Bonjour,
 
Depuis qq jours, j’ai des pop-up dès l’ouverture d’Internet Explorer.Après divers scans, j’ai identifié mailskinner et newdotnet.
Je les ai supprimés (apparemment) en utilisant spybot, ad-aware, ewido mais les pop-up sont toujours là…
et je n'ai plus d'idées...
Je joins un log HJT.
Logfile of HijackThis v1.99.1
Scan saved at 17:04:09, on 08/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Documents and Settings\Jocelyne\ECB-SG.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Mouse\MouseDrv.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jocelyne\LOCALS~1\Temp\Rar$EX00.578\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [DeluxMouse] C:\Program Files\Mouse\MouseDrv.exe
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.encyclo.wanadoo.fr/JS/tdserver.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo [...] ontrol.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11220F46-C0CA-4B7E-AE69-9EC87BAB9C66}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BA26A27-6D0C-4139-811F-F8C9F4DE388B}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{11220F46-C0CA-4B7E-AE69-9EC87BAB9C66}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 
Si vous voyez qq chose, merci d'avance.

bonjour,
 
le programme MailSkinner a-t-il été installé sur ce pc ?

oui.
Il apparaissait sur les logs hjt, de même que newdotnet d'ailleurs.
Je l'ai supprimé manuellement mais il en reste peut-être (?)...
 

Fais les points 2 et 4 de cette procédure uniquement http://perso.numericable.fr/~altsh [...] ureIA.html
Puis reviens avec le résultat.

Etape 4 : fichier introuvable.
Par contre j’ai trouvé dans :  C:\WINDOWS\Prefetch  le fichier :  Mailskinner.exe-2C5280EC.pf que j’ai supprimé.
Et dans le panneau de configuration, Options Internet / onglet "Contenu" onglet "Certificats" /"Editeurs approuvés" :  electronic-group  que j’ai supprimé aussi.
Mais j’ai toujours les pop-up.
J’avoue que là, je vois plus….
 

je pars du principe que les popups sont dues à l'adware Navipromo, mais je peux me tromper. De quoi elles parlent ces popups ?
 
télécharge F-Secure Blacklight (777ko) http://www.f-secure.com/blacklight/try.shtml
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
 
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log
Ne ferme pas blbeta.

Les pop-ups : amaena.com, winantivirus, epass-key.com et autres casino...y'en a 4 ou 5 toujours les mêmes.
Le log f-secure :
05/09/06 00:40:25 [Info]: BlackLight Engine 1.0.36 initialized
05/09/06 00:40:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/09/06 00:40:25 [Note]: 7019 4
05/09/06 00:40:25 [Note]: 7005 0
05/09/06 00:40:29 [Note]: 7006 0
05/09/06 00:40:29 [Note]: 7011 1088
05/09/06 00:40:30 [Note]: 7026 0
05/09/06 00:40:30 [Note]: 7026 0
05/09/06 00:40:30 [Note]: 7024 3
05/09/06 00:40:30 [Info]: Hidden process: C:\windows\system32\jbonswedf.exe
05/09/06 00:40:30 [Note]: FSRAW library version 1.7.1015
05/09/06 00:44:05 [Info]: Hidden file: c:\WINDOWS\Prefetch\JBONSWEDF.EXE-21843786.pf
05/09/06 00:44:05 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: c:\WINDOWS\system32\jbonswedf_nav.dat
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: c:\WINDOWS\system32\jbonswedf.dat
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: C:\windows\system32\jbonswedf.exe
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: c:\WINDOWS\system32\jbonswedf_navps.dat
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:45:48 [Note]: 7007 0
 
@ +

Ok. A l'étape 4 du lien que je t'avais donné, il fallait trouver ceci en fait c:\WINDOWS\system32\jbonswedf_navps.dat
Parfois, ces fichiers sont particulièrement bien cachés, ce qui explique que Blacklite les ait trouvés.
 
Avant de s'en occuper
 

 
et dis-moi simplement si tu vois ces 5 fichiers (je ne te demande pas de les supprimer) :
 
c:\WINDOWS\Prefetch\JBONSWEDF.EXE-21843786.pf
c:\WINDOWS\system32\jbonswedf_nav.dat
 c:\WINDOWS\system32\jbonswedf.dat
C:\windows\system32\jbonswedf.exe
c:\WINDOWS\system32\jbonswedf_navps.dat
 
# D'autre part, pour Les pop-ups : amaena.com :
 
télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le

Tous ces fichiers sont totalement invisibles.
Je reprends tout ça demain.
Merci de l'aide et bonne fin de soirée.

le + simple en fait, ce serait de faire la chose suivante :
 
# Tu relances le scan avec blbeta. Lorsqu'il a terminé, clique sur le step2 > "cleaning"
Tu vas retrouver la liste des fichiers malwares. Pour chacun d'entre eux, tu les sélectionnes et tu cliques sur "rename".
Ferme blbeta lorsque tu as fini avec ces 5 fichiers.
 
# A ce moment là, les fichiers-malwares vont devenir visibles, et porteront tous une extension .ren
Il ne te reste qu'à les supprimer :
 

 
# Histoire de gagner un peu de temps, redémarre en mode sans échec.
 
- Lance le SmitfraudFix.cmd, option 2 et réponds oui à tout
 
- Panneau de config, options internet, "supprimer les fichiers", "supprimer les cookies"
 
# Redémarre normalement. Poste le contenu du fichier C:\rapport.txt
 
# Fais également ce scan en ligne http://www.bitdefender.fr/bd/site/page.php?tab=0#
clique, en bas à gauche, sur "scan on line (nouveau)
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.
Poste le rapport.

Bon, alors j'ai renommé les 5 fichiers via blbeta step2 cleaning / rename.
Les 5 fichiers sont effectivement devenus visibles à leurs emplacements indiqués.
Je les ai supprimés manuellement sans problème.
Puis Smitfraudfix dont le rapport :
 
SmitFraudFix v2.41
Rapport fait à 18:44:07,96, 09/05/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.  
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
Le rapport Bitdefender :
BitDefender Online Scanner
 Rapport d'analyse généré à: Tue, May 09, 2006 - 20:16:17
 
Fichier analysé
  Statut
 
C:\bruno\INFECTED\SECURE32.HTML.VIR
 Infecté par: Trojan.SpySheriff.C
 
C:\bruno\INFECTED\SECURE32.HTML.VIR
 Echec de la désinfection
 
C:\bruno\INFECTED\SECURE32.HTML.VIR
 Supprimé
 
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)=>ADSL Autoconnect.exe
 Infecté par: Trojan.Horse.AU
 
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)=>ADSL Autoconnect.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)=>ADSL Autoconnect.exe
 Supprimé
 
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)
 Echec de la mise à jour
 
Pour l'instant, plus de pop-ups.
Un grand merci à toi eZula.