Bonjour,
 
J'ai été surpris ce matin de voir des pop-up pour acheter un logiciel d'antivirus mais celui-ci s'affiche toutes les 5 minutes et va vers un site en anglais pour acheter l'antivirus... mais je ne suis pas dupe il s'agit bien d'un trojan ou dans le style. Pourtant j'ai kaspersky d'installer la version 7 mais je l'avais désactivé hier soir et j'avais oublié de le réactiver et mais je suis quand même allez surfer sur le net. Après avoir mangé ce midi bon bah je vois une 15ene de pop-up normal... mais mon fond d'écran à changé ! =(, c'est une image en forme de nucléaire tout en rouge avec marquer en dessous : your privacy is in danger ! download privacy software now. Et lorsque je clique desus ça me mène dirrectement sur leur page pour l'antivirus. Enfin bon j'ai jamais été autant attaqué aussi sévèrement par un hacker. SI vous voulez voir de quoi à l'air la page et ou va le lien telecharger ce fichier .rar que je vous donne : http://rapidshare.com/files/520179 [...] r.rar.html attention je ne garanti en aucun cas si il y a un virus dans ce dossier par contre ça serais peut-être utile d'en informer les "vrai" antivirus pour que d'autres personnes n'est pas le même problème que moi. sinon voilà ce que donne les pop-up :
sinon il y a iexplore qui est utiliser à 100 % par le processeur ça c'est très énervant...

Passe les habituels SpyBot,Ad Aware,CCleaner,SpySweeper,AntiTrojan et fournit nous le log de ce que te donne un rapport de Hijacktis voir qu'on puisse t'aider au mieux !

JE suppose que c'est ça le Hijacktis :
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:49, on 29/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Saitek\Software\ProfilerU.exe
C:\Program Files\Saitek\Software\SaiMfd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\jeux\steam\steam.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\DU Super Controler\DUSuperControler.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.p [...] Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ieR1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {208D7BCC-9857-4C9E-823B-D04E72490A67} - C:\WINDOWS\mxduo.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Web Calendar Pad] C:\Program Files\CalendarPad\CalendarPad.exe
O4 - HKCU\..\Run: [Steam] "c:\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\pando.exe" /Minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: DUSuperControler.lnk = C:\Program Files\DU Super Controler\DUSuperControler.exe
O4 - Global Startup: Namo APM Manager.lnk = C:\Program Files\Namo\WebBoard\Bin\APMTool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1.0\adialhk.dll
O21 - SSODL: wmphost - {43270329-B465-4FBE-AC65-1AC7580F9C84} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {DC47F9DF-79E2-48D9-B93D-DB61E072F050} - C:\WINDOWS\wmpdev.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
 
--
End of file - 6498 bytes

enfin j'ai quand même lancer une fois kaspersky aujourd'hui pour qu'il recherche des virus mais il n'en à trouvé aucun !... ça doit être le logiciel qui doit trouvé le plus de virus sur le marché et il doit se trouvé dans les premiers av...

skwa celui là ? : C:\WINDOWS\system32\PnkBstrA.exe  
 
Sinon t'as des droles de trucs dans ton RunOnce aussi

 
punkbuster non?

j'ai aussi une petite croix rouge qui clignote là ou il y a l'heure mais aucun click ne marche dessus. Sinon toutes les 10 minutes une fenetre au hasard clignote (comme msn lorsque l'on reçoit un message)...bizarre.

à part ça, spy sweeper ma detecter que des saloperies dans les coockies ke j'ai nettoyer mais toujours le message "Spyware alert"

ce message spyware aler apparaît comme s'il s'agissait d'un dossier.

il veut me modifier ce fichier : wuauclt.exe
quelle est sa particularitée ?

C'est ça
 

Bon après avoir effacer le dossier contenant le fond d'écran qui mène à la page de leur site, j'ai tout de suite relancer kaspersky et j'ai bloquer ce qui me semblai suspect et maintenant j'ai plus les pubs ni les clignotements, je n'est que kaspersky qui bloque l'accès :
 
en faite toutes les 15 secondes (j'ai compté ^^) kaspersky bloque l'accès à wuauclt.exe et explorer.exe  
 
enfin il m'affiche beaucoup plus ce message :  
 
29/08/2007 18:01:53 C:\WINDOWS\system32\wuauclt.exe Tentative de chargement du nouveau module ou du module modifié SC2Hook.dll dans le processus.
 
que celui là :  
 
29/08/2007 18:04:20 C:\WINDOWS\explorer.exe Processus attaqué : C:\WINDOWS\explorer.exe Identifiant du processus (PID): 3880 Tentative d'intrusion dans le processus : C:\WINDOWS\system32\notepad.exe Identifiant du processus (PID): 464 (là je venais juste d'ouvrir le notepad)
 
 
MAIS à chaques fois le PID (je sais pas ce que c'est) est different.
 

pid c'est un numéro de tâche qui est donné par le kernel, normal que ca change
 
Vu comment ta machine à l'air pourrie je songerais quand même à une bonne réinstall ...

+1 lost
machine bien moisie de partout
une bonne reinstall c'est radical ou alors un gros nettoyage tres tres rigoureux et pas juste un scan "a la va vite"

 
lol c'est vrai quelle est devenue crade mais de là à dire pourrie    mais je vais suivre votre conseil, je vais formater mais ça m'embête car j'ai plus qu'a mettre plusieurs dizaines de giga sur un autre pc avant de pouvoir formater   enfin bon...ça sera fais après