pop-ups intempestifs - Sécurité - Windows & Software
Marsh Posté le 08-05-2006 à 20:16:39
bonjour,
le programme MailSkinner a-t-il été installé sur ce pc ?
Marsh Posté le 08-05-2006 à 20:40:38
oui.
Il apparaissait sur les logs hjt, de même que newdotnet d'ailleurs.
Je l'ai supprimé manuellement mais il en reste peut-être (?)...
Marsh Posté le 08-05-2006 à 20:42:23
Fais les points 2 et 4 de cette procédure uniquement http://perso.numericable.fr/~altsh [...] ureIA.html
Puis reviens avec le résultat.
Marsh Posté le 08-05-2006 à 23:15:27
Etape 4 : fichier introuvable.
Par contre jai trouvé dans : C:\WINDOWS\Prefetch le fichier : Mailskinner.exe-2C5280EC.pf que jai supprimé.
Et dans le panneau de configuration, Options Internet / onglet "Contenu" onglet "Certificats" /"Editeurs approuvés" : electronic-group que jai supprimé aussi.
Mais jai toujours les pop-up.
Javoue que là, je vois plus
.
Marsh Posté le 08-05-2006 à 23:18:19
je pars du principe que les popups sont dues à l'adware Navipromo, mais je peux me tromper. De quoi elles parlent ces popups ?
télécharge F-Secure Blacklight (777ko) http://www.f-secure.com/blacklight/try.shtml
Place-le dans son propre répertoire, dans C:\
Lance-le en double-cliquant sur le fichier blbeta.exe
Accepte la licence, et clique enfin sur "Scan"
Si Blacklight détecte des éléments invisibles, il en affiche la liste et permet de les renommer
Ne renomme rien du tout. Copie le contenu du log qui sera généré dans le même dossier que blbeta, avec un nom qui ressemblera à fsbl-20060316011845.log
Ne ferme pas blbeta.
Marsh Posté le 09-05-2006 à 00:49:35
Les pop-ups : amaena.com, winantivirus, epass-key.com et autres casino...y'en a 4 ou 5 toujours les mêmes.
Le log f-secure :
05/09/06 00:40:25 [Info]: BlackLight Engine 1.0.36 initialized
05/09/06 00:40:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/09/06 00:40:25 [Note]: 7019 4
05/09/06 00:40:25 [Note]: 7005 0
05/09/06 00:40:29 [Note]: 7006 0
05/09/06 00:40:29 [Note]: 7011 1088
05/09/06 00:40:30 [Note]: 7026 0
05/09/06 00:40:30 [Note]: 7026 0
05/09/06 00:40:30 [Note]: 7024 3
05/09/06 00:40:30 [Info]: Hidden process: C:\windows\system32\jbonswedf.exe
05/09/06 00:40:30 [Note]: FSRAW library version 1.7.1015
05/09/06 00:44:05 [Info]: Hidden file: c:\WINDOWS\Prefetch\JBONSWEDF.EXE-21843786.pf
05/09/06 00:44:05 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: c:\WINDOWS\system32\jbonswedf_nav.dat
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: c:\WINDOWS\system32\jbonswedf.dat
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: C:\windows\system32\jbonswedf.exe
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:44:39 [Info]: Hidden file: c:\WINDOWS\system32\jbonswedf_navps.dat
05/09/06 00:44:39 [Note]: 10002 1
05/09/06 00:45:48 [Note]: 7007 0
@ +
Marsh Posté le 09-05-2006 à 01:00:01
Ok. A l'étape 4 du lien que je t'avais donné, il fallait trouver ceci en fait c:\WINDOWS\system32\jbonswedf_navps.dat
Parfois, ces fichiers sont particulièrement bien cachés, ce qui explique que Blacklite les ait trouvés.
Avant de s'en occuper
Citation : Ouvrir un dossier, n'importe lequel. Aller dans : |
et dis-moi simplement si tu vois ces 5 fichiers (je ne te demande pas de les supprimer) :
c:\WINDOWS\Prefetch\JBONSWEDF.EXE-21843786.pf
c:\WINDOWS\system32\jbonswedf_nav.dat
c:\WINDOWS\system32\jbonswedf.dat
C:\windows\system32\jbonswedf.exe
c:\WINDOWS\system32\jbonswedf_navps.dat
# D'autre part, pour Les pop-ups : amaena.com :
télécharge SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.zip
* décompresse-le
* double-clique sur le fichier "smitfraudfix.cmd" et choisis loption 1, il va lister tous les éléments nuisibles dans un rapport : poste le
Marsh Posté le 09-05-2006 à 01:26:28
Tous ces fichiers sont totalement invisibles.
Je reprends tout ça demain.
Merci de l'aide et bonne fin de soirée.
Marsh Posté le 09-05-2006 à 01:53:57
le + simple en fait, ce serait de faire la chose suivante :
# Tu relances le scan avec blbeta. Lorsqu'il a terminé, clique sur le step2 > "cleaning"
Tu vas retrouver la liste des fichiers malwares. Pour chacun d'entre eux, tu les sélectionnes et tu cliques sur "rename".
Ferme blbeta lorsque tu as fini avec ces 5 fichiers.
# A ce moment là, les fichiers-malwares vont devenir visibles, et porteront tous une extension .ren
Il ne te reste qu'à les supprimer :
Citation : c:\WINDOWS\Prefetch\JBONSWEDF.EXE-21843786.pf.ren |
# Histoire de gagner un peu de temps, redémarre en mode sans échec.
- Lance le SmitfraudFix.cmd, option 2 et réponds oui à tout
- Panneau de config, options internet, "supprimer les fichiers", "supprimer les cookies"
# Redémarre normalement. Poste le contenu du fichier C:\rapport.txt
# Fais également ce scan en ligne http://www.bitdefender.fr/bd/site/page.php?tab=0#
clique, en bas à gauche, sur "scan on line (nouveau)
Accepte ensuite la licence puis laisse-lui installer l'ActiveX
Laisse-toi guider.
Poste le rapport.
Marsh Posté le 09-05-2006 à 23:09:42
Bon, alors j'ai renommé les 5 fichiers via blbeta step2 cleaning / rename.
Les 5 fichiers sont effectivement devenus visibles à leurs emplacements indiqués.
Je les ai supprimés manuellement sans problème.
Puis Smitfraudfix dont le rapport :
SmitFraudFix v2.41
Rapport fait à 18:44:07,96, 09/05/2006
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Le rapport Bitdefender :
BitDefender Online Scanner
Rapport d'analyse généré à: Tue, May 09, 2006 - 20:16:17
Fichier analysé
Statut
C:\bruno\INFECTED\SECURE32.HTML.VIR
Infecté par: Trojan.SpySheriff.C
C:\bruno\INFECTED\SECURE32.HTML.VIR
Echec de la désinfection
C:\bruno\INFECTED\SECURE32.HTML.VIR
Supprimé
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)=>ADSL Autoconnect.exe
Infecté par: Trojan.Horse.AU
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)=>ADSL Autoconnect.exe
Echec de la désinfection
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)=>ADSL Autoconnect.exe
Supprimé
C:\System Volume Information\_restore{9BFC5186-DCAF-446B-A58E-429B762968AD}\RP935\A0198293.exe=>(CAB Sfx o)
Echec de la mise à jour
Pour l'instant, plus de pop-ups.
Un grand merci à toi eZula.
Marsh Posté le 08-05-2006 à 19:23:20
Bonjour,
Depuis qq jours, jai des pop-up dès louverture dInternet Explorer.Après divers scans, jai identifié mailskinner et newdotnet.
Je les ai supprimés (apparemment) en utilisant spybot, ad-aware, ewido mais les pop-up sont toujours là
et je n'ai plus d'idées...
Je joins un log HJT.
Logfile of HijackThis v1.99.1
Scan saved at 17:04:09, on 08/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Saitek\Software\Profiler.exe
C:\Program Files\Saitek\Software\SaiSmart.exe
C:\Documents and Settings\Jocelyne\ECB-SG.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Mouse\MouseDrv.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jocelyne\LOCALS~1\Temp\Rar$EX00.578\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [DeluxMouse] C:\Program Files\Mouse\MouseDrv.exe
O4 - HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.f [...] r_cert.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.encyclo.wanadoo.fr/JS/tdserver.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo [...] ontrol.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11220F46-C0CA-4B7E-AE69-9EC87BAB9C66}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BA26A27-6D0C-4139-811F-F8C9F4DE388B}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{11220F46-C0CA-4B7E-AE69-9EC87BAB9C66}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: ADSLAutoconnect - Unknown owner - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Si vous voyez qq chose, merci d'avance.