On me force la page de démarrage d'IE

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Florence Drory » 31 Mar 2004, 15:37

Bonjour Pierre et bonjour Jean-Claude,

Merci réellement de ce que vous me conseillez. J'espère que d'autres en profitent aussi.

Pour spyblaster, non je ne l'ai pas fait, j'ai fait le complet Spybot.
D'ailleurs, quand j'ai fait Spybot, j'ai vu qu'il avait identifié lop.com.
C'est bien l'adresse que Google indique. C'est vraiment une poisse !

Je n'arrive pas sur le site de CWShredder, d'ailleurs ils annoncent qu'il peut y avoir des problèmes et qu'il faut faire plusieurs autres adresses si ça ne marche pas. J'ai pas encore eu le temps de le faire.

Je vais utiliser le Hijackthis. Par contre, pardonnez mon ignorance mais comment faire pour "coller le log ici" ?

Je vais sur la manip.

Je vous tiens au courant, je reviendrai à vous quand j'aurai fait ce que vous me recommandez.

A plus tard
Florence
Florence Drory
 

Messagede Florence Drory » 31 Mar 2004, 16:46

Pierre, Jean-Claude,
Regardez un peu le message que j'ai eu en essayant de venir sur votre site avec bien des difficultés :


You use Lop.com when you go online, so why not make Internet Explorer start at Lop! every day:
Pull down the Tools menu and select Internet Options
Select the General tab sheet
Type www.Lop.com in the Address box
Click the OK button
Congratulations, Lop.com is your new home! Try it out -- just click on the HOME button anytime you want to use Lop!

Back to Lop!


Ouvertement ils me gangrènent !

J'ai un mal fou à aller sur assiste.free.fr
A chaque fois j'ai le message "impossible d'ouvrir la page". Je continue pour faire les manip de Pierre.

A plus tard
Florence
Florence Drory
 

Messagede Vazkor » 31 Mar 2004, 17:28

Bonsoir Florence,

Pour coller ici le log de Hijackthis:
Lancer Hijackthis
Faire le Scan
Cliquer sur Save Log -> hijackthis.log, que tu sauves sur ton Bureau, par exemple.
Exit

Tu ouvres le fichier log avec le Bloc-notes de Windows, ensuite tu copies le tout avec Ctrl+A et Ctrl+C
Tu viens ensuite coller le tout dans un message sur le forum avec Ctrl+V.

Cela aura l'avantage supplémentaire de montrer si tu n'as pas des choses inutiles qui ralentissent ton système, sans pour autant être des malveillances.

Effectivement sur le site de Searchexe.com on ne trouve pratiquement que des liens vers http://search.lop.com/....

Lop.com étant connu de Spybot, je me demande pourquoi il ne le supprime pas.
Je te conseille de lancer Spybot après avoir désactivé la restauration système de XP et avoir redémarré en mode sans échec.
Il est possible que ce soit une variante qu'il ne peut pas encore supprimer.

Pour CWShredder, il faut faire preuve de patience, où alors aller le chercher sur le groupe Vazkor, sur Yahoo! France.
http://fr.groups.yahoo.com/group/vazkor/files/
C'est la dernière version 1.53.4.

Pour remplacer la machine java de MS, par celle de Sun:

You might want to remove the Microsoft JVM, which Microsoft no longer supports, in favor of the more recent Sun Microsystems JVM. To remove the Microsoft JVM, perform the following steps:

1. From the Start menu, select Run.
2. Enter the command

RunDll32 advpack.dll,LaunchINFSection nt5java.inf,UnInstall

to start the uninstall process
3. Click Yes to the confirmation, then select Reboot.
4. After the machine restarts, delete the following items:
* the \%systemroot%\java folder
* nt5java.pnf from the \%systemroot%\inf folder
* jview.exe and wjview.exe from the \%systemroot%\system32 folder
* The HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Java VM registry subkey
* The HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions\JAVA_VM registry subkey (to remove the Microsoft Internet Explorer (IE) options)

Microsoft Java is now removed. You can download Sun's newer JVM for Windows at http://java.sun.com/getjava/index.html.

Note: Sous Windows 9x/Me c'est java.inf et java.pnf qu'il faut lire, rechercher et supprimer au lieu de nt5java.*

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9811
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Invité » 31 Mar 2004, 17:35

Bonsoir Pierre et Jean-Claude,

Voici, je fais de gros progrès, j'ai réussi à faire le Hijackthis et à copier le log que je vous mets ici en copie.
Je l'ai mis aussi sur le site "comment ça marche ?" si ça peut aider d'autres malheureux dans mon genre !!

Logfile of HijackThis v1.97.7
Scan saved at 18:10:41, on 31/03/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\video_lnk32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\WINDOWS\kdx\KHost.exe
C:\PROGRA~1\DUMBBL~1\titlebias.exe
C:\WINDOWS\System32\usoft32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\SMASHER\Smasher.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\SMASHER\Smasher.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wisptis.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Flo\Local Settings\Temporary Internet Files\Content.IE5\QF2YA1G2\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = searchexe.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B66A71A1-42DB-A6BE-8414-1B5568D9BBE2} - C:\PROGRA~1\IDOLBU~1\KEEP HOLD.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: copy atom - {A57251B5-2BF8-6F3F-486D-2113C1152B25} - C:\PROGRA~1\IDOLBU~1\KEEP HOLD.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [KernelFaultChk] C:\DOCUME~1\Flo\LOCALS~1\Temp\tmp1EC.tmp
O4 - HKLM\..\Run: [Windos Video Link] video_lnk32.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [Window] explore.exe
O4 - HKLM\..\Run: [Free Delete] C:\PROGRA~1\DUMBBL~1\titlebias.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [AndWware Defence] usoft32.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Windos Video Link] video_lnk32.exe
O4 - HKLM\..\RunServices: [Window] explore.exe
O4 - HKLM\..\RunServices: [AndWware Defence] usoft32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Piccolo-Control-Centre] C:\Program Files\Kodak\PicturePageSoftware\PicCent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Startup: VERITAS Install Exec Setup.lnk = C:\Documents and Settings\Flo\Local Settings\Temp\VIES4659\Setup.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SMASHER.lnk = C:\Program Files\SMASHER\Smasher.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003 ... scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3372685185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{59997A3E-7A09-48BA-8086-257AF426BA6B}: NameServer = 80.10.246.1 80.10.246.132

Merci d'avanc esi vous trouvez quelquechose.

A plus tard
Bien à vous
Florence (pav) Drory
Invité
 

Messagede Vazkor » 31 Mar 2004, 20:18

Bonsoir Florence,

Beaucoup de programmes me paraissent lancés inutilement.

Il y en quelques-uns qui me semblent suspects:
KHost.exe du jeu KDX
titlebias.exe de DUMBBL~1 ?
winactive.exe <-------- ???????
wisptis.exe ???
IDOLBU~1\KEEP HOLD.dll ???

Mais il m'est difficile de me prononcer sans savoir à quelle application ils appartiennent.
Je préfère attendre l'avis de Pierre.

C:\WINDOWS\kdx\KHost.exe
C:\WINDOWS\System32\wisptis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = searchexe.com (A supprimer)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {B66A71A1-42DB-A6BE-8414-1B5568D9BBE2} - C:\PROGRA~1\IDOLBU~1\KEEP HOLD.dll
O3 - Toolbar: copy atom - {A57251B5-2BF8-6F3F-486D-2113C1152B25} - C:\PROGRA~1\IDOLBU~1\KEEP HOLD.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winactive] C:\Program Files\Window Active\winactive.exe Correspondrait à LOP/Active
O4 - HKLM\..\Run: [KernelFaultChk] C:\DOCUME~1\Flo\LOCALS~1\Temp\tmp1EC.tmp
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [Free Delete] C:\PROGRA~1\DUMBBL~1\titlebias.exe
O4 - HKLM\..\Run: [AndWware Defence] usoft32.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE
O4 - HKLM\..\RunServices: [Windos Video Link] video_lnk32.exe
O4 - HKLM\..\RunServices: [AndWware Defence] usoft32.exe???
O4 - HKCU\..\Run: [Piccolo-Control-Centre] C:\Program Files\Kodak\PicturePageSoftware\PicCent.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: VERITAS Install Exec Setup.lnk = C:\Documents and Settings\Flo\Local Settings\Temp\VIES4659\Setup.exe Probablement inutile à conserver
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE Consomme des ressources pour rien!
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab

Comme dit au début, il me semble que beaucoup de programmes lancés automatiquement pourraient l'être uniquement à la demande.

@+

" lop/Active installations have an additional 'Window Active' entry that should also be removed."
http://www.doxdesk.com/parasite/lop.html
Comme par hasard nous avons un dossir Window Active. Bingo!
Avatar de l’utilisateur
Vazkor
 
Messages: 9811
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Invité » 31 Mar 2004, 21:26

Bonsoir,
Pour Spybot, je ne sais pas si lop.com et c2.lop c'est la même chose mais il y avait un problème où effectivement il fallait exclure c2lop pour que spybot puisse exécuter un scan complet. Il bloquait immanquablement à c2.lop.
Depuis la version 1.3 beta6 , ce problème a disparu.
Pour Florence, ne pas oublier de cocher vaccination ds spybot.
Par contre j'ai un truc spécial, j'ai un paquet de winsock LSPs (25 protocol et 5 provider) et pas un n'est coché, ni vert, ni rouge , ni rien . To be or not to be ??
Ce serait la version ou autre chose ??
A+
Invité
 

Messagede Jim Rakoto » 31 Mar 2004, 21:35

Rebonsoir, j'avais oublié de m'identifier pour le dernier post sur c2.lop
Excuses
A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 31 Mar 2004, 22:30

Florence,

Est-ce que c'est toi que j'ai, simultanément sur CCM ?

Ton truc c'est Lop.com dans une nouvelle variante.

Je termine ma page sur lop.com et la met en ligne.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29667
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 01 Avr 2004, 00:12

Chose promise, chose due
La fiche Lop.com, cette malveillance qui fait beaucoup de bruit dans tous les forums actuellement avec sa nouvelle variante.
http://assiste.com.free.fr/p/internet_attaquants/lop_com.php
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29667
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Vazkor » 01 Avr 2004, 01:38

Et j'ai traduit la procédure de remplacement de la MS JVM par celle de Sun.

Voir le message: Remplacement.... sur ce forum
http://terroirs.denfrance.free.fr/forum ... php?t=1130

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9811
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 24 invités