Pubs qui s'ouvrent toutes seules (Mozilla) Résolu/Fermé

Question

Bonjour,  

depuis quelques temps, des fenêtres de pubs se lancent dans un nouvel onglet sur Mozilla Firefox. Je me demande si ce n'est pas à cause d'un virus/trojan/vers, mais pourtant, après avoir fait une analyse antivirus (Avira), un scan spybot, et un scan  Malwarebytes Anti Malware, ça n'a rien changé. Je précise aussi que j'ai "immunisé" Mozilla et Internet Explorer avec Spybot. 

J'ai effectué un scan avec HiJackThis. Voilà le résultat: 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 19:18:09, on 04/07/2010 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v8.00 (8.00.6001.18702) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\Program Files\Avira\AntiVir Desktop\sched.exe 
C:\WINDOWS\Explorer.EXE 
C:\Program Files\Common Files\Java\Java Update\jusched.exe 
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe 
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe 
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE 
C:\WINDOWS\system32\CTHELPER.EXE 
C:\WINDOWS\system32\ctfmon.exe 
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe 
C:\Program Files\DAEMON Tools Lite\DTLite.exe 
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe 
C:\Program Files\Java\jre6\bin\jqs.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 
C:\Program Files\Java\jre6\bin\javaw.exe 
C:\Program Files\foobar2000\foobar2000.exe 
C:\Program Files\Mozilla Firefox\firefox.exe 
C:\Documents and Settings
eo\Desktop\HiJackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll 
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE 
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /nosplash 
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup 
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start 
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r 
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r 
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE 
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE 
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL 
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [NuonSoft Wallpaper Cycler] "C:\Program Files\NuonSoft\WallpaperCycler\WallpaperCycler Lite.exe" -cycle_and_exit 
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') 
O4 - HKUS\S-1-5-19\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'LOCAL SERVICE') 
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') 
O4 - HKUS\S-1-5-20\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'NETWORK SERVICE') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\S-1-5-18\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O4 - HKUS\.DEFAULT\..\RunOnce: [SetDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user') 
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe 
O4 - Global Startup: forteManager.lnk = ? 
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present 
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll 
O13 - Gopher Prefix:  
O17 - HKLM\System\CCS\Services\Tcpip\..\{59836C07-B1C4-48D6-9CF0-1F2C0D1D4244}: NameServer = 212.27.53.252,212.27.54.252 
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe 
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe 

-- 
End of file - 6546 bytes


J'espère que vous pourrez m'aider. 


Configuration: Windows XP / Firefox 3.6.6

gen-hackman · Accepted Answer

pour plus de precision :  

ce qu'a trouvé Antivir , est un fichier qui appartient à List_Kill'em et qui est renommé en temps réel pour la suppression de certaines infections qui contrôlent certaines extensions :)  

j'ai été obligé de le cacher sous une extension inoffensive pour qu'il puisse agir sans etre detourné par l'infection et ne puisse etre reconnu non plus

?G3?-?@¢??@?(TM)©®?

Utilisateur anonyme · Answer

Salut

Pfff!!! l 'eternel probléme des >> Windows non activés\Crackés\Modifiés ?

jacques.gache · Answer

bonjour, tu disais Je précise aussi que j'ai "immunisé" Mozilla et Internet Explorer avec Spybot. 

il semble que cela soit pas bon car tu as un problème , perso je virerais spybot qui est lourd et peut efficasse depuis pas mal de temps !!!

sur le hijackthis perso j'y vois pas grand chose , mais cela [_nltide_3]  semble être la signature d'un windows pas tout à fait légal tu peux me dire si cela te parle ???

Poutinounou · Answer

C'est un windows légal, mais le cd a été refait histoire de pas installer les jeux et autres logiciels inutiles et d'avoir à la base des logiciels comme C.C.Cleaner, Spybot, Foobar...

Je précise que je l'utilise depuis plus d'un an sans problème donc ça ne vient pas de cela. Par ailleurs, je n'ai pas installé de nouveaux logiciels peu avant d'avoir des problèmes, ni d'addons nouveaux... sur Mozilla.

Voilà =).

Poutinounou · Answer

Voilà pour log.txt:  

http://www.cijoint.fr/cjlink.php?file=cj201007/cijbTzhEfa.txt 

Pour ce qui est de info.txt, impossible de l'uploader sur cijoint.fr (erreur à chaque fois !), donc j'ai trouvé un autre hébergeur:  

https://www.petit-fichier.fr/2010/07/05/hvk00yq/

Voilà.

Poutinounou · Answer

Mon firewall est celui du routeur que j'utilise, donc pour le désactiver, je devrais me déconnecter d'internet. Cela posera un problème pour le test ?

Poutinounou · Answer

J'ai eu un fichier More.txt qui ne s'est pas supprimé à la fin du scan donc je le poste quand même: http://www.cijoint.fr/cjlink.php?file=cj201007/cijFvdmKrP.txt

Puis le fichier List'em.txt qui est apparu à l'écran "completed": http://www.cijoint.fr/cjlink.php?file=cj201007/cijTZMFtFg.txt

Est-ce bon pour passer au 2) ?

Poutinounou · Answer

Non, je voulais savoir si les rapports relevaient déjà quelque chose d'anormal.

Voilà le fichier Kill'em.txt: http://www.cijoint.fr/cjlink.php?file=cj201007/cij7jV7ZVc.txt

gen-hackman · Answer

salut jaques. apparement , L_K a du mal à restaurer le MBR........

Poutinounou · Answer

Désolé pour le retard de la réponse. 

voilà le rapport de la restauration du MBR. Ca n'a duré que quelques secondes, je troue ça bizarre: http://www.cijoint.fr/cjlink.php?file=cj201007/cijngF1kWK.txt (j'ai changé l'extension en .txt pour l'héberger). 

Enfin, j'avais déjà Malwarebytes' Anti-Malware, avec lequel je fais de temps un temps un scan complet. Voici le résultat de celui de cet après-midi: http://www.cijoint.fr/cjlink.php?file=cj201007/cijY2zuLHs.txt 

Pour finir, quand Malwarebytes' Anti-Malware scannait le dossier de Kill'em, voilà ce qu'Antivir m'a détecté: http://pics.imagup.com/ano1/1279104475.jpg !

Poutinounou · Answer

Ok, pas de soucis alors !

Voici le scan HiJackThis: http://www.cijoint.fr/cjlink.php?file=cj201007/cijfht3alW.txt

Poutinounou · Answer

Si je clique sur "avancé", mon menu démarré sera remit à 0, et si je coche les 3 dernières cases du menu "windows" ("system" chez moi) , j'ai l'impression que les raccourci du bureau et de la barre de lancement rapide le seront aussi :s. C'est assez embêtant.

J'ai par ailleurs remarqué que mon problème n'était pas unique à Mozilla vu que j'ai eu le tour sur IE aussi.

Poutinounou · Answer

D'accord, je n'avais pas compris à quoi tu faisais référence, ma version étant en anglais.

J'ai fait les deux opérations. Une extension ne veut pas être supprimée. Malgré le fait que je corrige l'erreur, elle est à chaque fois de nouveau présente lorsque lors du scan. Voilà le screen: http://pics.imagup.com/ano1/1279364033.jpg

Poutinounou · Answer

C'était déjà installé ;).

Bon, comme les pubs surviennent toujours, j'ai eu l'idée de faire un ComboFix. Voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201007/cijbylW4R9.txt

Apparemment, ça a trouvé pas mal de choses. Par ailleurs, ça a supprimé msconfig, et là je n'ai pas vraiment compris pourquoi :s.

Poutinounou · Answer

Je n'ai plus de problèmes de pubs maintenant.

Comment faire pour remettre msconfig ?

Poutinounou · Answer

Up.

Poutinounou · Answer

Avant oui, mais plus depuis que ComboFix l'a supprimé.

Maintenant si je tape msconfig dans la fenêtre exécuter, j'ai un message m'annonçant que Windows ne l'a pas trouvé.

gen-hackman · Answer

salut je pense que tu peux lui envoyer

Poutinounou · Answer

Lui envoyer quoi ?

Poutinounou · Answer

Je n'ai plus le dossier Qoobox =/.

Poutinounou · Answer

Je ne sais pas comment effectuer une restauration système, je ne crois pas que ça soit inclus dans mon Windows.

J'ai toutefois eu l'idée d'une autre solution: prendre le fichier msconfig.ex_ dans mon CD de Windows et le remettre dans son dossier d'origine (...\PCHEALTH\Binaries). Cela a marché: si je double clique dessus en ayant changé l'extension .ex_ par .exe, pas de soucis, mais si je veux y accéder par la fonction "exécuter" du menu démarrer, Windows ne le trouve pas.

Poutinounou · Answer

C'est bien ce qu'il me semblais, je n'ai pas ça dans les outils système.

J'ai IE, Tâches planifiées, Table des caractères.

Poutinounou · Answer

J'ai bien le dossier ...\restore sur mon ordinateur mais celui-ci ne contient aucun fichier. J'ai activé l'option pour voir les fichiers cachés mais cela n'a rien changé :s.

Poutinounou · Answer

Merci quand même pour toute votre aide.

Pubs qui s'ouvrent toutes seules (Mozilla)

24 réponses

Discussions similaires