Spyware ? trojan ? - ca m'envoie vers d'autres sites

binkbink · Janvier 8, 2006, 11:14

Bonjour

Parfois lorsque dans les moteurs de recherches, je clique sur les liens que je veux, ca m’envoie non pas sur ces liens mais ca me redirige sur d’autres sites non voulues.
Hors quand j’actice “block http” de peer guardian ca me redirige vers le bon site.
Est-ce que ca vient d’un virus, d’un trojan, d’un spyware ?
J’ai pourtant faire ad aware et mon antivirus (ainsi que des antivirus en ligne).

Certes je pourrais laisser tjs peer guardian me dirait vous, mais bon peer guardian protège tellement que certains sites (non dangereux) sont bloqués par lui.

J’espère que vous pourrez m’aider, j’en ai marre quand je surfes d’etre redirigé vers des faux liens.

Merci d’avance

kyrnael_1_1 · Janvier 9, 2006, 8:45

télécharge hijackthis[/url] ( [url=http://www.clubic.com/telecharger-fiche17891-hijackthis.html]http://www.clubic.com/telecharger-fiche17891-hijackthis.html )
et colle le log ici

Installe Spybot ( http://www.clubic.com/telecharger-fiche109…ch-destroy.html ), mets-le à jour

puis

1- désactive la restauration système:
http://www.sosordi.net/Astuce/Astuce.29.html

2- redémarre en mode sans échec :
redémarre ton pc et après l’affichage du “BIOS”
appuye sur “F8”.
Dans le menu d’options avancées qui s’ouvre, sélectionne le mode sans échec

3- et fais un scan avec Spybot et ton antivirus.

beurk_1_1 · Janvier 9, 2006, 9:25

tu peux aussi installer l’antispyware de microsoft que tu trouves sur clubic, il marches très bien aussi (pourtant j’aime pas micro$oft)

binkbink · Janvier 9, 2006, 10:51

voila le log

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Qurb\QSP-3.0.311.7\QOELoader.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
F:\petite partie\emule\emule.exe
D:\Program Files\Winamp\winamp.exe
D:\Program Files\BitComet\BitComet.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\FlashGet\flashget.exe
I:\DOWN\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {119D08BD-5CAC-5AD0-6A07-3158B7571ACC} - bnui.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - l:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\…\Run: [NVMixerTray] “C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe”
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\…\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\…\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”
O4 - HKLM\…\Run: [QOELOADER] “C:\Program Files\Qurb\QSP-3.0.311.7\QOELoader.exe”
O4 - HKLM\…\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\…\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = L:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l’anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Télécharger avec FlashGet - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co…b?1118922279730
O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/fr/fr/tools/activex/fpu.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse…pdownloader.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.girafoto.fr/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\…\{1BF1D6B9-B290-4E3D-A17E-D6B8CD735306}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{29682AE4-CA80-44A8-99E1-2DAB1170BD4C}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{55A54C69-F53E-4BF8-B88A-E33908AD757F}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{9F962517-C0CF-47BC-A627-5B87E83344AD}: NameServer = 85.255.113.202 85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{F916F1B8-66E1-419E-83C0-2891E163AF6E}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{FABF138B-0C02-42B6-8EA3-C2EDE07962AC}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CS1\Services\Tcpip\…\{1BF1D6B9-B290-4E3D-A17E-D6B8CD735306}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CS2\Services\Tcpip\…\{1BF1D6B9-B290-4E3D-A17E-D6B8CD735306}: NameServer = 85.255.113.202,85.255.112.186
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

kyrnael_1_1 · Janvier 10, 2006, 8:33

Cette entrée est à virer :

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111…all/xscan53.cab

tu as d’autres entrées suspectes comme :

R3 - URLSearchHook: (no name) - {119D08BD-5CAC-5AD0-6A07-3158B7571ACC} - bnui.dll (file missing)

O4 - HKCU\…\Run: [desktop] C:\WINDOWS\system32\idemlog.exe

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.girafoto.fr/XUpload.ocx
O17 - HKLM\System\CCS\Services\Tcpip\…\{1BF1D6B9-B290-4E3D-A17E-D6B8CD735306}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{29682AE4-CA80-44A8-99E1-2DAB1170BD4C}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{55A54C69-F53E-4BF8-B88A-E33908AD757F}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{9F962517-C0CF-47BC-A627-5B87E83344AD}: NameServer = 85.255.113.202 85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{F916F1B8-66E1-419E-83C0-2891E163AF6E}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\…\{FABF138B-0C02-42B6-8EA3-C2EDE07962AC}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CS1\Services\Tcpip\…\{1BF1D6B9-B290-4E3D-A17E-D6B8CD735306}: NameServer = 85.255.113.202,85.255.112.186
O17 - HKLM\System\CS2\Services\Tcpip\…\{1BF1D6B9-B290-4E3D-A17E-D6B8CD735306}: NameServer = 85.255.113.202,85.255.112.186
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

as-tu scanné ton pc avec un ou plusieurs antispywares ?
Si spybot ne te débarrasse pas de tout ça, essaye avec la version d’essai de spysweeper :
http://www.webroot.com/fr/products/spyswee…641f89d80204b66

voila un tuto pour comprendre le log d’hijackthis : http://www.zebulon.fr/articles/HijackThis.php

et là , c’est pour avoir une évaluation de ton log :
http://www.hijackthis.de/fr

binkbink · Janvier 10, 2006, 11:59

Merci je vais tester le spysweeper (je ne connaissais pas) et j’ai viré le log que tu m’as demandé.

De plus le site qui évalue le log est tres utile.

Je pense que ca ira mieux, merci beaucoup

binkbink · Janvier 10, 2006, 12:15

la je suis en train de faire spysweeper il en trouve plusieurs. Il m’a donc l’air vraiment efficace.

par contre truc bizzare, il me trouve des trojans et au moment il les trouve mon antivirus s’active et me demande de le supprimer. Alors je clique sur oui.
Mais bon c’est bizzare qu’au scannage de mon pc mon antivirus ne l’ait pas trouvé, et qu’il faut que ca soit “spysweeper” qui l’aide à le trouver.

pour information j’ai avast antivirus.