[I.E] LANCEMENT FENETRE ILLICITE AVEC I.E

Stéphane -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonsoir à tous,

J'ai besoin d'un petit coup de main.......

J'ai un petit problème depuis peu...
Quand je me connecte à internet (ADSL 512) dès que j'ouvre ma première page (en l'occurance ma page d'acceuil cegetel) : j'ai une fenetre illicite qui s'ouvre (page internet sur le sexe...).
J'ai scanné avec un antivirus, un spyware, utilisé hijackthis, ccleaner... je ne trouve rien. De plus une fois la fenetre intempestive fermé, j'en ai des autres qui s'ouvrent de temps à autres, toujours en rapport avec la première... c'est très génant, j'ai peur que cela ne soit un virus ou autre et qu'on pirate mes données...
Voici mon log hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 00:54:51, on 08/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Brée Stéphane\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{105F64FF-64F9-44DE-AABF-C5C657F82844}: NameServer = 217.19.192.132 217.19.192.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{105F64FF-64F9-44DE-AABF-C5C657F82844}: NameServer = 217.19.192.132 217.19.192.131
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

J'attends avec impatience vos réponses et surtout votre aide.
Meilleurs voeux à tous.

Stéph

14 réponses

  1. stéphane
     
    une petite précision :
    la fenetre s'appelle : " filost " et balance sur le site " adultfriend finder " tout comme le problème de " Pierre14 " du " 2006-01-06 10:13:46 " nommé " Problème de fenêtre filost intempestive ".
    Mais je n'ai pas les même choses dans mon log hijack mais exactement els même fenetres qui s'ouvrent...

    Que faire ? y'a t'il un rique ?

    Merci énormément d'avance.
    0
  2. jmp59 Messages postés 29286 Date d'inscription   Statut Contributeur Dernière intervention   6 349
     
    Bonjour,

    Tu n'as pas de pare-feu (= firewall) ?
    Dépêches-toi d'en installer un.

    Bye.
    0
  3. stéphane
     
    si j'ai seulement le pare feu de windows xp...
    il faut en installer un autre ?
    qui a un pare feu gratuit et parfait ?
    ensuite je fais quoi ?
    0
  4. stéphane
     
    je suis entrain de télécharger le firewall...
    pour mon spyware j'ai Ad-aware SE et mis à jour... mais il me permet pas de régler mon problème.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. stéphane
     
    bonjour !!

    non aucun résultat mais spybot et a².
    par contre a² a détecté un malware, je crois que c'était NDNuninstall6_38.exe, un truc comme ça, il l'a supprimé mais ça na rien changé...

    Des autres suggestions pour m'aider ?
    Merci d'avance !

    stéphane
    0
  7. bernie61
     
    bonsoir

    fais Démarrer/exécuter et là tappes SERVICES.MSC pour arrêter les services suivants :
    (double cliq sur le service incriminé puis cliq ARRETER et DESACTIVER à type de démarrage)
    SSODL: SystemCheck2 <<< celui là

    relance hijack

    coche cette ligne
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll > trojan

    effaces ce fichier
    C:\WINDOWS\system32\vbsys2.dll

    a+
    0
  8. stéphane
     
    merci pour l'aide !!!!

    Je ne trouve pas de fichier SSODL: SystemCheck2 dans SERVICES.MSC. Il porte un autre nom ?

    Sinon il se trouve bien dans
    C:\WINDOWS\system32\vbsys2.dll

    Je fais quoi ? passe directement avec hijack, je fix la ligne et je supprime le fichier ? ou il faut quand même utiliser SERVICES.MSC pour arrêter le fichier ?
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    dans la fenetre de services c est celui la que tu recherche et que tu desactive et tu arrete
    SystemCheck2
    0
  10. stéphane
     
    je sais bien mais même SYSTEMCHEK2 n'apparait pas du tout dans SERVICES.MSC

    J'ai :

    ...
    ...
    ...
    SYMANTEC NETWORK DRIVERS SERVICE
    Symantec WMI Service
    Système d'événements de COM+
    Téléphonie
    ...
    ...
    ...

    Pas de SYSTEMCHEK32 :-(
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol desoler j ai pas fait attention j ais suivit se que bernie te demandait
    ce n est pas un services tu ne peut pas le trouver normal
    ou en sont tes soucis et refait un nouvel hijack
    0
  12. stéphane
     
    J'ai fixer la ligne : O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\system32\vbsys2.dll comme me l'avait demander bernie mais je ne peux pas du tout supprimer le fichier C:\WINDOWS\system32\vbsys2.dll car il est refusé et surement en cours d'utilisation...
    qua puise faire pour ça ?
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    essai en mode sans echec et si tu y arrive pas on utiliseras la killbox
    0
  14. stéphane
     
    je me prosterne devant vous...

    j'ai pu enlever le fichier en mode sans echec... et là plus de fenetre qui s'ouvre !!!!
    je touche du bois comme on dit mais pour l'instant ça marche à 100% d'habitude rien qu'en ouvrant ma première page ça lancait automatiquement la fenetre.
    En tout cas mille merci à vous tous vous etes des champions.

    Je ne connaissais pas ce forum avant mon probleme et bien j'ai étais supris par la sympathie des gens et de leur aide ! je vais continuer à venir ici même sans problème, histoire de se documenter sur les differentes erreurs qu'on puisse rencontrer et qui sait donner mon aide.

    Aller bonne nuit les amis et encore merci !
    0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    content pour toi et bonne nuit
    0