudfix.cmd :



Bonne soirée
Cyrrus

[Dr Nono]

Merci Cyrrus.J'ai trouvé le fichier mais il n'était pas étiqueté de ".cmd".
Je l'ai reconnu grâce à la conotation "scripte de commande"

[Dr Nono]

Voilà Cyrrus,je t'envoi les 3 rapports.
Encore merci pour ton aide.

[Dr Nono]

Cà a l'air d'avoir marché.
T'es vraiment un chef

[Cyrrus]

Bonsoir Nono,

Les 3 logs sont propres. Beau boulot

On va vérifier une dernière chose, et ensuite on passera à la prévention si tout est ok.

- Télécharge Rootkit revealer :
http://www.sysinternals.com/Files/RootkitRevealer.zip
- Lance le et clique sur Scan
- A la fin du scan clique sur File>Save et choisis un endroit ou l'enregistrer.
- Poste le fichier dans ton prochain message en pièces jointes

Bonne soirée
Cyrrus

[Dr Nono]

Bonjour Cyrrus,
Je t'envoie le log que tu m'as demandé.
A+ et encore merci .

PS: pourquoi les antispy classiques (spybot, ad-w) n'ont-ils pas fonctionnés?

[Cyrrus]

Bonjour Nono,

On va nettoyer les fichiers temporaires une dernière fois et basta.
Si tu as toujours CCleaner, passe le un coup. Sinon, utilises ATF Cleaner :

Télécharge ATF Cleaner par Atribune.

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

Si tu n'as plus de dysfonctionnements, je te conseille de lire le dossier de prevention de Futura Sciences => ici

Bonne soirée
Cyrrus

[Cyrrus]

Edit : J'oubliais, désactive/réactive ta restauration système => tuto