Bonsoir,
J'ai besoin de vos lumières.
Je reçois des fenêtres intempestives du Web depuis que je suis allé sur un site pour trouver ######## supprimé : contraire à la charte du forum (JPL, modérateur)
J'ai tout essayé: ad-ware, spybot, ccleaner, un scanning complet par Norton.
Rien n'y fait.
De quel type d'infection s'agit-il?
PS: les fenêtres n'apparaissent que auand je suis connecté (cable)
Dernière modification par JPL ; 11/09/2006 à 13h43.
Bonsoir Nono,
Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.
Bonne soirée
Cyrrus
Je serais cynique, je dirais, c'est bien fait pour toi vu le type de site dont tu parles. En tout cas ce n'est pas une surprise.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Je ne recommencerai plus; j'ai bien retenu la leçon.Envoyé par JPL
Merci pour ton aide; à charge de revanche dans mon domaine.
Voici come demandé mon log:
ewido anti-spyware - Scan Report
---------------------------------------------------------
+ Created at: 20:15:26 11/09/2006
+ Scan result:
C:\Program Files\TBONBin -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\TBONUnst.htm -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\TBONWnd.EXE -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\Uninstall.exe -> Adware.BetterInternet : Cleaned with backup (quarantined).
C:\Program Files\TBONBin\tboninst.cfg -> Adware.BetterInternet : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0\Level_ 0\Seqn_1068 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_0\Level_ 0\Seqn_1074 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0\Seqn_4492 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0\Seqn_4496 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_1\Level_ 0\Seqn_4543 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2\Level_ 0\Seqn_1068 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_2\Level_ 0\Seqn_1074 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3\Level_ 0\Seqn_1068 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_3\Level_ 0\Seqn_1074 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1116 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1524 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1553 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Loct_4\Level_ 0\Seqn_1641 -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Services -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Services\Queu e -> Adware.Cydoor : Cleaned with backup (quarantined).
HKU\S-1-5-21-36137144-3119842890-3768582150-1006\Software\Kazaa\Promotions \Cydoor\Adwr_329\Services\Stat us -> Adware.Cydoor : Cleaned with backup (quarantined).
C:\WINDOWS\system32\lvro0993e. dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\ubrvpa.dll -> Adware.Look2Me : Cleaned with backup (quarantined).
C:\WINDOWS\system32\vqrifier.d ll -> Adware.Look2Me : Cleaned with backup (quarantined).
[1016] C:\WINDOWS\system32\nirses.dll -> Adware.Look2Me : Error during cleaning.
[940] C:\WINDOWS\system32\nirses.dll -> Adware.Look2Me : Error during cleaning.
C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBu gTransporter.dll -> Adware.Minibug : Cleaned with backup (quarantined).
C:\Program Files\Deskbar\deskbar.dll -> Adware.Softomate : Cleaned with backup (quarantined).
C:\nwnmff_17.exe_tobedeleted -> Downloader.Adload.fg : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@c lickbank[1].txt -> TrackingCookie.Clickbank : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@c pvfeed[2].txt -> TrackingCookie.Cpvfeed : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@s tats1.reliablestats[2].txt -> TrackingCookie.Reliablestats : Cleaned with backup (quarantined).
C:\Documents and Settings\ARNAUD\Local Settings\Temp\Cookies\arnaud@t ribalfusion[1].txt -> TrackingCookie.Tribalfusion : Cleaned with backup (quarantined).
::Report end
Bonsoir Nono,
Merci pour le rapport, mais il en manque un, et les rapports doivent être mis en pièces jointes.
Bonne soirée
Cyrrus
PS : J'analyserai tout çà demain
Désolé, j'avais pas lu jusqu'au bout.
J'ai un blem avec les pièces jointes: impossible de passer en .txt.
Re,
Pour le fichier hijackthis.log, ne t'en occupe pas, le forum accepte maintenant cette extension (merci Yoyo). Normalement donc pas besoin de renommer.
Pourtant, c'est refusé: taille insuffisante.
Exeptionnellement et pour la dernière fois, je te le met en copier-coller.
Encore mille excuses.
Log supprimé.
yoda1234.
Dernière modification par yoda1234 ; 12/09/2006 à 15h36.
Bonjour Nono,
J'avoue que je ne comprend pas trop l'erreur que t'a renvoyé le forum....sans doute les modérateurs nous en diront plus...
J'analyse tout ça et je reviens pour te donner la marche à suivre...
Bonne journée
Cyrrus
Bonjour
non, cela fonctionne...
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Re,
Bon, bonne infection, mais rien d'irréparable à première vue. On va s'en occuper. Si tu as des questions, n'hésite pas, la procédure est longue, due au fait que tout y est expliqué.
Sauvegarde cette procédure dans un fichier texte ou imprime là, car à partir de l'étape 3 tu n'auras plus accès à Internet1/
2/Télécharge Look2Me-Destroyer.exe de Atribune sur ton Bureau.
---> Télécharger Look2Me-Destroyer.exe
- Ferme toutes les fenêtres et programmes actifs avant de passer à l'étape suivante.
- Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
- Coche Run this program as a task
- Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Clique OK
- Il se relancera après les 10 secondes, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
- Lorsque le scan termine, clique sur le bouton Remove L2M
- Un message Done Scanning apparaîtra, clique OK.
- Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
- Ton PC va maintenant s'éteindre.
- Démarre ton PC normalement.
- Colle le rapport généré, situé ici : C:\Look2Me-Destroyer.txt , ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
** Si Look2Me-Destroyer ne se relance pas automatiquement après les 10 secondes, redémarre et essaie à nouveau.
** Si tu reçois un message de ton parefeu que l'outil tente d'accéder à l'internet : Accepte.
** Si un message runtime error '339' s'affiche : télécharge MSWINSCK.OCX, et place-le dans le dossier C:\Windows\System32.Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
--> Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix. Ne t'en sers pas tout de suite on le fera plus tard...
3/ Redemarre en mode sans échec (tuto => ici)
4/
5/ Toujours en mode sans échec, lance Hijackthis, clique sur Do a system scan only et coche les lignes suivantes (certaines peuvent avoir disparus due aux manips dejà effectuées) :-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne
clique sur aucun autre fichier!!!)
-- Choisis l'option 2 et appuie sur Entrée
-- Réponds o (Oui) aux deux questions suivantes si elles sont posées
-- Un rapport sera généré sauvegarde le dans un dossier.
-- Le passage du fix enleve ton fond d'écran, c'es normal, il suffit de remettre le tien just après.
Ferme toutes les fenêtres, exceptés hijackthis, et clique sur Fix Checked.R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [WinAntiSpyware 2006 Scanner] C:\Program Files\WinAntiSpyware 2006 Scanner\was6.exe
O4 - HKCU\..\Run: [tbon] C:\Program Files\TBONBin\tbon.exe /r
O8 - Extra context menu item: &Search - http://kt.bar.need2find.com/KT/menusearch.html?p=KT
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {511F9316-771B-4953-A268-1C36DA667FE9} - http://ip.sponsoradulto.com/cab/3/fr...TelecomInt.cab
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: Hints - C:\WINDOWS\system32\nirses.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\f02mlaf11d 2.dll (file missing)
6/ Toujours en mode sans échec (et oui
7/ Supprime les fichiers/dossiers suivants si trouvés (certains seront dejà partis) :-- Ouvre le poste de travail
-- Clic sur le menu outils en haut à droite puis options des dossiers
-- Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut
-- Coche dans la liste "Afficher les fichiers cachés"
-- Décoche "Masquer les fichiers du système"
C:\Program Files\WinAntiSpyware 2006 Scanner<-- le dossier
C:\Program Files\TBONBin<-- le dossier
C:\WINDOWS\system32\nirses.dll
C:\WINDOWS\system32\f02mlaf11d 2.dll
C:\Program Files\Fichiers communs\Real\WeatherBug<-- je te conseille de désinstaller ce programme, qui est un adware. Tu peux le remplacer par WeatherPulse, une alternative non vérolé.
C:\Program Files\Deskbar<-- le dossier
8/ Redemarre en mode normal (et oui enfin)
9/ Poste moi le rapport de Looktome-Destroyer, celui de SmitfraudFix ainsi qu'un nouveu rapport Hijackthis, le tout en pièces jointes.
Bonne journée
Cyrrus
edit : Coucou Yoda, et merci pour la mise en pièces jointes
Salut Cyrrus,
Merci pour ton temps que j'imagine précieux.
Néanmoins, j'ai un problème avec la 4ème étape de tes instuctions: pas de ss-dossier intitulé "Smitfraudfix.cmd".
Comme tu as insisté pour ne pas ouvrir les autres, j'attend tes instuctions.
Bonjour Nono,
Une fois l'archive smitfraudfix.zip téléchargé et dézippé, tu as normalement un fichier smitfraud.cmd. C'est celui ci que tu dois lancer.
Si tu n'arrives pas à dézipper, double clique sur smitfraudfix.zip, puis fais un glisser-dposer de ce qui se trouve dans l'archive.
Bonne soirée
Cyrrus
Désolé, après dézippage , je n'ai que 9 dossiers, aucun ne correspondant à celui dont tu parles?!
Bonsoir Nono,
Ce ne sont pas 9 dossiers mais 9 executables. Si tu doubles clique sur smitfraudfix.zip, tu arrive à un dossier smitfraudfix, et c'est ce dossier que tu dois extraire (par glisser déposer par exemple sur ton bureau).
Une fois le dossier smitfraudfix ouvert, tu as 9 fichiers, dont un nommé smitfraudfix.cmd :
Bonne soirée
Cyrrus
Merci Cyrrus.J'ai trouvé le fichier mais il n'était pas étiqueté de ".cmd".
Je l'ai reconnu grâce à la conotation "scripte de commande"
Voilà Cyrrus,je t'envoi les 3 rapports.
Encore merci pour ton aide.
Cà a l'air d'avoir marché.
T'es vraiment un chef
Bonsoir Nono,
Les 3 logs sont propres. Beau boulot
On va vérifier une dernière chose, et ensuite on passera à la prévention si tout est ok.
Bonne soirée- Télécharge Rootkit revealer :
http://www.sysinternals.com/Files/RootkitRevealer.zip
- Lance le et clique sur Scan
- A la fin du scan clique sur File>Save et choisis un endroit ou l'enregistrer.
- Poste le fichier dans ton prochain message en pièces jointes
Cyrrus
Bonjour Cyrrus,
Je t'envoie le log que tu m'as demandé.
A+ et encore merci .
PS: pourquoi les antispy classiques (spybot, ad-w) n'ont-ils pas fonctionnés?
Bonjour Nono,
On va nettoyer les fichiers temporaires une dernière fois et basta.
Si tu as toujours CCleaner, passe le un coup. Sinon, utilises ATF Cleaner :
Si tu n'as plus de dysfonctionnements, je te conseille de lire le dossier de prevention de Futura Sciences => iciTélécharge ATF Cleaner par Atribune.Si tu utilises le navigateur Firefox :
- Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty SelectedSi tu utilises le navigateur Opera :
- Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.Clique Exit, du menu prinicipal, afin de fermer le programme.
- Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
Bonne soirée
Cyrrus
Edit : J'oubliais, désactive/réactive ta restauration système => tuto
