| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Dark
Forumeur débutant
Inscrit le: 18 Mar 2007
Messages: 41
Localisation: Devant mon PC
|
 Posté le: 25 Mar 2007 10:06 Sujet du message: Pubs sous Firefox, infection NaviPromo |
 |
|
Bonjour à tous,
Aujourd'hui je vous parle de mon problème par rapport au Pub sous FireFox.
Souvent quand j'ouvre et que je navigue sous Mozilla Firefox, des Popups s'ouvre très souvent.
J'ai fait une analyse avec Spybot mais les pubs sont toujours présentent.
Ce sont des pubs par rapport à des Antivirus, Analyses etc...
J'aimerais savoir si vous aviez une solution contre ces pubs ?
Merci à tous de votre aide !
Encore Bravo pour tout ce que vous faite ! 
A Bientôt
Dark |
|
| Revenir en haut de page |
|
 |
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6839
Localisation: Toulon
|
| Posté le: 25 Mar 2007 10:40 Sujet du message: |
|
|
Salut Dark 
Ce que tu décris ressemble fort à une infection par Navipromo ou Vundo. (Ces 2 infections ne sont pas visibles dans un rapport HijackThis si on ne prend pas quelques précautions...)
Pour savoir si c'est ça, fais ceci:
1) Recherche Navipromo:
- Avant de commencer, lis la licence de Blacklight (F-Secure)
En lisant ce document, tu as pris connaissance et accepté les conditions d'utilisation de ce programme inclus dans Navilog1.zip.
- Télécharge maintenant Navilog1.zip de Il Mafioso.
Enregistre-le sur ton Bureau.
Dézippe le contenu de l'archive en faisant un Clic droit sur Navilog1.zip puis en choisissant Tout Extraire.
- Double clique sur Navilog1.bat.
Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
/!\ N'utilise pas l'option 2,3 et 4 sans notre accord /!\
- Patiente jusqu'à l'apparition de ce message :
"*** Analyse Termine le ..... ***"
Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste-nous son contenu de cette manière :
-> Edition / Sélectionner tout
-> Edition / Copier
-> Clique-Droit / Coller dans ta réponse
2) Recherche Vundo:
- télécharge HijackThis
- Installe le. Rends toi dans le répertoire C:\Program Files\Hijackthis et renomme le programme HijackThis.exe en Dark.exe.
Quand je te demanderai de lancer HijackThis.exe, tu devras en fait lancer Dark.exe.
- Lance le programme (donc Dark.exe), clique sur Do a System Scan and Save a Log File.. Un rapport va être généré, poste le dans ta prochaine réponse.
_________________
  |
|
| Revenir en haut de page |
|
|
ortale
Administrateur
Inscrit le: 07 Mar 2006
Messages: 4492
Localisation: BASTIA
|
|
| Revenir en haut de page |
|
|
jcg11290
Forumeur émérite
Inscrit le: 01 Aoû 2006
Messages: 510
Localisation: Carcassonne
|
| Posté le: 25 Mar 2007 11:04 Sujet du message: |
|
|
Marie,
| Marie a écrit: | | Installe le. Rends toi dans le répertoire C:\Program Files\Hijackthis et renomme le programme HijackThis.exe en Dark.exe. |
Simple question juste pour savoir, pourquoi renommer ...
_________________
J.Cl.
Forum Clic! Nature |
|
| Revenir en haut de page |
|
|
ortale
Administrateur
Inscrit le: 07 Mar 2006
Messages: 4492
Localisation: BASTIA
|
| Posté le: 25 Mar 2007 11:27 Sujet du message: |
|
|
Bonjour Jc,
| Citation: | | Simple question juste pour savoir, pourquoi renommer ... |
Parce que qu'il semble que les infections Vundo aient la particularité de se "cacher" à la détection de HJT proprement dite ou à son analyse : la modification du nom de l'exe pallie ce problème...
Marie saura certainement t'en dire plus à ce sujet.
_________________
Astuces personnalisation-optimisation de Windows
Astuces système et sécurité |
|
| Revenir en haut de page |
|
|
jcg11290
Forumeur émérite
Inscrit le: 01 Aoû 2006
Messages: 510
Localisation: Carcassonne
|
| Posté le: 25 Mar 2007 11:37 Sujet du message: |
|
|
ortale,
Ok,merci pour la réponse, en effet ça me semble plausible...
Je viens de faire un essai et je ne vois pas trop différence... 
_________________
J.Cl.
Forum Clic! Nature |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6839
Localisation: Toulon
|
| Posté le: 25 Mar 2007 12:15 Sujet du message: |
|
|
Bonjour à tous.
| Ortale a écrit: | | jcg11290 a écrit: | Simple question juste pour savoir, pourquoi renommer ...
|
Parce que qu'il semble que les infections Vundo aient la particularité de se "cacher" à la détection de HJT proprement dite ou à son analyse : la modification du nom de l'exe pallie ce problème...
|
C'est exactement ça. 
C'est une astuce pour tromper le troyen.
| Ortale a écrit: | | J'avais répondu mais j'ai supprimé mon post car ta réponse me semble plus pertinente que ne l'était la mienne. |
Ta réponse était pertinente aussi. C'est le nature des pubs (pubs pour antivirus et analyses) qui me fait penser à une infection. Mais ce n'est pas encore prouvé qu'infection il y a. 
On va voir ce que donnent les rapports....
_________________
|
|
| Revenir en haut de page |
|
|
Dark
Forumeur débutant
Inscrit le: 18 Mar 2007
Messages: 41
Localisation: Devant mon PC
|
| Posté le: 25 Mar 2007 13:21 Sujet du message: |
|
|
Voila le rapport Navipromo
| Citation: | Search Navipromo version 1.0.7 commencé le 25/03/2007 à 13:30:06,94
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Documents and Settings\Antoine\Bureau
Mise a jour le 12.03.2007 a 18h00 by IL-MAFIOSO
Executé en mode normal
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
C:\Program Files\MessengerSkinner trouvé !
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\Antoine\Application Data ***
...\Application Data\MessengerSkinner trouvé !
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\dvqsmhzo.dat
C:\windows\system32\dvqsmhzo.exe
c:\WINDOWS\system32\dvqsmhzo_nav.dat
c:\WINDOWS\system32\dvqsmhzo_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\dvqsmhzo.exe
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
*** Recherche cles registre ***
Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
Recharche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]
Recherche Clé Magic Control
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de recherche complémentaire ***
(recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
*
C:\WINDOWS\system32\dvqsmhzo.dat trouvé !
**
C:\WINDOWS\system32\dvqsmhzo.dat trouvé !
***
****
*****
******
*******
********
C:\WINDOWS\system32\dvqsmhzo.exe trouvé !
*** Analyse Terminé le 25/03/2007 à 13:41:17,90 *** |
Voila le rapport HijackThis
| Citation: | Logfile of HijackThis v1.99.1
Scan saved at 14:19:56, on 25/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wisptis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Hijackthis\Dark.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\eoRezo\EoAdv\EoRezobho.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152612054523
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Voila
Bonne journée.
Dark |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6839
Localisation: Toulon
|
| Posté le: 25 Mar 2007 13:49 Sujet du message: |
|
|
Il s'agit bien d'une infection par NaviPromo.
Cette infection est consécutive à l'installation du logiciel Messenger Skinner.
Pour désinfecter, suis cette procédure, dans l'ordre et à la lettre:
- Désinstalle par Ajout/Suppession de programmes le logiciel Messenger Skinner.
Désinstalle aussi (si ce n'est déjà fait) le logiciel eoRezo qui est censé de donner la météo sur 6 jours mais qui apporte son lot de pages de publicité.
- Redémarre en mode sans échec. Pour démarrer en mode sans échec.
- Double clique sur Navilog1.bat.
Suis les instructions. Choisis ensuite l'option 2 puis valide.
Laisse toi guider et réponds aux questions éventuelles.
- Ton bureau va disparaître, c'est normal !
- Patiente jusqu'à l'apparition de ce message :
"*** Nettoyage Termine le ..... ***"
- Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver en mode normal.
Referme le Bloc-notes. Ton bureau va maintenant réapparaître.
Redémarre normalement puis poste le rapport sauvegardé auparavant (C:\cleannavi.txt)
Il y aura encore un peu de nettoyage de routine à faire après cela. Mais tu ne devrais plus avoir de publicités intempestives pour des antivirus à la suite de cette procédure.
De plus, il est possible que cela règle aussi les problèmes de lenteur de ton PC dont tu parles dans un autre topic.
Donc, quand tu auras appliqué la procédure et redémarré
 Poste le rapport C:\cleannavi.txt
Poste un nouveau log HijackThis
Dis nous si les pubs ont disparu et si ton PC a retrouvé sa rapidité.
Je transfère ton message dans le forum Virus et Sécurité 
_________________
|
|
| Revenir en haut de page |
|
|
jcg11290
Forumeur émérite
Inscrit le: 01 Aoû 2006
Messages: 510
Localisation: Carcassonne
|
| Posté le: 25 Mar 2007 14:06 Sujet du message: |
|
|
| Marie a écrit: | | C'est exactement ça. C'est une astuce pour tromper le troyen. |
Merci.. j'ai encore appris qqe chose.. 
_________________
J.Cl.
Forum Clic! Nature |
|
| Revenir en haut de page |
|
|
Dark
Forumeur débutant
Inscrit le: 18 Mar 2007
Messages: 41
Localisation: Devant mon PC
|
| Posté le: 26 Mar 2007 20:28 Sujet du message: |
|
|
Bonjour Marie,
Mon clavier sans fil ne s'allume qu'aprés le démarrage de Windows il m'est donc impossible de démarrer en Mode sans Echec 
Bonne soirée à tous
Dark |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6839
Localisation: Toulon
|
| Posté le: 26 Mar 2007 20:51 Sujet du message: |
|
|
Ah ben oui... C'est gênant! 
Essaie ceci
La procédure doit impérativement être faite en mode sans échec.
Bonne soirée à toi aussi.
_________________
|
|
| Revenir en haut de page |
|
|
Alain
Modérateur
Inscrit le: 08 Mar 2006
Messages: 1689
Localisation: Clermont-Ferrand (63)
|
| Posté le: 26 Mar 2007 21:29 Sujet du message: |
|
|
ou de cette manière :
* 1/ Fermez tous les programmes ouverts.
* 2/ Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue "Exécuter" apparaît.
* 3/ Tapez msconfig puis cliquez sur [OK].
* 4/ L'utilitaire de configuration système apparaît,voyez dans l'onglet BOOT.INI. Sélectionnez l'option /SAFEBOOT, puis cliquez sur [OK].
* 5/ Vous voyez alors s'afficher l'invite pour redémarrer l'ordinateur. Cliquez sur [Redémarrer]. L'ordinateur redémarre en mode sans échec. (Ceci peut prendre plusieurs minutes.)
* 6/ Procédez au dépannage pour lequel vous êtes passé en mode sans échec.
* 7/ Lorsque vous avez terminé votre dépannage en mode sans échec, répétez les étapes 1 à 5, mais à l'étape 4, désélectionnez /SAFEBOOT.
* 8/ Fermez tous les programmes puis redémarrez l'ordinateur comme vous le feriez d'habitude.
Bonjour tout le monde.
_________________
Un étranger est un ami que l'on ne connait pas encore. (Proverbe berbère)
 |
|
| Revenir en haut de page |
|
|
Marie
Intervenante VIP
Inscrit le: 07 Mar 2006
Messages: 6839
Localisation: Toulon
|
| Posté le: 27 Mar 2007 7:27 Sujet du message: |
|
|
Bonjour Alain.
C'est aussi une solution pour démarrer en mode sans échec facilement.
Mais, dans le cas de Dark, j'ai peur qu'elle ne convienne pas:
Le PC va bien démarrer en mode sans échec mais Dark n'aura pas la main puisque son clavier n'est pas reconnu dans ce mode.
Et il ne pourra plus modifier le msconfig pour démarrer en mode normal. Ce qui fait que son ordi risque de démarrer toujours en mode sans échec. 
Je n'ai pas testé mais ça me semble être un risque.
_________________
|
|
| Revenir en haut de page |
|
|
Alain
Modérateur
Inscrit le: 08 Mar 2006
Messages: 1689
Localisation: Clermont-Ferrand (63)
|
| Posté le: 27 Mar 2007 7:43 Sujet du message: |
|
|
Bonjour Marie.
Ah oui, je pensais que suite au démarrage son clavier serait reconnu.
Alors la bonne solution est d'avoir un clavier de secours se branchant par usb. D'ailleurs c'est ce que j'ai en plus de mon clavier sans fil (acheté 10 €) cela peut éviter bien des problèmes.
Alors pour ma solution donnée avant ne pas faire Dark.
_________________
Un étranger est un ami que l'on ne connait pas encore. (Proverbe berbère)
|
|
| Revenir en haut de page |
|
|
|
