Fermeture IE + redirection vers sites web

Fermé
moshico1 - 27 nov. 2007 à 13:00
 moshico1 - 27 nov. 2007 à 16:34
Bonjour,

J'ai un souci avec IE (par avec firefox) qui se ferme avec un message d'erreur du genre "IE Has encoutered an error and must be closed"
J'ai d'autres symptomes : je suis systematqiuement redirigé ver sd'autres sites web (type ; hoplessromantic) et sur certains sites comme msn ou iti des images sont remplacés par des fenetres windows qui disent "vous etes infectes par un spyware cliquer ici pour un scan gratuit" en anglais.

Pourriez vous m'aider ?

Voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:58:37, on 27/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Program Files\VMware\VMware Converter\vmware-ufad.exe
C:\WINDOWS\TEMP\RA891F.EXE
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmop.exe
C:\Program Files\Common Files\InstallShield\UpdateService\agent.exe
C:\Program Files\VMware\VMware Workstation\vmware.exe
C:\Program Files\VMware\VMware Workstation\bin\vmware-vmx.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\moise.marciano\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [007c8f00] rundll32.exe "C:\WINDOWS\system32\vgmlvpsn.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = emea.frs
O17 - HKLM\Software\..\Telephony: DomainName = emea.frs
O17 - HKLM\System\CCS\Services\Tcpip\..\{27098FEC-3C4A-4E0C-A7E7-B679C311AA42}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = emea.frs
O17 - HKLM\System\CS1\Services\Tcpip\..\{27098FEC-3C4A-4E0C-A7E7-B679C311AA42}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = emea.frs
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VMware Converter Service (ufad-p2v) - VMware, Inc. - C:\Program Files\VMware\VMware Converter\vmware-ufad.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

2 réponses

olivier1989
27 nov. 2007 à 13:10
O17 - HKLM\System\CCS\Services\Tcpip\..\{27098FEC-3C4A-4E0C-A7E7-B679C311AA42}: NameServer = 139.7.30.125 139.7.30.126
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = emea.frs
O17 - HKLM\System\CS1\Services\Tcpip\..\{27098FEC-3C4A-4E0C-A7E7-B679C311AA42}: NameServer = 139.7.30.125 139.7.30.126


=> infecté :)


Télécharge FixWareout sur le bureau :http://downloads.subratam.org/Fixwareout.exe
Lance le fix : clique sur Next, puis Install, assure toi que l’option Run fixit est activée puis clique sur Finish.
Il te sera demandé ensuite de redémarrer l’ordinateur : redémarrer le.
Si le système met un peu plus de temps au démarrage, c'est normal.
Le contenu du rapport qui s'affichera à l'écran sera enregistrai dans un fichier nommé report.txt.
Ensuite : relance HijackThis, les lignes 017 ne devraient à présent plus apparaitre, si ce n'est pas le cas, choisir do a scan only, puis cocher la case devant les lignes ci-dessous et cliquer en bas sur fix checked

Refaire un hijackthis, et assure toi que les lignes 017 pointant vers l'Ukraine ont bien disparues.

tappe dans exécuter: msconfig et vérifie si il n'y a rien de bizarre dans la session de boot, si c'est le cas désactive le et redémmare le pc
0
Aurais une autre idée méthode ?
saurais tu me dire a quoi correspond mon infection ? Virus, ou trojan et surtout le nom ?

Merci.
0
Merci pour l'aide mais j'ai toujours le problème.
j'ai d'abord lance une fois fixewareout puis redemarrage et j'ai remarqué que le souci est toujours la.
ensuite j'ai trouve dans le msconfig sur l'onglet demarrage : 2 programmes qui sont ctfmon.exe et pccntmon.exe
je les ai desactive dans msconfig puis relance fixewareout rien n'y fait ils sont toujours la et les entrees 017 reviennent dans hijackthis

j'ai sur ma machine l'antivirus trend micro et ce qui m'embete c'est que j'ai peur que ce pccntmon.Exe soit un programme dont j'ai besoin.
comment etre sur que ce sont les .Exe du virus ? et quelle methode appliquer pour les eradiquer ?

Merci encore de votre aide.
0