Page intenpestive

[ludo_le_killer]

Bijour à tous !

bon alors voilà WMP a dl un logiciel pour lire les mp3 sur un site, une fois dl antivir me dis que j'ai une merde je le vire et soucis résolu, seulement depuis dès que j'ouvre une page internet j'ai une page de pub qui vient en plus !!! ça commence à m'enerver , alors j'ai fais scan antivir spybot et ad-aware ainsi que a² en sans échec et ça ne part pas pourtant j'avais un Win 31 ...La j'ai fais une analyse hijackthis voici le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:53:24, on 25/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32csrss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSsystem32svchost.exe
D:Program FilesSygateSPFsmc.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSExplorer.EXE
D:WINDOWSsystem32spoolsv.exe
D:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
D:Program Filesa-squared Freea2service.exe
D:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
D:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
D:Program FilesBonjourmDNSResponder.exe
D:WINDOWSsystem32
vsvc32.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSsystem32wbemwmiprvse.exe
D:WINDOWSSystem32alg.exe
D:Program FilesJavajre1.6.0_07injusched.exe
D:Program FilesPowerISOPWRISOVM.EXE
D:Program FilesNokiaNokia PC Suite 6LaunchApplication.exe
D:WINDOWSsystem32LVCOMSX.EXE
D:WINDOWSsystem32 undll32.exe
D:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
D:Program FilesSuperCopier2SuperCopier2.exe
D:WINDOWSsystem32ctfmon.exe
D:Program FilesDAEMON Tools Litedaemon.exe
D:Program FilesFichiers communsAheadLibNMBgMonitor.exe
D:Program FilesSpybot - Search & DestroyTeaTimer.exe
D:Program FilesBelkinUSB F5D7050Wireless UtilityBelkinwcui.exe
D:Program FilesPC Connectivity SolutionServiceLayer.exe
D:Program FilesMSN Messengerusnsvc.exe
D:Program FilesAzureusAzureus.exe
D:Program FilesInternet ExplorerIEXPLORE.EXE
D:Program FilesLavasoftAd-Awareaawservice.exe
D:Program FilesMSN Messengermsnmsgr.exe
D:PROGRA~1GRETECHGOMPLA~1GOM.exe
D:Program FilesMozilla Firefoxfirefox.exe
D:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - D:Program FilesAdobe/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: AdvancedTool - {6C4ECE5C-7CB8-36C5-6F3B-D414CE8F8E22} - D:Program FilesAdvancedToolAdvancedTool-2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - D:Program FilesAdobe/Adobe Contribute CS3/contributeieplugin.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE D:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [SmcService] D:PROGRA~1SygateSPFsmc.exe -startgui
O4 - HKLM..Run: [SunJavaUpdateSched] "D:Program FilesJavajre1.6.0_07injusched.exe"
O4 - HKLM..Run: [PWRISOVM.EXE] D:Program FilesPowerISOPWRISOVM.EXE
O4 - HKLM..Run: [PCSuiteTrayApplication] D:Program FilesNokiaNokia PC Suite 6LaunchApplication.exe -startup
O4 - HKLM..Run: [LVCOMSX] D:WINDOWSsystem32LVCOMSX.EXE
O4 - HKLM..Run: [QuickTime Task] "D:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [avgnt] "D:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe" /min
O4 - HKCU..Run: [SuperCopier2.exe] D:Program FilesSuperCopier2SuperCopier2.exe
O4 - HKCU..Run: [ctfmon.exe] D:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [DAEMON Tools Lite] "D:Program FilesDAEMON Tools Litedaemon.exe" -autorun
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:Program FilesFichiers communsAheadLibNMBgMonitor.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] D:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = D:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:Program FilesAdobeAcrobat 8.0AcrobatAdobeCollabSync.exe
O4 - Global Startup: Belkin Wireless USB Utility.lnk = D:Program FilesBelkinUSB F5D7050Wireless UtilityBelkinwcui.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://D:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:Program FilesMessengermsmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:Program Filesa-squared Freea2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:Program FilesLavasoftAd-Awareaawservice.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - D:Program FilesFichiers communsAdobeAdobe Version Cue CS3ServerinVersionCueCS3.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:Program FilesBonjourmDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:WINDOWSsystem32
vsvc32.exe
O23 - Service: ServiceLayer - Nokia. - D:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:Program FilesSygateSPFsmc.exe

--
End of file - 10431 bytes


Merci pour votre aide !

[Skynet]

Salut,

il n'y a pas grand chose, un fichier inconnu :

O2 - BHO: AdvancedTool - {6C4ECE5C-7CB8-36C5-6F3B-D414CE8F8E22} - D:Program FilesAdvancedToolAdvancedTool-2.dll

Ca te dit quelque chose ?

[ludo_le_killer]

bah non je ne sais pas mais je l'ai supprimé ... je suis a court d'idée, j'ai ADP sur firefox j'ai tout les log qui faut et rien ne me vire ça ...

[Skynet]

Ok,

et Sophos Anti-Rootkit ?

[ludo_le_killer]

Ok,

et Sophos Anti-Rootkit ?

ah je l'ai mais pas essayé tient, je vais tester

[édit rien de rien avec sophos ...]

[r@in | b0w]

Bonjour.

Télécharges Navilog1.

Tu lances l'installation en double cliquant dessus.

Tu sélectionnes Français puis cliques sur Ok; tu cliques ensuite sur Suivant, tu laisses l'option de l'icône sur le bureau puis tu cliques à nouveau sur Suivant et finalement Installer.

Ensuite, tu cliques sur Terminer pour quitter le programme d'installation.

Tu lances l'application en double cliquant dessus.

Tu appuies sur la touche [F] pour sélectionner le français puis sur [Entrée].
A l'écran suivant, tu appuies sur n'importe quelle touche pour continuer.
Idem pour la fenêtre suivante.
Navilog1 va ensuite être décompressé sur ton bureau, patientes jusqu'à la fin de la manipulation puis, quand il sera indiqué:

Code: Tout sélectionner

Vous avez correctement décompresse navilog1.zip!

Press any key to continue...

Tu appuis sur n'importe quelle touche de ton clavier.

Une fenêtre de choix s'affiche, tu appuies sur [1].

A la fin de l'analyse, un fichier fixnavi.txt s'ouvrira, tu colles le rapport dans ton prochain message.

[ludo_le_killer]

Salut,
le fichier que tu m'as donné en lien a fait intervenir antivir ... dans un autre fichier du pc mdrr, et impossible de l'installer firefox m'a fait une scène ...

je l'ai pris sur un autre site

Search Navipromo version 2.0.5 commencé le 26/07/2008 à 10:49:58,53

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis D:Program Files
avilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans D:WINDOWS ***




*** Recherche dossiers dans D:Program Files ***




*** Recherche dossiers dans D:Documents and SettingsAll UsersApplication Data ***




*** Recherche dossiers dans D:Documents and SettingsLuLuApplication Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight/blacklight_help.html


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/26/08 at 10:49:59.
[-] ERROR: This version of F-Secure BlackLight has expired.
[+] Exited on 07/26/08 at 10:49:59 (return code = 3).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLMSOFTWAREMicrosoftWindowsCurrentVersionSharedDLLs]



Recherche dans [HKLMSOFTWAREMicrosoftWindowsCurrentVersionModuleUsage]



Recherche Clé Magic Control



*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :


*** Analyse Terminé le 26/07/2008 à 10:50:19,96 ***


Visiblement y'a un soucis

[r@in | b0w]

Bonjour.

Visiblement y'a un soucis

Non, rien du tout.

Je vais regarder le log HiJackThis de plus près cet après-midi si je peux.

Tu pourrais préciser la fenêtre de publicité: quel genre, quel produit, quelle url?

[ludo_le_killer]

la pages de pub,site de rencontre, site de poker et de casino sur internet et un autre site aussi, la prochaine fenêtre qui s'ouvre je vous donne le lien

http://www.partycasino.com/marketing/mi ... 092399&p=1

[r@in | b0w]

Re.

Je n'ai pas d'autres idées pour le moment.

Si tu pouvais retrouver deux choses:

_ le logiciel AdvancedTool;

_ le logiciel téléchargé par WMP.

Tu nous donnes les liens et on va regarder sur VirusTotal ce qu'ils contiennent.

Sinon, voir à faire une analyse antivirus en ligne et en profiter pour supprimer tous tes points de restauration.

Ps: et plus d'informations sur ton Win31, le nom exact.
Tu le retrouves en regardant l'historique de ton antivirus.

[ludo_le_killer]

le logiciel, pas la moindre idée du nom mais c'était un mp3, que j'avais dans mon pc et WMP n'a pas voulue le lire, il a dl un logiciel et voilà le soucis, le win 32 à été viré et je ne me souviens plus du nom non plus désolé et j'ai supprimé le mp3 qui a foutue la merde, je vais regarder mais il me semble

[Skynet]

Je vais regarder le log HiJackThis de plus près cet après-midi si je peux.

C'était déjà fait...

[ludo_le_killer]

Je vais regarder le log HiJackThis de plus près cet après-midi si je peux.

C'était déjà fait...

il vaut mieux deux avis que un , mais merci en tout cas, même si je sèche la ...

j'ai retrouvé le mp3 qui a foutue la m****, le logiciel que WMP veut dl est play_mp3, il n'y à pas de lien, ça me balance directement, sur une page firefox et la 4 onglets s'ouvrent et il demande de dl le truc, antivir c'est lancé en me disant qu'une merde était sur le pc je l'ai supprimé

[r@in | b0w]

Bonjour.

Je vais regarder le log HiJackThis de plus près cet après-midi si je peux.

C'était déjà fait...

A ne pas prendre mal s'il-te-plait.

Je ne remets pas ton jugement en cause, loin de là.

Je regarde s'il n'y a pas une dll inconnue ou un logiciel peu recommandable qui puisse indiquer quelque chose de plus.

Mais, sur ce log, rien à dire de plus par rapport à toi.

[Yuccaman]

Alors effectivement play_mp3 est un malware connu.

http://www.processlibrary.com/fr/direct ... play_mp3-3

Encore une bonne raisin de ne pas utiliser WMP.

A verifier si il n'est pas présent à une des localisations suivantes:

1 :%appdata%
etscape
sbpr...r6.default empscandirJPUFUFVK.EXE
2 :%CACHE%CONTENT.IE5????????PLAY_MP3[2].EXE
3 :%desktop%ilex's stuffga... downloaded
ew folderPLAY_MP3.EXE
4 :%DESKTOP%PLAY_MP3.EXE
5 :%DOCUMENTS%MY MUSICITUNESITUNES MUSICHELLOOOOO SUNSHINNNNEEE.EXE
6 :%DOCUMENTS%PLAY_MP3.EXE
7 :%TEMP%AVMN4DA.EXE
8 :%TEMP%HMZHRWE.EXE
9 :%TEMP%1C8VIB8S.EXE
10:%TEMP%1R4247UM.EXE
11:%TEMP%30QC2LXS.EXE
12:%TEMP%40C8BA8P.EXE
13:%TEMP%4UVVGP5Y.EXE
14:%TEMP%A1BZQWXA.EXE
15:%TEMP%BUP47J5Y.EXE

Rechercher les processus en cours (avec procesxp par exemple) et le flinguer (en utilisant killbox si besoin est)

Reste a le retrouver et l'éliminer.