[guils]

La recherche se fait bien, le problème est quand je clique sur le lien ça m'envoie sur des site de commanditaire de toute sorte. Si je tappe l'adresse directement sur la barre sa ne fonctionne pas.

Si je choisi un favori c'est correct.

merci de m'aider. 

[mickael44]

Salut, d'après les symptomes que tu me décris, tu dois être victime de détournement de page Web, peut-tu nous faire un scan Hijack This et nous poster le rapport ici

Voila pour commencer

@+ 

[guils]

Log supprimé - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe 

[guils]

Mon ordi ne démarre pas bien aussi, 3 fois sur 4 windows démarre mais je peux rien faire à part d'arrêter le pc par le power car je ne peut pas cliquer sur rien. 

[guils]

Je fait régulièrement des vérifications avec ad aware et spybot.

Spybot trouve toujours le même problème= Pipas.A 

[!aur3n7]

Bonsoir à tous.

Je te donne un petit utilitaire pour parer au plus urgent ensuite je pense que Mickael44 (que je salue au passage) s'occupera du reste

=> Télécharge FixWareout http://downloads.subratam.org/Fixwareout.exe

* Ferme toutes les applications en cours (un redémarrage de l'ordinateur sera nécessaire).
- Lance FixWareout.exe
* clique sur Next puis Install
* assure toi que la case [X] Run fixit est activée puis clique sur Finish.
-- Le fix va commencer, suis les messages à l'écran.
-- Il te sera demandé de redémarrer
-- Au redémarrage ton ordinateur paraitra plus long ce qui est normal
* Après avoir redémarré
-- Fais un copier coller du contenu du fichier C:\fixwareout\report.txt dans ta prochaine réponse.

Note : si le lien est indisponible essaies avec ceux-ci
-- http://swandog46.geekstogo.com/Fixwareout.exe
-- http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe


Bonne soirée 

[guils]

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\hjqmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD34B4304DDC-E6F9-C5A4-D655-7F8FFDB0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmqjh.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSFKF.EXE 51 752 2006-11-20
C:\WINDOWS\SYSTEM32\DMQJH.EXE 60 445 2002-08-29

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.




Log supprimé - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe 

[!aur3n7]

Bonjour,

Vu que fixwareout demande de le faire on va en profiter

=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre


=> Rend toi sur ce site http://virusscan.jotti.org/
* Clique en haut à droite sur "Parcourir"
-- Choisis le fichier :

C:\WINDOWS\SYSTEM32\DMQJH.EXE

* Clique sur sur submit
* Après le scan le résultat s'affichera en bas, Fais en un copier / coller dans ta prochaine réponse

Note :
Le scan peut, suivant la charge du serveur, prendre un peu de temps; Sois patient.

Recommence la même opération avec ce fichier

C:\WINDOWS\SYSTEM32\CSFKF.EXE

Post nous ces résultats

a+ 

[guils]

Je n'ai pas pu faire -- En haut Appliquer à tous les dossiers.



File: dmqjh.exe
Status: INFECTED/MALWARE
MD5 7b9f94d3a8a128d7f9e888d7b6884327
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found Trojan.DnsChange
F-Prot Antivirus Found Possibly a new variant of W32/new-malware!Maximus
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/Small.FB
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found Malware.Agent.11 (probable variant)


File: csfkf.exe
Status: INFECTED/MALWARE
MD5 1a89f2375addd141f6105297a346b787
Packers detected: -
Scanner results
AntiVir Found Trojan/Agent.COJ
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found PSW.Agent.DHW
BitDefender Found Trojan.Downloader.Mohbpork.A
ClamAV Found nothing
Dr.Web Found Trojan.DnsChange
F-Prot Antivirus Found Possibly a new variant of W32/new-malware!Maximus
F-Secure Anti-Virus Found nothing
Fortinet Found Agent.BC!tr.spy
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/Small.FB
Norman Virus Control Found W32/Agent.ANOD
VirusBuster Found nothing
VBA32 Found Trojan-Downloader.Agent.32 (probable variant)


merci beaucoup de m'aider  

[!aur3n7]

Bonsoir,

On va donc terminer le nettoyage et par la même inclure un scan avec AVG Antispyware qui sera tout aussi bénéfique.



- Une partie de cette procédure s'effectuera en mode sans échec. Je te recommande d'imprimer ce qui suit ou en faire un copier coller dans un fichier texte que tu enregistreras de façon à le retrouver facilement y compris en mode sans échec (Le bureau par exemple)
- J'attire également ton attention sur l'importance de communiquer les résultats obtenus même si les symptômes ont disparus.
* l'absence de symptômes ne confirme en rien une absence d'infection.

Bon assez de blabla et attaquons ce nettoyage !


=> Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec


=> Télécharge jv16-powertools (Jouni Vuorio) http://telechargement.zebulon.fr/201-jv16-powertools.html
note : Cette version est la dernière qui a été distribuée gratuitement. Une version plus récente existe mais est payante après une période d'essai de 30 jours.
- Voici un tutoriel si besoin http://www.zebulon.fr/articles/base-de-registre-3.php


=> Télécharge AVG AntiSpyware .
http://www.ewido.net/en/download/
-- Installe le
* Lance AVG AntiSpyware
-- menu Mises à jour
---- Clique sur le bouton Commencer la mise à jour
-- menu analyse onglet paramètres
---- dans la catégorie Rapports coche les cases
[X] Générer un rapport après chaque analyse
[X] Uniquement en cas de menace
---- Dans la catégorie Comment réagir ? sélectionne Quarantaine
* Quitte AVG anti-spyware


Note :
AVG anti-spyware est en version d'essai de 30 jours. Il sera toujours possible de l'utiliser après cette période mais il ne disposera plus de la protection résidente ni des mises a jour automatiques. Il faudra donc lancer manuellement la mise à jour et le scan.
- Si besoin un tutoriel http://www.malekal.com/tutorial_AVG_AntiSpyware.html


=> Redémarre ton PC en mode sans échec
-- Ce mode permet d'augmenter les chances de succès des manipulations qui vont suivre.


=> Lance Hijackthis
-- Clique sur Do a system scan only
---- Coche les cases correspondant à ces lignes

O17 - HKLM\System\CCS\Services\Tcpip\..\{6ADB1646-55AA-464B-88F4-FDC0D99CF78B}: NameServer = 85.255.115.6,85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A1B80AE-49DF-4E13-9AAC-DB866A2E86A0}: NameServer = 85.255.115.6,85.255.112.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.6 85.255.112.20

---- Clique sur Fix cheked
-- Quitte Hijackthis


=> Recherche et supprime ce(s) fichiers(s)

[guils]

Salut,

Premièrement la mise a jour n’a pas fonctionné avec AVG AntiSpyware.

Le reste a bien été.

Tout semble bien fonctionné à première vue.


Voici les scan :

---------------------------------------------------------
Log supprimé


Log supprimé - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe 

[!aur3n7]

Bonjour guils,

Plus de trace d'infection dans le rapport Hijackthis. A priori AVG a réussi à nettoyer ce qu'il a trouvé donc je ne pense pas qu'il y ai matière à inquietude

En prime un peu de lecture éducative ciblant particulièrement l'aspect prévention
Je constate d'ailleurs que la partie mise à jour te concerne directement .


Ces quelques lignes traiteront de 2 faces distinctes mais tout aussi importantes
Prévention : Ensemble des mesures et restrictions adopté par l'utilisateur lui même
Protection : Ensemble des moyens de restrictions, de filtrage ou d'alerte ne nécessitant aucune intervention de l'utilisateur.

Pour différencier les deux je dirais que le fait d'avoir un Antivirus installé constitue un moyen de protection, la mesure de Prévention consiste à scanner systématiquement tout fichier téléchargé (pièce jointe, FTP etc) avec ce même antivirus (sous entendu à jour)

Pour approfondir le sujet j'ajouterais quelques liens vers des articles / tutoriels à la fin de ces quelques conseils.


La prévention :

Les mesures de prévention constituent le premier rempart face à une infection. Cette liste de mesure est très loin d'être exhaustive:

* Mise à jour
- Il est inutile et illusoire de dépenser toute son énergie à vider la cale d'un bateau sur le point de couler si on ne fait rien pour colmater la brèche.

-- Des failles de sécurité sont régulièrement découvertes dans le système d'exploitation. Ces failles sont des portes d'accès pour une éventuelle infection qu'il convient donc de fermer, verrouiller et jeter la clé le plus loin possible. Ce sont les correctifs et mises à jour critiques qui assurent ce verrouillage il est donc très important de les appliquer.
Important : Windows ne détient pas le monopole des failles de sécurité qui concernent bien tous les programmes. Même un antivirus peut faire l'objet d'un correctif.

-- De nos jours la plupart des programmes offrent une fonction de mise à jour automatique ce qui simplifie au maximum le suivi et l'application des divers correctifs.


* Import de fichier
- Tout fichier, quelque soit sa provenance, est considéré comme suspect.

-- Une grande partie des infections rencontrées sur les différents forums sont initiées de manière tout à fait anodine et généralement commence par le téléchargement d'un programme, utilitaire ou fichier téléchargé.
Il est donc très important de scanner tout fichier et à plus forte raison lorsqu'il sagit d'un programme nécessitant une installation. Le nombre de codec piégés par exemple est impressionnant et pourtant la plus grande partie de ces infections auraient pu être évitée par un simple scan avant l'installation à l'aide d'un antivirus à jour.
-- Le fait que votre meilleur ami vous envoi par mail un fichier en pièce jointe vous certifiant qu'il n'a pas eu de problème avec ne constitue pas un gage de fiabilité pour autant. Un système ne démontrant aucun symptômes ne certifie pas qu'il soit totalement propre d'autant plus que beaucoup d'utilisateur ne s'inquiètent pas d'une invasion de publicité croyant que c'est juste un "inconvénient" d'internet ors de nos jours l'insistance de publicité est souvent un symptôme d'infection en soi.
-- Abordons maintenant les sujets qui fachent à savoir les cracks et les réseaux P2P.
Bien qu'il soit important de différencier les deux car le P2P ne sert pas seulement à télécharger des fichiers illicites il n'en demeure pas moins que le principe même d'échange entre deux personnes qui ne se connaissent pas et dont il est presque impossible de savoir à qui on a affaire constitue un risque d'infection y compris pour les logiciels ou fichiers licites.
Au dela même des fichiers pouvant y être téléchargés le P2P nécessite une connection permanente et donc laisse une porte ouverte à une éventuelle intrusion.
Je n'irais pas plus loin dans ce domaine car le but est de vous faire prendre conscience des risques et en aucun cas vous faire la morale.


* Installation de programme

-- L'installation d'un programme gratuit est très souvent accompagnée d'une licence ou autre CGU (Conditions Générales d'Utilisation) que l'utilisateur accepte ors, comme tout contrat, il est très important de comprendre et donc savoir à quoi vous vous êtes engagé en acceptant.

-- Les programmes incluant un module publicitaire sont courant (Kasaa, MSN+..) et peuvent apparaitre sous différentes formes (appelé "logiciel sponsors" par MSN+). Certains programmes vous permettent de choisir et donc accepter ou non l'installation de ce module publicitaire (MSN+) mais ce n'est qu'en lisant et en comprenant les CGU que vous le saurez.

Attention : Certains éditeurs interdisent l'utilisation du logiciel si le module publicitaire est désinstallé (Kasaa). La suppression du module entraine donc obligatoirement le renoncement à l'utilisation de ce logiciel.


* Les E-mails

-- Les mails constituent le point de départ de beaucoup d'attaques (Page piégée, Phishing, hoax etc.) et doivent donc être soumis à une vigilance particulière
Il existe des moyens plus ou moins efficaces pour lutter contre ces attaques mais qui ne peuvent suffire sans une constante attention de l'utilisateur lui même.
De manière générale
---- Tout message en anglais et qui ne serait pas sollicité est d'office considéré comme nuisible.
---- Tout message alarmant provenant d'un organisme financier ou impliquant de près ou de loin son porte monnaie (banque, site d'achat en ligne...) nécessite une vérification
---- On ne transmet JAMAIS par e-mail ses identifiant et mots de passe même si le message d'origine vous semble légitime
---- Si vous cliquez sur un lien devant vous amener sur le site de votre banque, d'Ebay ou autre controlez toujours l'adresse dans la barre.
A titre d'exemple : Banquedefrance.com, Banquedefrance.net, bamquedefrance.com ou encore Bnquedefrance.com sont toutes des adresses totalement différentes qui vous conduirait vers des sites différents même si l'apparence est trompeuse. (Phishing)
Préférez le lien figurant dans vos favoris qui est certainement plus sur !
---- Ne faîtes pas suivre des messages bidons vous disant d'envoyer le texte à x de vos contacts sous peine de voir votre maison prendre feu ou votre compte sur MSN supprimé. (Hoax)
---- Ne mettez jamais votre adresse E-mails en clair sur les forums : des robots auraient vite fait de la récupérer pour vous inonder de Spam.
---- Paramétrez votre client de messagerie pour afficher les messages au format texte. C'est nettement moins joli qu'un beau message en HTML mais beaucoup plus sur.
etc etc etc.


* La navigation

-- La manière de naviguer sur internet revet une importance primordiale il faut donc prendre quelques précautions

---- Utilisez de préférence un navigateur réputé sécurisé tel que Firefox par exemple
---- Evitez les sites XXX, Warez, Cracks etc qui sont une importante source d'infection.
---- Apprenez à utiliser les fonctionnalités de votre navigateur et donc le paramétrer correctement (Gestion des cookies, ActivX etc)


* Sauvegarde
- Par définition la sécurité informatique englobe de manière générale toute action pouvant prévenir la perte de données (accidentèle ou non) la perte de confidentialité ou d'intégrité du système.
La prévention du risque "panne" aussi étrange que cela puisse paraitre est une mesure de sécurité informatique qui se traduira par exemple par la mise en place d'un onduleur mais aussi et surtout par l'action de sauvegarde.
-- Une sauvegarde, pour être exploitable, devrait répondre à plusieurs exigences par exemple :
---- Support adapté (disque dur externe, CD, clé USB)
---- Une sauvegarde avant d'être qualifiée comme tel doit bien évidement avoir passé avec succès le test d'un antivirus à jour.
---- Assurez vous toujours que votre sauvegarde soit complète et réutilisable.
- Cette sauvegarde pourra inclure tout ce que bon vous semblera commençant par vos fichiers personnels mais aussi vos favoris internet, la configuration de votre client de messagerie etc.



La protection :

- Les mesures de prévention ci dessus restent soumises à la faille la plus critique de toute c'est à dire l'utilisateur qui de part son jugement, son attention du moment ou ses connaissances tout simplement ne pourra éviter l'infection.
Voila pourquoi les mesures et outils de protection sont un atout devenu incontournable.

- Les mesures de protection passent par l'utilisation de moyens de veille.
Ces moyens sont
-- Antivirus
-- Parfeu ou Firewall
-- anti malware/spyware
-- Barre ou plug-in anti phishing
Ces moyens de protection n'ont d'intérêt que si ils sont maintenus à jour et correctement configurés.
Il est inutile de chercher à avoir le meilleur par feu si il n'est pas correctement configuré.

- D'autre moyens de protection un peu plus passifs peuvent être efficacement employés ou mis en oeuvre comme par exemple
-- Utilisation du fichier Hosts
-- Utilisation des zones de restrictions / confiance d'Internet Explorer




Conclusion :

- Vous êtes et demeurez le premier acteur dans la chaine de la sécurité informatique et ce sont bien vos attitudes face à une situation donnée ou encore vos habitudes de navigation qui détermineront votre vulnérabilité. Cela passe donc forcement et obligatoirement par une formation pour vous mais aussi pour toutes les personnes devant utiliser votre ordinateur.
Connaitre les dangers peut paraitre long, démotivant certains trouverons même cela totalement inutile. Peut être.... Jusqu'au jour ou !

- Au dela même de votre tranquillité n'oubliez pas que pour se propager certaines infections doivent commencer par infecter un système pour ensuite se répandre au travers des contacts du carnet d'adresse par exemple
- Ce même raisonnement en sens inverse devrait vous inciter à promulguer la bonne parole car rien ne certifie que l'un de vos contact ne soit pas infecté et que cette infection ne chercherait pas à se répandre via ses contact et donc chercherait à vous atteindre.


La sécurité informatique : Reconnue d'utilité publique par... Moi



Quelques liens


Titre : Introduction à la sécurité informatique
[*] Auteur : CCM
[*] site web : http://www.commentcamarche.net
[*] lien direct : http://www.commentcamarche.net/secu/secuintro.php3

Titre : Attaques et arnaques
[*] Auteur : CCM
[*] site web : http://www.commentcamarche.net
[*] lien direct : http://www.commentcamarche.net/attaques/attaques.php3

Titre : Plein de conseils pour commencer
[*] lien direct : http://www.protegetonordi.com/

Titre : Le guide de la securité
[*] lien direct : http://go.msn.fr/10-channel/80-security/protection/default.asp

Titre : Etapes simples pour éviter d'être la victime de phishing
[*] Auteur :
[*] site web : http://www.sophos.fr
[*] lien direct : http://www.sophos.fr/security/best-practice/phishing.html

Titre : Phishing : les moyens de lutter
[*] Auteur : Yann
[*] site web : http://www.zebulon.fr
[*] lien direct : http://www.zebulon.fr/articles/phishing-1.php

Titre : Réduction de l'exposition : étapes simples pour combattre le spam
[*] Auteur :
[*] site web : http://www.sophos.fr
[*] lien direct : http://www.sophos.fr/security/best-practice/spam.html

Titre : Les méthodes anti-spam
[*] Auteur : Kevin Gallot
[*] site web : http://www.virustraq.com
[*] lien direct : http://www.virustraq.com/ressource/dossier/10000/

Titre : Améliorer votre sécurité grâce aux restrictions
[*] Auteur : tesgaz
[*] site web : http://speedweb1.free.fr
[*] lien direct : http://speedweb1.free.fr/frames2.php?page=securite6

Titre : Configurer Internet Explorer
[*] Auteur : vulgarisation informatique
[*] site web : http://www.vulgarisation-informatique.com
[*] lien direct : http://www.vulgarisation-informatique.com/configurer-internet-explorer .php

Titre : Le fichier HOSTS et la sécurité
[*] Auteur : tesgaz
[*] site web : http://speedweb1.free.fr
[*] lien direct : http://speedweb1.free.fr/frames2.php?page=securite10

Titre : Firefox
[*] Auteur : Falkra
[*] site web : http://www.libellules.ch
[*] lien direct : http://www.libellules.ch/phpBB2/viewtopic.php?t=21020

Bonne lecture

a+ 

[guils]

Merci beaucoup pour ton aide et le temps que tu as pris pour m'aider, je vais me donner comme devoir de lire tout ça pour ne pas que les problèmes reviennent.