Infecttion par fenêtres Internet Explorer Advertisement

Bonjour à tous.

J'ai véritablement besoin d'aide en ce moment car je suis victime d'un spyware ou d'un virus.
Les symptômes sont des fenêtres Internet Explorer intempestives 'advertisement' qui s'ouvrent et se ferment
quand je suis online. J'utilise pourtant Firefox. Je suis sous Windows XP.
Je n'ai plus accès au gestionnaire des tâches, ni par clic droit sur la barre
de windows, ni par la commande 'executer'.
J'ai essayé de supprimer manuellement Internet Explorer, impossible d'y avoir accès, et il semble être ouvert
en permanence !

J'ai effectué un test Spybot et il a trouvé les erreurs suivantes (que j'ai corrigé sans trop y croire) :

Adviva
BlueStreak
Direct Track
DoubleClick
Hupigon 13
Microsoft.Windows.Security.InternetExplorer
Right Media
Tradedoubler
Zedo




Concernant Avast, il a trouvé aujourd'hui deux problèmes, apparemment deux vers : Win32:Vuku [Trj] et
surtout win32.Trojan-gen, qui n'arrête pas de revenir. J'ai beau le supprimer, le fichier infecté revient
sans cesse ! Je l'ai mis en quarantaine mais pareil, il revient.
Avast trouve aussi un virus à l'adresse :
http://79.99.133.75/Naecwg.exe?new=3&b= ... 8a4p&spl=7



J'ai aussi utilisé aujourd'hui Malwarebytes. Il y a 3 objets d'infection :

Trojan.Vundo
Security.Hijack Registry KEy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current\Version\Image File Execution Options\regedit.exe
Adware.Agent Registry KEy HKEY_LOCAL_MACHINE\SOFTWARE\Plate

Voici le rapport. Malwarebytes a supprimé les éléments et m'a demandé de redémarrer l'ordi.

------------------------------------

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2149
Windows 5.1.2600 Service Pack 3

25/05/2009 13:33:52
mbam-log-2009-05-25 (13-33-52).txt

Type de recherche: Examen rapide
Eléments examinés: 80823
Temps écoulé: 3 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Plate (Adware.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\_avast4_\unp216585642.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.



-----------------------------

J'ai besoin d'aide car après le redémarrage, je n'ai toujours pas accès au gestionnaire des tâches, et
j'imagine que ce qui infecte mon pc et qui passe par Internet Explorer n'est pas prêt de s'en aller...
En tout cas, seul, je n'arriva pas à m'en sortir. Merci de vous pencher sur mon cas...

Gregoss

Salut à toi et bienvenue,

fais ceci en premier:

1) Désactive le Teatimer de Spybot

[*:758nbu5c]Ouvre Spybot[/*:m:758nbu5c]
[*:758nbu5c]Rends-toi dans le menu Mode[/*:m:758nbu5c]
[*:758nbu5c]Coche la case Mode Avancé[/*:m:758nbu5c]
[*:758nbu5c]Clique sur Outils (tout en bas)[/*:m:758nbu5c]
[*:758nbu5c]Dans Résident, tu décoches la case Resident Teatimer
-----> L'icône doit être absente de la barre des tâches...[/*:m:758nbu5c]

Tutoriel animé :
-->source ici

(merci Balltrap34 !)

ensuite:



Afin de nous éclairersur la nature précise de tes soucis "infectieux", (ou pas ! )
dans un premier temps fais cette procédure et poste le rapport généré par random's system information tool (RSIT) par
random/random
-->source ici
Poste le contenu de log.txt (<<qui sera affiché)
ainsi que info.txt (<<qui sera réduit dans la Barre des Tâches).


// ! Important ! \\
=======================

Ps:
======
Conseil d'ordre général
ne pas aller sur le Net avec Internet Explorer
télécharger Mozilla-Firefox 3.0 et le mettre comme Navigateur par défaut.
http://www.mozilla-europe.org/fr/firefox/
-->source ici de conseils

Poster les 2 rapports demandés (log.txt et info.txt)

Merci beaucoup pour ta réponse Winx !

Je viens de faire ce que tu préconise : j'ai tout d'abord décoché le teatimer de spybot, j'ai fait une recherche d'éléments infectés... et il n'a plus rien trouvé !

J'ai téléchargé et lancé RSIT, j'ai bien le log.txt qui apparaît, mais pas de info.txt (et j'ai bien regardé , il n'y a rien dans la barre des tâches !




Merci encore pour toute l'aide fournie ici. Hélàs pour moi tout ce qui est inscrit dans le log.txt est incompréhensible...

Avast/Antivir
=====================

Je remarque que tu as Avast dans ton PC. (je lui donne une note de 4/10 )
Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations :
vsujet-180625.html#180625

Antivir est beaucoup plus performant et réactif , il reconnait plus de 1 000 000 de malwares et autres bestioles dangereuses.
Il n'a rien à envier aux ténors payants du genre (kaspersky , nod32.. (je ne parle pas de Norton, qui à mon sens est une belle passoire, payante ! )
C'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast, et d'installer Antivir à la place :
http://www.malekal.com/tutorial_antivir.php
Antivir existe en version Française, pour l'instant un message risque de vous dire que ce n'est pas la version officielle, alors que c'est bien l'officielle, ne pas donc tenir compte de cette alerte et cliquer sur le bouton "télécharger"
http://dlce.antivir.com/down/windows/an ... u_fr_h.exe
note:
=======
la clé, ne semble pas être utile à l'install du programme...
http://dlce.antivir.com/down/windows/hbedv.key


- Après l'installation, mets le à jour -( si ton firewall fait une alerte.. accepte la connexion.)
- Assure toi qu' Antivir est bien à jour, vérifie la date d'update.
Si tu as un problème pour mettre à jour vas voir ici :
-->source tuto ici

-- Redémarre en mode sans échec,
Pourquoi ?
Trés simple !
Pour une éradication des menaces plus efficace

pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Si tu as des difficultés, regarde ici---->
--->aide visuelle, clic ici

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne tous les disques.
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport. (souviens-toi de l'endroit où tu le mets ! )

Redémarre en mode normal.

Poste le rapport ici.

PS: en cas de souci rencontrés par la désinstallation de Avast via Ajout/suppression de programme, je conseille un coup d'œil ici:
http://forum.malekal.com/ftopic4192.php

note:

Ne jamais installer deux Antivirus dans un PC

--->aide visuelle, Tuto Antivir ici:

Bonjour !

Merci pour la réponse et les conseils. J'ai passé une grande partie de la journée d'hier à lire les liens que tu as posté, à peser le pour et le contre, et finalement, j'ai bien désinstallé Avast pour installer Antivir.

Voici donc ce qui se passe pour mon pc :

Le test Spybot sans le teatimer n'a rien repéré.
Internet Explorer reste inactif et les fenêtres intempestives 'advertisement' ont fini d'apparaître.
Je n'ai toujours pas accès au gestionnaire des tâches.


J'ai effectué un test complet avec antivir en mode sans échec. Voici le résultat :



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 26 mai 2009 14:49

La recherche porte sur 1422730 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Mode sans échec
Identifiant : Greg Hamcut
Nom de l'ordinateur : PCGREG

Informations de version :
BUILD.DAT : 8.2.0.53 17752 Bytes 23/03/2009 13:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 07:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 12:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 11:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 06:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 10:58:26
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20/05/2009 10:58:30
ANTIVIR3.VDF : 7.1.4.17 144384 Bytes 26/05/2009 10:58:30
Version du moteur: 8.2.0.168
AEVDF.DLL : 8.1.1.1 106868 Bytes 26/05/2009 10:58:37
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 26/05/2009 10:58:36
AESCN.DLL : 8.1.2.3 127347 Bytes 26/05/2009 10:58:35
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 12:58:38
AEPACK.DLL : 8.1.3.16 397686 Bytes 26/05/2009 10:58:35
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/05/2009 10:58:34
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 26/05/2009 10:58:34
AEHELP.DLL : 8.1.2.2 119158 Bytes 26/05/2009 10:58:32
AEGEN.DLL : 8.1.1.44 348532 Bytes 26/05/2009 10:58:32
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 09:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 26/05/2009 10:58:31
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 07:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 08:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 26/05/2009 10:58:31
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 10:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 07:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 11:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 16:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 11:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 11:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 06:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, F:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : mardi 26 mai 2009 14:49

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'11' processus ont été contrôlés avec '11' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '68' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <Windows XP >
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'F:\' <DD02>


Fin de la recherche : mardi 26 mai 2009 16:09
Temps nécessaire: 1:20:18 Heure(s)

La recherche a été effectuée intégralement

7492 Les répertoires ont été contrôlés
441509 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
441508 Fichiers non infectés
3376 Les archives ont été contrôlées
1 Avertissements
0 Consignes


----------------------------------------

J'ai l'impression que le problème est en train de se solutionner, progressivement. Merci encore.

Tu as au moins un virus ça c'est sur, voire certainement d'autres. Celui pour lequel je suis sur à 100% c'est :
// Edit de modération >>
ce n'est pas un virus, mais un service légitime, quoiqu'inutile j'en conviens

C:\Program Files\Bonjour\mDNSResponder.exe

Pour le "tuer", il faut le stopper par le gestionnaire des taches puis l'effacer du disque.
pas du tout....il faut un outil spécial à cet effet


Bon courage

Bonjour Touk.

Merci de ta réponse... oui mais voilà le problème justement... c'est que je n'ai plus accès au gestionnaire des tâches. J'ai essayé d'éxecuter "TASKMGR.exe" mais ça me donne le message d'erreur : 'Windows ne trouve pas 'taskmgr.exe'. Vérifier que vous avez entré le nom correctement et essayez à nouveau. "




Pour ce qui est du fichier C:\Program Files\Bonjour\mDNSResponder.exe

Est-ce que je peux le supprimer manuellement ?


Gregoss

re,
fais ceci:

On va désinstaller le sevice Bonjour, (inutile )
télécharger ce petit utilitaire sur le bureau
http://download.gizmoproject.com/jasmin ... onjour.exe
Une fois celà fais, lance l'outil que tu viens de télécharger (double-clic dessus )
Le service est désinstallé.

ensuite:

Fais un Scan seul Hijackthis
====================================

Fais un nouveau rapport Hijackthis et colle le rapport, (clique droit -> lancer en tant qu'administrateur sous Vista)

--->aide visuelle, clic ici

ps: la version de Hijackthis doit être:

Ps:
le rapport Antivir est propre

Ok merci beaucoup.

Je ne sais pas ce que c'est ce que ce fichier bonjour, mais je le supprime dès demain, et je fais un checke avec hijackthis, et je poste le rapport.
Si tu me dis que le scan antivir ne détecte rien de sérieux, alors c'est cool. Je pense que j'ai eu chaud quand même car ça aurait pu être plus grave...

Je poste le rapport dès que c'est fait.

Merci et bonne soirée.

re,

c'est un service qui démarre automatiquement sur un certain nombre de PC de marque.
Utilise exclusivement la procédure que je t'ai indiquée.
Pas de suppression à la barbare...
en clair ne surtout pas faire ce que l'on t'a "conseillé"

Quand tu auras terminé avec l'utilitaire,
redémarre ta machine.
ensuite fais ceci:







Fais un Scan seul Hijackthis
====================================

Fais un nouveau rapport Hijackthis et colle le rapport, (clique droit -> lancer en tant qu'administrateur sous Vista)

--->aide visuelle, clic ici

ps: la version de Hijackthis doit être:

Bonjour.

J'ai suivi tes conseils Winx, et j'ai éteind 'Bonjour'.

Je viens de lancer Hijackthis, et voici le dernier rapport :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:44, on 28/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

--
End of file - 12583 bytes


--------------------------------------------

Merci d'avance et bonne journée !

re,
Télécharge staruplite.exe outil élaboré par les concepteurs de Malware Byte's Antimalware
Un petit logiciel qui va te simplier la vie pour supprimer ce qui est inutile à ta liste de démarrage:

-->source fichier ici

Lance le logiciel , des cases sont cochées en vert, acceptes-les et clic sur le bouton en bas "Continue".
Si vraimant tu détectes de toi même un logiciel dont tu veux conserver le lancement au démarrage du PC, coche la case, "no action"
PS: à noter que le fait de cocher une case, n'enlève ABSOLUMENT PAS le logiciel concernné du PC, mais juste le démarrage de celui-ci...ce qui allège la RAM, vu que---> le nombre de processus lancé au démarrage est limité par ce petit programme. :idea:

Ok, c'est fait.

re,
Fais un Scan seul Hijackthis
====================================

Fais un nouveau rapport Hijackthis et colle le rapport, (clique droit -> lancer en tant qu'administrateur sous Vista)

--->aide visuelle, clic ici

ps: la version de Hijackthis doit être:

Bonjour.

Voici le rapport du dernier scan de hijacjthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:39:09, on 29/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

End of file - 12394 bytes