bonjour,
lorsqueje clique sur un lien j'atterris sur une page publicitaire (souvent btcar.com) le phénomène se produit de façon aléatoire(c'est a dire tout les dix ou vingt click) et souvent après une recherche sur google. j'ai passé a peu pres tous les antivirus, antispy et antirookit possible et imaginable, sans succés, mis a part que maintenant noscript bloque l'acces au pages publicitaire une fois sur deux. bon, bref voici mon log, et si une âme charitable peut se pencher dessus un grand merci a elle ;:)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:36, on 08/02/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ESET\Eset Smart Security\egui.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\MozyHome\mozystat.exe
D:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Windows\ehome\ehmsas.exe
D:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
C:\Windows\explorer.exe
C:\Windows\System32\mobsync.exe
--
End of file - 10666 bytes

Bonsoir, bienvenue sur le forsum de sécurité de libellules.


Est-ce que C:\Users\glopglop\Desktop\stng380.exe est Stinger de McAfee ?
Il me faut en savoir plus, il faut un log DiagHelp en complément, voici comment procéder.

Vista : tu auras peut-être besoin de droits admin (clic droit, exécuter en tant que, ou désactivation temporaire de l'UAC).

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse-le, sur ton bureau par exemple.
• Un nouveau dossier chercher va être créé DiagHelp.
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
• Une fenêtre va s'ouvrir, choisis l'option 1 et valide avec la touche entrée.
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
• Copie/colle le contenu du bloc-note qui s'ouvre et joins-le à ta prochaine réponse.
  
  NB : si un antivirus détecte Troj/INJECT MF choisis "ignorer" c'est une fausse alerte.
  NB : un outil, sigcheck.exe, peut demander l'accès à internet, si ton firewall te demande l'autorisation, laisse-le accéder à internet.
  
• Le rapport est sauvegardé dans c:\resultat.txt si jamais tu le cherches

oui c'est bien stinger.
je m'occupe de la procedure decrite dans ton post.
j'ai telechargé host manager, et suivi le tuto de libellule, depuis cela a l'air de fonctionner...
je crois que je suis sur une piste,voici une partie du log de mon firewall :
07/02/2008 11:26:22 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:54063 UDP
07/02/2008 11:26:22 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:54063 UDP
07/02/2008 11:26:22 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:54063 UDP
07/02/2008 11:24:27 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:27 Detected DNS cache poisoning attack 212.27.54.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:23 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:23 Detected DNS cache poisoning attack 212.27.54.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:21 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:21 Detected DNS cache poisoning attack 212.27.54.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:20 Detected DNS cache poisoning attack 212.27.54.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:20 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:54005 UDP
07/02/2008 11:24:19 Detected DNS cache poisoning attack 212.27.54.252:53 192.168.0.2:54005 UDP
07/02/2008 10:49:24 Detected DNS cache poisoning attack 212.27.54.252:53 192.168.0.2:53467 UDP
07/02/2008 10:49:24 Detected DNS cache poisoning attack 212.27.53.252:53 192.168.0.2:53467 UDP
07/02/2008 10:49:20 Detected DNS cache poisoning attack 212.27.54.252:53 192.168.0.2:53467 UDP

je continue et vous tiens au courant, merci

Bonsoir, la manip de base ne devrait pas suffire de toute façon.

Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur.

Télécharge le FixWareout (LonnyRJones) sur le Bureau.
**Si le lien ne fonctionne pas, clique ici**

Lance le fix (FixWareout.exe), clique sur Next puis Install.
Assure-toi que Run fixit soit bien activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

poste le contenu du rapport C:\fixwareout\report.txt

Bonsoir, fixwareout ne fonctionne pas sous vista!!
j'ai supprime les lignes 017 en mode sans échec et mis un autre serveur dns public; pas celui de mon fai.
je pense que le problème était au niveau des dns, j'ai du être victime d'un spoof de dns , ou de dns poisonning, en gros je pense que mes requêtes partaient vers un autre serveur dns que celui de mon fai, mais ma machine pensait que c'était bien le bon serveur (spoofing), le serveur dns exogène relayait bien toutes les requêtes , mais une fois toutes les dix ou quinze requêtes : hop il me balançait sur un site de pub.
pour l'instant, tout a l'air de fonctionner , même après plusieurs requête, le navigateur trouve toujours son chemin , donc le serveur dns ne doit plus être parasité. je te tiendrais au courant dans la semaine de l'évolution des choses, en positif ou négatif.
A+

Exact, j'avais oublié pour Vista/FixWareout.

Il me faudrait ce rapport DiagHelp pour y regarder de plus près.
Si nécessaire, désactive l'UAC temporairement, avant de lancer diaghelp, puis réactive après.

bonjour!
voici le rapport diaghelp:

DiagHelp version v1.4 - http://www.malekal.com
excute le 09/02/2008 à 9:35:37,09


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\Windows\prefetch\CHCP.COM-61043047.pf -->09/02/2008 09:35:35
C:\Windows\prefetch\DLLHOST.EXE-5E46FA0D.pf -->09/02/2008 09:35:31
C:\Windows\prefetch\MOBSYNC.EXE-C5E2284F.pf -->09/02/2008 09:35:29
C:\Windows\prefetch\WMPNSCFG.EXE-FC0D39BF.pf -->09/02/2008 09:35:11
C:\Windows\prefetch\MSFEEDSSYNC.EXE-6E6FBDF4.pf -->09/02/2008 09:35:11
C:\Windows\prefetch\EXPLORER.EXE-A80E4F97.pf -->09/02/2008 09:35:08
C:\Windows\prefetch\LULNCHR.EXE-CDCC10C3.pf -->09/02/2008 09:35:02
C:\Windows\prefetch\LOGITECHUPDATE.EXE-2C66FD8D.pf -->09/02/2008 09:35:02
C:\Windows\prefetch\WERMGR.EXE-0F2AC88C.pf -->09/02/2008 09:34:54
C:\Windows\prefetch\SVCHOST.EXE-DD6406E8.pf -->09/02/2008 09:34:41

****** Fin du rapport DiagHelp

As-tu placé manuellement des entrées dans ton fichier hosts ?
Je vois énormément de logiciels pour la base de registre, aucun n'est habituel. S'ils ne sont pas classés rogue, il peut y en avoir de trop là dedans, un bon coup de balai ferait du bien.

As-tu encore tes affichages btcar ?

bonjour a tous,

Je n'ai plus de soucis avec btcar.com, etc.
Le problème venait d'un add-on firefox nommé "firebit" , kaspersky l'a detecté et effacé.
NOD32 , dont par ailleurs je suis pleinement satisfait, n'avait semble t'il rien trouvé.
donc problème résolu.
merci a tous pour votre aide.