pages FF détourner
Hors ligneWolfenii Le 23/07/2009 à 03:41 Profil de Wolfenii Configuration de Wolfenii

salut,

Depuis la derniere maj de chez Mozilla, certaines de mes recherche sont détourner et je tombe irregulierement sur ce genre de pages... http://c13.cdn.net/ad.php?size=300x250&bid=4 ou autre conneries du meme genre !!
j ai passer un coup de balai avec deux trois betises, passer en mse, utilisé smitfraudFix, hijackthis et autre mais rien n y fait !!
Doit je tout simplement faire une desinstall de FF ou ai je lespoir de retrouver des jours meilleurs avant que mon fai m envoi un mail pour me prevenir que j ai fais du telechargement illegale !!!! ?

Merci du coup de main d'avance ;)

arf !! j'vous aurais bien faire un screenshot de l'erreur 403 mais ca veut plus...
ca part en sucette là...
--
[couleur=#006699]L'homme est né libre, mais passe sont temps à restreindre sa liberté[/couleur]!
Hors ligneWolfenii Le 27/07/2009 à 17:48 Profil de Wolfenii Configuration de Wolfenii



Cdt.
--
[couleur=#006699]L'homme est né libre, mais passe sont temps à restreindre sa liberté[/couleur]!
Hors ligneMister_masque Le 27/07/2009 à 18:49 Profil de Mister_masque Configuration de Mister_masque

Salut,

- Télécharger HijackThis de Merijn sur ton bureau.
- Clique sur Install pour exécuter HijackThis

Si tu es sous Vista : Clique droit >> Exécuter en tant qu'administrateur

- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sous forme de Bloc-Note

    Colle le rapport ici, pour cela :
  • Menu Édition / Sélectionner Tout
  • Menu Édition / copier
  • Ici dans un nouveau message : clic droit / coller


Aide: N'hésite pas à consulter l'aide : Aide HJT si tu n'y arrives pas.

@+

--
Hors ligneWolfenii Le 27/07/2009 à 22:19 Profil de Wolfenii Configuration de Wolfenii

Salut Mister_masque et merci de répondre :)

le problème c'est que je ne peux pas lancer HijackThis !! j'ai récup le fichier par ton lien mais le lanceur reste inerte !! j'ai donc été voir un autre lien ( 01.net ) mais idem.

Par contre j'ai rechercher a mettre à jour smitfraudfix. Suite à cela, j'ai décidé de faire le point 5. Recherche et suppression détournement DNS.
Il m'a effectivement prévenu d'un détournement dns dont je te mets le rapport :

SmitFraudFix v2.423

Rapport fait à 21:46:22,95, 27/07/2009
Executé à partir de H:\logiciels\smitfraud\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{856160E3-1378-4F29-8BA4-BF11DD31F505}: DhcpNameServer=89.2.0.1 192.168.0.1

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 89.2.0.1
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{856160E3-1378-4F29-8BA4-BF11DD31F505}: DhcpNameServer=89.2.0.1 192.168.0.1

Après cela, j'ai été voir a qui appartenait ce service sur frameip et a ma grande surprise cela appartient à :

route: 89.2.0.0/16
descr: NUMERICABLE
origin: AS21502
mnt-by: NUMERICABLE-MNT
source: RIPE # Filtered

pourtant NC est :DNS Primaire Numéricable : 81.220.255.4
                         Dns Secondaire Numéricable : 80.236.0.68

si tu veux le rapport entier !! ? car pour moi cela devient un poil trop complexe...!!
Surtout que sur la toile, cette IP correspondrait à un cheval de troie !!

ha vi j'oubliais !! même en MSE impossible de lancer  HijackThis !!

Que penses tu de l'infos sur frameIp ? dans le cas ou cela n'a rien a voir, quelle manip j'ai pour lancer  HijackThis ?

Cdt.
--
[couleur=#006699]L'homme est né libre, mais passe sont temps à restreindre sa liberté[/couleur]!
Hors ligneMister_masque Le 28/07/2009 à 19:31 Profil de Mister_masque Configuration de Mister_masque

Salut,

Ton DNS est normal, il correspond simplement à celui de ton FAI : Numéricable (ou affilé)

org:            ORG-NNS2-RIPE
netname:        FR-NCNUMERICABLE-20060516
descr:          NC Numericable S.A.
country:        FR


On va faire autrement que par HijackThis, alors.



Désactive ton antivirus et autres logiciels de protection puis :

Merci de bien lire et suivre attentivement ce qui est écrit car tu dois appuyer sur une touche lors du scan.. si tu ne le fais pas le rapport ne sera pas entier et tu devras recommencer donc :

- Télécharge sur ton bureau DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- !!! Ne double-clic pas dessus !!! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Si une fenêtre de licences SigCheck s'ouvre... accepte, si tu as un parefeu qui demande si SigCheck tente de se connecter à internet, accepte.
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes.
- Lorsque l'analyse sera terminé... Il peut t'être demandé d'envoyer un fichier contenant des fichiers infectieux.
Envoie le fichier (si ça ne fonctionne pas.. continue la procédure) puis retourne sur la fenêtre noire, suis les instructions en appuyant sur une touche pour obtenir le rapport dans le bloc-note

Copie colle le rapport.
Canned de chez Malekal.

@+
--
Hors ligneWolfenii Le 30/07/2009 à 13:03 Profil de Wolfenii Configuration de Wolfenii

Salut,

Désolé du retard !! mais j'ai bien tenté d'utiliser DiagHelp.zip mais lors du scanne, il n'as pas acces au sys32 ainsi qu'a certaines partie de (C:), même en MSE rien y fait !!
je n'ai donc pas de rapport fiable malgré qu'il m'ouvre bien la fenetre pour effectuer l'analyse des fichiers...
En ce qui concerne l'info sur le dns, je voudrais bien que tu m'éclairer sur le fait de dire que celui-ci appartient a NC car de mon coté il me semble que
Numéricable détient :

DNS Primaire Numéricable : 81.220.255.4
Dns Secondaire Numéricable : 80.236.0.68

Si tu peux préciser, cela serait sympa...

Cdt.
--
[couleur=#006699]L'homme est né libre, mais passe sont temps à restreindre sa liberté[/couleur]!
Hors ligneMister_masque Le 30/07/2009 à 14:23 Profil de Mister_masque Configuration de Mister_masque

Salut,

L'adresse IP 89.2.0.0/16 est bien affilé à Numéricable.
J'ai fait un test, et il semblerait que le DNS ne fonctionne pas avec cette adresse ...

Essaye de mettre OpenDNS : OpenDNS.

Ensuite, j'aimerais essayé un outils puissant car je soupçonne toujours une infection et sans rapport solide, je suis aveugle.
Tu es bien sous XP ? Avec la session administrateur ? (Comme indiqué sur ta config)

Si oui, alors DiagHelp rencontre un problème ...

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
--
Hors ligneWolfenii Le 30/07/2009 à 14:58 Profil de Wolfenii Configuration de Wolfenii

ok Mister_masque,


je viens de lancer combofix.exe mais idem !! pas de lancement... tout mes process de sécurité coupé (Commodo, nod32) !! rien.. même le MSE ne fonctionne plus.

Par contre à chaque démarrage, j'ai l'impression d'avoir des dll qui viennent mettre le dawa mais j'ai pas pris le temps de voir d'ou est ce qu'elles peuvent venir !! de plus il est clair que ds mon sys32, j'ai un paquet de fichiers qui n'ont rien a y faire !! du genre :

2f59zackdoor14389.exe [ creer le 23/10/2009] et je me trompe pas dans les date ^^
5c329teal252z.exe
1b9athr5at13783z.cpl
59b8backzoor1535.ocx

...a raison d'une bonne cinquantaine dans le genre !!
je sais plus quoi en faire !! loooooooooooooool


Merci a toi.
--
[couleur=#006699]L'homme est né libre, mais passe sont temps à restreindre sa liberté[/couleur]!
Hors ligneMister_masque Le 30/07/2009 à 19:25 Profil de Mister_masque Configuration de Mister_masque

Tu as les symptômes d'une infection Bagle ...

Télécharge FindyKill

  • Exécute FindyKill et installe le.
  • Clique droit sur Findy Kill > Exécuter en tant qu'administrateur (sous Vista)
  • Sélectionne l'option 1 (recherche)



> Poste le rapport <

Sinon, fais une capture d'écran des processus dans le gestionnaire de taches ... Sa m'éclairera déjà un peu.

--
Hors ligneWolfenii Le 30/07/2009 à 20:59 Profil de Wolfenii Configuration de Wolfenii

je t'envois le rapport de findy kill :


############################## | FindyKill V5.005 |

# User : Administrateur (Administrateurs) # PERN
# Update on 27/07/09 by Chiquitine29
# Start at: 20:37:14 | 30/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

#                 Intel(R) Celeron(R) CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition 8.0.1.18 [ Enabled | (!) Outdated ]
# AV : ESET NOD32 Antivirus 3.0 3.0 [ Enabled | Updated ]
# FW : COMODO Firewall Pro[ Enabled ]3.0

# A:\ # Disque amovible
# C:\ # Disque fixe local # 24,41 Go (4,46 Go free) # NTFS
# D:\ # Disque fixe local # 441,34 Go (387,02 Go free) [stockage] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
# H:\ # Disque fixe local # 114,49 Go (27,67 Go free) # NTFS
# I:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Documents and Settings\Administrateur\Mes documents\logiciels_de_base\SystemExplorer.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Présent ! C:\autorun.inf  
Présent ! D:\autorun.inf  
Présent ! H:\autorun.inf  

################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Administrateur\Application Data |


################## | C:\Documents and Settings\Administrateur\Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride" 0x1  
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride" 0x1  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.005 ! |
--
[couleur=#006699]L'homme est né libre, mais passe sont temps à restreindre sa liberté[/couleur]!
Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !
Vulgarisation-informatique.com
Cours en informatique & tutoriels