Pop-ups, rundll à 100%

par **Ajrarn** » 07 Août 2004 23:02

Bonjour à tous,

Je suis un petit nouveau et je voudrai un peu d'aide car beaucoup d'entre vous ont l'air calé à souhait...

Alors voilà, j'ai des petits problèmes depuis hier soir. Je m'explique :

Je me détendais tranquillement en sirotant un coca devant mon PC quand le drame arrive...

Des trucs se lancent dans tous les sens (pages webs, logiciels) alors que j'ai rien demandé... (comme souvent me direz vous...).

Je me retrouve avec un super lien pour un casino, du sport, de la musique et ô joie intense, un logiciel qui se lance toutes les 4 secondes pour me dire mon horoscope.

Je me lance en mode "dégagage de ce $%#&!" et je supprime les logiciels que je peux dans Ajout/Suppression de Programmes, puis, je passe un coup de AdAware, suivie d'un coup de SpyBot dans la $%#&!, je renie mon Norton pour récupérer Panda (après lecture de quelques un de vos post sur ce forum), je repère les saletés qui ont été modifié dans Program Files, Fichiers Communs et Windows et je fais le ménage à la main de ce qui m'apparait comme suspect, je jette un oeil dans msconfig pour matter ce qui se lance au démarrage et désactiver les trucs relous (tout en les repérant pour les dégager)... et... bah j'suis toujours $%#&!...
Qu'ai je omis?

Pour être plus précis :

- J'ai souvent rundll32 qui me pompe toute mon UC
- J'ai des fenêtres webs style : [url=http:///]http://adv1.eblocs.com/spyblocs/adv/dmedi_002.html[/url] qui se lance toutes les minutes (évitez de cliquer, je voudrais pas que vous soyez $%#&!! ) mais je n'arrive pas à repérer le process qui les lance.

Je précise que j'ai un antivirus et tous mes logs à jour et que je suis derrière un modem routeur Netgear avec firewall intégré...

Merci d'avance @ll et si vous pouviez me dire également quel est le panel de logiciels dont il faut se prémunir pour être parer à toutes éventualités, ce serait sympa, je me coucherai moins con ce soir!

Je vous envoie le log de Hijackthis, si des fois ça pouvait vous parler un peu...
A ce moment, Rundll32.exe utlisait 98% de mon UC.

Logfile of HijackThis v1.98.1
Scan saved at 22:40:30, on 07/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
K:\Source Logiciel\hjt\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [LogonUIBootRandomizer] "C:\LogonUIBootRandomizer\RandomScreens.exe" /RandomizeLogon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\Ers_src.htm
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://abcdelasecurite.free.fr/scan/Msi ... fender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C95232A-970D-4074-A1EF-42F3D8210D3A}: NameServer = 192.168.0.1

J'ai vérifié un par un les autres process que je ne connaissais pas de nom sur le net, tout à l'air sain...

Ca sent le format, j'attend le bon samaritain...

par **Franck78** » 08 Août 2004 00:12

Visites ce site, en général il donne de bonne méthode d'éradication de certaines véroles ! Le plus dur est de l'identifier correctement. Peut être un coup de spybot s&d.

http://assiste.free.fr

par **wasa** » 08 Août 2004 00:23

Je ne suis pas un pro du windaup . Mais voilà mon avis
Après il faut apprendre aussi par toi même ptit scarbé , la sécurité c'est un travail de surveillence regulieré
Et chaque jours tu apprends un ptit quelsques choses de nouveau .
Même les Pro se fond avoir . exemple l'année dernier le serveur Debian piraté .

Pour recuperer ta becan dans de bonne condition je te conseil un format C:

Mais les précautions de base sont les suivantes :
_ refais ton install a neuf avec un mot de PASS ADMISTRATEUR FORT
_ quand tu va sur le NET met toi en simple USER avec peu de droit de peference ( meme si sous windows tous les comptes on acces au disk dure )
_ arret d'utilisé INTERNET EXPLORER , tous les jours il y a des bugs , et même MS n'arrive pas a faire la correction des bug assez rapidement .
_ ensuite si tu veux utiliser un firewalll/antivirus essais de comprendre comment fonctionne c'est outils
avant d'appuyer sur tous les boutons , et dire " ha sa y est je suis proteger j'ai NORTON FIREWALL/ANTIVIRUS )

Dans ce cas la même le meilleurs outils du monde est pourri , car tu ne sais pas l'utilisé correctement
Bon j arret là la critique pour êtres constructif :

tu as besoin d'un peu de autoformation sur la securité avec les firewalls
je te conseil ce site sa conserne linux mais les premiers chapitres sont aussi instructif pour windows et autres donc voilà http://olivieraj.free.fr/fr/linux/information/firewall/

et pour l'antivirus pas de miracle , seul une mise a jours quotidien de la base de l antivirus pourra te protégé un ptit peu et encore .

j espere que cela t aura aidé un peu , même si je suis un peu radical dans ce dommaine

A+ et bonne nuit

par **cain** » 08 Août 2004 02:00

Ajrarn a écrit:(évitez de cliquer, je voudrais pas que vous soyez $%#&!! )

url éditée donc plus de souci

Cordialement,

Cain

par **Ajrarn** » 09 Août 2004 12:10

wasa a écrit:
Pour recuperer ta becan dans de bonne condition je te conseil un format C:

--> Tu me dis d'apprendre et après de formater? Le meilleur moyen d'apprendre n'est il pas d'essayer de situer son erreur et de la réparer? Si je formatte et que j'ai le même problème dans 2 mois, je serai toujours aussi $%#&! parce que je ne saurai pas être efficace à nouveau....

Mais les précautions de base sont les suivantes :
_ refais ton install a neuf avec un mot de PASS ADMISTRATEUR FORT
_ quand tu va sur le NET met toi en simple USER avec peu de droit de peference ( meme si sous windows tous les comptes on acces au disk dure )
_ arret d'utilisé INTERNET EXPLORER , tous les jours il y a des bugs , et même MS n'arrive pas a faire la correction des bug assez rapidement .

--> Ca, c'est bien vrai et tu as raison, je vais passer sur Mozilla.

_ ensuite si tu veux utiliser un firewalll/antivirus essais de comprendre comment fonctionne c'est outils
avant d'appuyer sur tous les boutons , et dire " ha sa y est je suis proteger j'ai NORTON FIREWALL/ANTIVIRUS )

--> Je connais "assez" bien le fonctionnement de ce soutils même si je suis très loin d'être expert. Maintenant en ce qui concerne le firewall, il est intégré à mon routeur et je l'ai bien configuré. Le problème ne vient pas de là.

Dans ce cas la même le meilleurs outils du monde est pourri , car tu ne sais pas l'utilisé correctement

--> en parlant d'outils, je pensais aux logiciels les plus adaptés pour essayer de détecter la plus grande palette d'erreurs possibles. J'utilise actuellement AdAware, SpyBot et HiJackIt, je voulais connaître vos avis sur d'autres logiciels éventuels que je ne connaitrai pas.

j espere que cela t aura aidé un peu , même si je suis un peu radical dans ce dommaine

--> Radical? Tu trouves?

A+ et bonne nuit

Sinon, merci à Cain pour son intervention même si entre nous, je ne pense pas qu'il y aurait eu de soucis étant donné que le page étant comme par hasard une promotion pour un logiciel révolutionnaire contre les attaques...

par **Tahor** » 10 Août 2004 17:56

Un petit coup d'anti virus et un petit coup d'anti spyware !!! Ils devraient déja faire du ménage....
il n'y a pas 36 endroits ou on démarre des trucs en auto sous windows....

par **maraudeur** » 10 Août 2004 22:44

Bonjour,

essaie de relancer ta machine. Les saletés devraient se réinstaller (si, si, ...) et après, comme proposé juste avant un 'tit coup de Adaware. Il devrait te dire ce qui te pourrit ta machine. Si cela ne donne rien, le formatage est sans doute ce qui te fera perdre le moins de temps. Avant de reformater, fais une sauvegarde de tes données et config (connexion internet, jeux, mots de passe de forums, ...). En attendant de reformater, pour naviguer sans être ennuyé par des connexions intempestives je te propose d'éditer le fichier "hosts" (sous xp je sais pas mais sous w2k dans winnt\system32\drivers\etc) et de rendre caduqe les connexions inoportunes, en ajoutant des lignes du style :
127.0.0.1 adv1.eblocs.com
127.0.0.1 "www.microsoft.com" (oups désolé, 'pas pu m'en empêcher, mais sans les guillemets)

Cela devrait te donner un peu d'air.
"C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE" : bizarre. Vérifie qu'il s'agit bien du ghost de Norton (et puis en as-tu réellement besoin en permanence ?).

Ta machine a sans doute été plombée par du code javascript embarqué dans les pages Web de certains sites. IE est très (trop) sensible à cela. D'une manière plus générale fais attention à tous les langages de script. Quelques conseils, dont certains ont déjà été donnés :
- pas de navigation en administrateur ;
- j'utilise firefox (win2k) ;
- pas 2 anti-virus en fonction en même temps (un en tâche de fond et l'autre "à la demande") ;
- essaye un site du style "www.liutilities.com"

Bonne chance

par **Keogh** » 10 Sep 2004 14:54

A ce que j'en sais le rundll32.exe dans les process c'est le process qui lance les drivers de ta carte graphique (nvidia je suppose) et que tu peux terminer des que tu veux ca ne change rien mais en effet je note des lags sous counter strike quand il tourne alors qu'un fois le processus killé tout remarche convenablement

comme on le voit ci dessous

HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup