Problème de Spyware/Malware

Résolu
pichouboy Messages postés 13 Statut Membre -  
 LilG -
Bonjour,

Comme bcp de monde, j'ai un pb de pubs intempestives, aussi bien sous Firefox 2 que sous IE 7.

Voici ma log hijackThis (merci d'avance pour votre aide) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:30, on 26/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Criston Precision\Client\bin\MtxAgent.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Vision64\client\bin\v64wwtch.exe
C:\Vision64\client\bin\v64wamag.exe
C:\Vision64\client\bin\v64wrcsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis\Scan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HTTP://intranet/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = HTTP://intranet/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HTTP://intranet/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranet/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet

Explorer provided by Eurosport
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program

Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common

Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE"

/STANDALONE
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common

Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"

-osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\COMPAQ\SetRefresh\\SetRefresh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL

SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK

SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat

7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=HTTP://intranet/
O15 - Trusted Zone: https://cyberdocs.eurosport-tv.com/
O15 - Trusted Zone: *.eurosport-tv.com
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) -

http://p3p.sogou.com/MMCShell.cab
O16 - DPF: {0EED7206-1661-11D7-84A3-00606744831D} (XStandard) -

http://madcow.sti.eurosport.tv/3rd/xstandard/XStandard.cab
O16 - DPF: {44C7F862-906C-11D3-A8ED-0008C75B3588} (IEPAPI Class) -

http://193.109.87.130/cyberdocs/DMExtensions/papibrdg.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/default.aspx

950515
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) -

http://193.109.87.130/cyberdocs/DMExtensions/deployment/is/setup.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = headoffice.eurosport.tv
O17 - HKLM\Software\..\Telephony: DomainName = headoffice.eurosport.tv
O17 - HKLM\System\CCS\Services\Tcpip\..\{B658048A-F45C-4E64-8355-1C0B8C4EC016}: NameServer =

10.196.144.1,10.196.144.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = headoffice.eurosport.tv
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList =

headoffice.eurosport.tv,agencies.eurosport.tv,eurosport.tv,tf1.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = headoffice.eurosport.tv
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList =

headoffice.eurosport.tv,agencies.eurosport.tv,eurosport.tv,tf1.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList =

headoffice.eurosport.tv,agencies.eurosport.tv,eurosport.tv,tf1.fr
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program

Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Criston Precision Agent - Criston Software S.A. - C:/Program Files/Criston

Precision/Client\bin\MtxAgent.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program

Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. -

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. -

C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. -

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou

PXP\p2psvr.exe
O23 - Service: Intranet Server Client (SicltNT) - Apsynet - C:\WINDOWS\SYSTEM32\SICLT32.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices,

Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: V64 active management agent - Metrix Systems S.A. -

C:/Vision64/client/bin/v64wwtch.exe
O23 - Service: Vision64 Web Remote Control - Metrix Systems S.A. -

C:\Vision64\client\bin\v64wrcsv.exe
Configuration: Windows XP
Firefox 2.0.0.5
IE 7

9 réponses

  1. LilG
     
    Bonjour alors

    Télécharge clean==>
    http://www.malekal.com/download/clean.zip

    = Clic droit sur Clean.zip et Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    =double-clic Dossier Clean
    = double-clic Clean. ( avec comme symbole une roue dentée)
    = Option 1 = taper 1
    = copier/coller le rapport dans la réponse

    Télécharge Navilog1==>http://perso.orange.fr/il.mafioso/Navifix/Présentation navilog1.html

    = double-clic dessus pour l'installer et le lancer
    Quand installé
    = taper F
    = Appuyer sur une touche jusqu' arriver aux options
    = Choisir option 1 ( = taper 1 )
    ne pas utiliser les autres sans avis , il peut y avoir des processus légitimes

    un rapport : fixnavi.txt
    dans ==> C :
    le copier/coller dans la réponse
    0
  2. LilG
     
    Téléchargé F-secure==>https://www.luanagames.com/index.fr.html

    Lance-le en double-cliquant sur le fichier blbeta.exe
    Accepte la licence, et clique enfin sur "Scan"
    Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe
    copie/colle le
    0
  3. pichouboy Messages postés 13 Statut Membre
     
    Merci beaucoup pour ta réactivité.

    A/ Voici la log Clean :

    30/07/2007 a 10:57:09,86

    *** Recherche C:

    *** Recherche C:\WINDOWS\

    *** Recherche C:\WINDOWS\system32

    *** Recherche C:\Program Files
    *** End of the report !

    B/ Voici la log Navilog :

    Search Navipromo version 2.0.5 commencé le 30/07/2007 à 11:02:00,78

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans C:\Documents and Settings\jlagier\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    Fichier(s) caché(s) dans C:\WINDOWS\system32 :

    c:\WINDOWS\system32\imhkgjeidg.dat
    C:\windows\system32\imhkgjeidg.exe
    c:\WINDOWS\system32\imhkgjeidg_nav.dat
    c:\WINDOWS\system32\imhkgjeidg_navps.dat

    Processus caché(s) dans C:\WINDOWS\system32 :

    C:\windows\system32\imhkgjeidg.exe

    *** Recherche fichiers ***

    C:\WINDOWS\pack.epk trouvé !
    C:\WINDOWS\system32\nvs2.inf trouvé !

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    HKEY_CURRENT_USER\Software\Lanconfig trouvé !

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    C:\WINDOWS\system32\imhkgjeidg.dat trouvé !
    **
    C:\WINDOWS\system32\imhkgjeidg.dat trouvé !
    ***
    ****
    C:\WINDOWS\system32\imhkgjeidg_navps.dat trouvé !
    *****
    ******
    *******
    ********

    3)Recherche Certificats :

    Certificat Egroup trouvé !

    *** Analyse Terminé le 30/07/2007 à 11:10:44,44 ***

    C/ Voici la log F-Secure :

    07/30/07 11:12:23 [Info]: BlackLight Engine 1.0.64 initialized
    07/30/07 11:12:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    07/30/07 11:12:23 [Note]: 7019 4
    07/30/07 11:12:23 [Note]: 7005 0
    07/30/07 11:12:23 [Error]: 6027 1072
    07/30/07 11:12:23 [Error]: 6002 0
    07/30/07 11:12:40 [Note]: 7006 0
    07/30/07 11:12:40 [Note]: 7011 2916
    07/30/07 11:12:40 [Note]: 8001 2
    07/30/07 11:12:40 [Note]: 7024 3
    07/30/07 11:12:40 [Info]: Hidden process: C:\windows\system32\imhkgjeidg.exe
    07/30/07 11:12:43 [Note]: FSRAW library version 1.7.1022
    07/30/07 11:19:31 [Info]: Hidden file: c:\WINDOWS\system32\imhkgjeidg.dat
    07/30/07 11:19:31 [Note]: 10002 1
    07/30/07 11:19:31 [Info]: Hidden file: C:\windows\system32\imhkgjeidg.exe
    07/30/07 11:19:31 [Note]: 10002 1
    07/30/07 11:19:31 [Info]: Hidden file: c:\WINDOWS\system32\imhkgjeidg_nav.dat
    07/30/07 11:19:31 [Note]: 10002 1
    07/30/07 11:19:32 [Info]: Hidden file: c:\WINDOWS\system32\imhkgjeidg_navps.dat
    07/30/07 11:19:32 [Note]: 10002 1
    07/30/07 11:22:06 [Note]: 7007 0

    Merci encore pour ton aide.
    0
  4. LilG
     
    Re

    Télécharge OTmoveIt==>https://www.luanagames.com/index.fr.html

    = Copier ce texte:

    C:\windows\system32\imhkgjeidg.exe
    c:\WINDOWS\system32\imhkgjeidg.dat
    C:\windows\system32\imhkgjeidg.exe
    c:\WINDOWS\system32\imhkgjeidg_nav.dat
    c:\WINDOWS\system32\imhkgjeidg_navps.dat

    = Double-clic sur OTMoveIt.exe
    = Dans le cadre de Gauche ==> clic-droit ==> coller
    = Clic MoveIt!
    = si redémarrage demandé==> Clic : YES
    = Un rapport dans ==> C:_OTMoveItMovedFilesdate du jour à copier/coller dans la réponse
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. LilG
     
    Une fois ceci achevé

    ==>Redémarré une analyse F-secure et posté le rapport merci!
    0
  7. pichouboy Messages postés 13 Statut Membre
     
    Fichiers supprimés avec OTMoveIt --> OK. (mais le logiciel m'a spécifié qu'il ne pouvait pas créer le rapport, qu'il voulait créer sur D:/...)

    Voici enfin la nouvelle log F-Secure :

    07/30/07 13:03:33 [Info]: BlackLight Engine 1.0.64 initialized
    07/30/07 13:03:33 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    07/30/07 13:03:33 [Note]: 7019 4
    07/30/07 13:03:33 [Note]: 7005 0
    07/30/07 13:03:33 [Error]: 6027 1072
    07/30/07 13:03:33 [Error]: 6002 0
    07/30/07 13:03:36 [Note]: 7006 0
    07/30/07 13:03:36 [Note]: 7011 2916
    07/30/07 13:03:36 [Note]: 8001 2
    07/30/07 13:03:36 [Note]: 7024 3
    07/30/07 13:03:36 [Info]: Hidden process: C:\windows\system32\imhkgjeidg.exe
    07/30/07 13:03:48 [Note]: FSRAW library version 1.7.1022
    07/30/07 13:10:54 [Info]: Hidden file: c:\WINDOWS\system32\imhkgjeidg.dat
    07/30/07 13:10:54 [Note]: 10002 1
    07/30/07 13:10:54 [Info]: Hidden file: C:\windows\system32\imhkgjeidg.exe
    07/30/07 13:10:54 [Note]: 10002 1
    07/30/07 13:10:54 [Info]: Hidden file: c:\WINDOWS\system32\imhkgjeidg_nav.dat
    07/30/07 13:10:54 [Note]: 10002 1
    07/30/07 13:10:54 [Info]: Hidden file: c:\WINDOWS\system32\imhkgjeidg_navps.dat
    07/30/07 13:10:54 [Note]: 10002 1
    07/30/07 13:17:37 [Note]: 7007 0

    Merci.
    0
  8. LilG
     
    Ok donc maintenant faire ceci:

    = Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
    Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8, jusqu’à l’apparition des inscriptions avec choix de démarrage
    Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel

    En ayant accés aux fichiers cachés
    Démarrer =>Poste de travail =>Outils =>Options des dossiers =>Affichage
    Cocher = Afficher les fichiers et dossiers cachés
    Plus bas
    Décocher =Masquer les extensions des fichiers dont le type est connu
    Décocher =Masquer les fichiers protégés du système d'exploitation
    Ne pas tenir compte du message qui s’affiche

    supprimer dans

    C:\windows\system32\==>imhkgjeidg.exe<==
    c:\WINDOWS\system32\==>imhkgjeidg.dat <==
    C:\windows\system32\==>imhkgjeidg.exe <==
    c:\WINDOWS\system32\==>imhkgjeidg_nav.dat<==
    c:\WINDOWS\system32\==>imhkgjeidg_navps.dat <==

    Relancé F-secure et posté le rapport!
    0
  9. pichouboy Messages postés 13 Statut Membre
     
    J'ai bien supprimé les fichiers en mode sans échec.
    Ca semble résolu. Merci infiniment et bonne journée.

    Voici la log FSecure :

    07/30/07 16:25:03 [Info]: BlackLight Engine 1.0.64 initialized
    07/30/07 16:25:03 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    07/30/07 16:25:03 [Note]: 7019 4
    07/30/07 16:25:03 [Note]: 7005 0
    07/30/07 16:25:05 [Note]: 7006 0
    07/30/07 16:25:05 [Note]: 7011 2368
    07/30/07 16:25:05 [Note]: 7026 0
    07/30/07 16:25:05 [Note]: 7026 0
    07/30/07 16:25:09 [Note]: FSRAW library version 1.7.1022
    07/30/07 16:35:10 [Note]: 7007 0
    0
  10. LilG
     
    Attend une derniére petite chose par sécurité et tout sera bon

    Télécharge Ccleanner==>https://www.luanagames.com/index.fr.html

    Et fait ceci:

    Installer ==> Sur la page qui offre plusieurs choix , ne laisser cochés que les 2 premiers :
    « ajouter un raccourci sur le bureau » et « ajouter un raccourci dans le menu démarrer »
    quand le programme est installé double clic sur l'icone ccleaner
    lance le nettoyage
    et lance" corriger les erreurs" dans la séction "erreurs"

    Et se sera parfait.
    De rien bonne soiré!
    0