Barres de liens

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Jim Rakoto » 17 Mai 2004, 11:04

Salut,

Et en essayant par majorgeeks ?
http://www.majorgeeks.com/downloads31.html

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Barre de liens "pirates"

Messagede Ben-Trick » 17 Mai 2004, 11:25

OK, ici ça a marché, voici la copie du log:... attention, c'est long !

Logfile of HijackThis v1.97.7
Scan saved at 12:23:08, on 17/05/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VirusScan\VsStat.exe
C:\Program Files\VirusScan\Vshwin32.exe
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe
C:\Program Files\VirusScan\Avconsol.exe
C:\Program Files\VirusScan\Webscanx.exe
C:\Program Files\Foreignword\Xanadu\Xanadu.exe
C:\Program Files\Winamp3\winampa.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\MemoKit\memokit2.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O1 - Hosts: 66.40.16.131 livesexlist.com
O1 - Hosts: 66.40.16.131 lanasbigboobs.com
O1 - Hosts: 66.40.16.131 thumbnailpost.com
O1 - Hosts: 66.40.16.131 adult-series.com
O1 - Hosts: 66.40.16.131 www.livesexlist.com
O1 - Hosts: 66.40.16.131 www.lanasbigboobs.com
O1 - Hosts: 66.40.16.131 www.thumbnailpost.com
O1 - Hosts: 66.40.16.131 www.adult-series.com
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~2\BHO\INCFIN~1.DLL (disabled by BHODemon)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adult Links - {965E6B07-6832-4738-BDBE-25F226BA2AB0} - C:\WINDOWS\Downloaded Program Files\QaBar.dll
O4 - HKLM\..\Run: [Xanadu] C:\Program Files\Foreignword\Xanadu\Xanadu.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WebScan] C:\Program Files\Acceleration Software\Anti-Virus\defscangui.exe -k
O4 - HKLM\..\Run: [eMailEncryption] C:\PROGRA~1\ACCELE~1\VELOZD~1\velozsys.exe runstart
O4 - HKLM\..\Run: [LSPFix] C:\Program Files\Fichiers communs\eAcceleration\LSPfix\LSPmonitor.exe normal
O4 - HKLM\..\Run: [ylgdkz] C:\WINDOWS\ylgdkz.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [iedll] C:\Program Files\Windows Media Player\iedll.exe
O4 - HKCU\..\Run: [loader] C:\Program Files\Windows Media Player\wmplayer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: MemoKit.lnk = C:\Program Files\MemoKit\mk.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Xanadu (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O16 - DPF: Dexia Netbanking - http://netbanking.dexia.be/PC//Dynamic/ ... xiaIIA.cab
O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/files/ins ... hidden.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwe ... .0.0.6.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/stop-sign_stp.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x ... DASAct.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.communities.msn.com/controls/ ... nPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.compani ... _1_6_0.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://sc.communities.msn.com/controls/ ... chat45.cab
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - file://C:\install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4531AA-1411-43A0-928E-2B79BD7303AF}: NameServer = 62.235.14.4 62.235.13.199
O19 - User stylesheet: C:\Documents and Settings\Baudouin\Mes documents\Baudouin-1\Culture-Loisirs\Internet\Modèle-impression1.doc
Ben
Ben-Trick
 
Messages: 7
Inscription: 15 Mai 2004, 16:37

Messagede Jim Rakoto » 17 Mai 2004, 11:46

Salut,

Lire la page de Pierre sur restaurer les winsocks LSP's
http://assiste.com.free.fr/p/frameset/07.php
Tout est dedans

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Barre de liens "pirates"

Messagede Ben-Trick » 17 Mai 2004, 12:05

Merci Jim,

mais je suis ignare en la matière et aurais bien besoin d'une main secourable...

------------------------

Pour info, je suis allé dans "Option Internet" et j'y ai vu un e rubrique appelée:

Search Assistant - My Web Search

Et qd je clique sur "informations sur le support technique", je reçois:

Éditeur: My Web Search
Info de supp. techn.: http://help.mywebsearch.com

Je n'ai PAS ouvert ces liens de peur qu'ils soient de la famille des COOLWEBSEARCH.
Qu'en est-il ?
Ben
Ben-Trick
 
Messages: 7
Inscription: 15 Mai 2004, 16:37

Messagede Jim Rakoto » 17 Mai 2004, 12:20

Re,

2 problèmes semble-t-il
coolwebsearch et winsocks "détournés"

D'abord winsocks LSP'S
fixer :
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
a fixer
Voilà le problème , donc il faut l'éliminer avec LSP-Fix
Copié-collé des instructions de Pierre :

1. Téléchargez LSPfix depuis http://www.cexx.org/lspfix.htm
Il s'agit de l'emplacement original de cet utilitaire - méfiez-vous des copies que vous pourriez trouver ailleurs.

2. Lancez l'application (Exécutez la) et agrandissez la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.

3. Déconnectez-vous d'Internet et fermez toutes les instances (fenêtres) Internet Explorer.

4. Cochez la case "I know what I'm doing" ("Je sais ce que je fais").

5. Sélectionnez toutes les instances de asiclayer.dll et rien d'autre et faites les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove").

6. Cliquez sur le bouton "Finish".

7. Maintenant, redémarrez votre ordinateur en mode sans echec (faire F8 au démarrage

8. Rechercher et détruire le fichier asiclayer.dll and delete the c:\winnt\system32\msspi.dll file itself.

Veiller à ce que tous les dossiers y compris cachés de Windows apparaissent. (par défaut, Krosoft cache des fichiers système pour ne pas que l'utilisateur fasse des conneries ??!! A remarquer l'humour so USA !

La suite pour coolwebsearch avec CWShredder pour l'éliminer

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Jim Rakoto » 17 Mai 2004, 12:37

Re,

Un morceau d'anthologie ce log (tout le monde a suivi la transition ?)

O4 - HKLM\..\Run: [LSPFix] C:\Program Files\Fichiers communs\eAcceleration\LSPfix\LSPmonitor.exe normal
A fixer
eacceleration, une arnaque , voir ici

http://assiste.com.free.fr/p/internet_a ... hology.php

Il faut désinstaller le LSPfix qui est actuellement sur ton PC !!!

Tu as un Palm ou Pocket PC à synchroniser ??
Je suppose comme il y a des lignes qui l'indiquent

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Jim Rakoto » 17 Mai 2004, 12:53

Re,

Encore une arnaque :
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
Fixer
C'est encore une porte ouverte à l'indésirable

Là, je sais plus où Pierre a planqué sa réflexion. C'est dans un post récent en plus. Tidju impardonnable. Smeagol pensait toucher l'anneau, c'est foutu.

J'hallucine là, je vois pas de pare-feu .
Par les temps qui courent c'est comme rouler à moto sans casque, baiser sans capote (avec une inconnue, je suppose que pour la légitime ...).
Bref, je sens que Vazkor va faire p'tite promotion de see (non), sea (non plus) sygate firewall

A+
(je suis un intermittent du post donc je suis payé à la prestation, c'est pour cela que j'en mets bcp) ouaaah
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede pierre » 17 Mai 2004, 18:51

Bonjour Jim

On va l'épingler, ce thread !

Comme tu dis, un morceau d'(e)anthologie.

Bon, tout le monde à percuté, maintenant ?

Pour l'autre, Messenger Plus, c'est à
Messenger Plus et Lop.com
(dans "Attaquants" - j'appelle ce chapitre ainsi car c'est plus court que "Liste de malveillances détaillées, expliquées, corrigées et archivées." (!?!)).
http://assiste.com.free.fr/p/internet_a ... op_com.php

Il y a les formes d'attaques -> Chapitre Attaque
Il y a ceux qui les utilisent -> Chapitre Attaquants

Il y a tous ceux qui n'y figurent pas (encore) -> Chapitre Droit au chapitre (un jour)

Amitiés
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27336
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Barres de liens

Messagede Ben-Trick » 24 Mai 2004, 16:52

Salut Pierre,

Merci aussi à tous ceux qui se sont intéressés à l'épave de mon PC...

Toujours est-il que je voudrais le rendre définitivement clean.

Si j'ai bien compris les commentaires précédants:

1. Je dois installer un pare-feu, OK.
Peux-tu m'en recommander un que je pourrais installer maintenant, en direct ? et comment je dois m'en servir ?

2. O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
Que signifie "A fixer"

3. O4 - HKLM\..\Run: [LSPFix] C:\Program Files\Fichiers communs\eAcceleration\LSPfix\LSPmonitor.exe normal
Même question

3. Est-ce que ces opérations pourront éliminer la barre de lien "Adult links" ?...
Et les 4 autres barres que je viens de trouver à l'intérieur de la barre "Liens" normale, à savoir: Adult Links (encore !), Sports (casinos etc...), Sports&&games et blurp+health ?

Je crois qu'il n'y a que votre équipe qui soit capable de ce grand nettoyage.

Merci d'avance.

Ben
Ben-Trick
 
Messages: 7
Inscription: 15 Mai 2004, 16:37

Messagede Jim Rakoto » 24 Mai 2004, 17:10

Salut,

Fixer veut dire cocher la case devant la ligne signalée comme problématique puis clic sur "Fixed" .

Pour éradiquer les pages, voici une solution
D'abord désactiver la restauration système : démarrer >panneau configuration > maintenance et performances > System > Restauration système > cocher la case désactiver restauration système (Win va gueuler mais c'est rien)
Enlever la fiche du modem pendant les manoeuvres
Il faudrait démarrer en mode sans échec (au moment où PC démarre pousser sur touche F8, win propose le choix, choisir mode sans échec)

Passer ad-aware (mis à jour) et le laisser faire (il suffit de faire « Next)
Puis aller dans Spybot .
> Spybot > Aller dans Outils > démarrage systeme > décocher les cases devant Messenger plus et devant les lignes où pourrait se trouver pages anormales
> Spybot > Aller dans Outils > pages du navigateur > sélectionner et cliquer sur changer toutes les lignes > choisir About:blank dans menu déroulant à droite des lignes
> Spybot > Ensuite vérifier que les traceurs d'utilisation sont activés : Settings > modules additionnels > cocher les deux cases en bas « traceurs » (c'est important car cela vide cache, fichiers internet, etc) et enfin lancer un « vérifier problèmes »
> Spybot > Cocher tous les problèmes trouvés y compris les lignes en vert !
Faire « Corriger »
Spybot va signaler qu'il ne peut effacer tout et proposer de faire un scan au prochain démarrage du PC. Répondre OUI.

Passer ensuite CWShredder. (il suffir de cliquer deux fois sur le nom puis sur fix. Il travaille tout seul, rien à faire
Redémarrer PC.
Normalement Ad-aware va se lancer en premier et finir ce qu'il a commencé.
Ensuite viendra Spybot. Le laisser faire
Fermer Spybot pour finir démarrage complet.
Lancer Spybot pour un nouveau passage, recocher tout y compris ce qui est en vert et corriger.
Il répondra à nouveau qu'il ne peut tout effacer. C'est pas grave.


Pour Pare-feu
Pour moi ce serait Outpost free ou mieux Outpost pro
Pour Vazkor : je suppose : Sygate
Pour Pierre : je suppose Zonealarm pro

Pour parfaire le système : installer spywareblaster et spywareguard (même auteur)
Et évidemment les autres logiciels proposés par Pierre dans la Manip

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 27 invités