Problème page de démarrage IE et divers autres problèmes

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Problème page de démarrage IE et divers autres problèmes

Messagede pierre » 24 Juin 2004, 22:50

Bonjour

Voici un mail privé que m'envoie Herspear (qui vient de CCM sur lequel j'ai commencé à l'assister). Merci de l'aider.

Origine :
http://www.commentcamarche.net/forum/af ... -demarrage
Il s'agit d'un thread énorme (plus de 230 posts !) avec 36 problèmes évoqués par 36 personnes différentes et on ne sait plus qui a quel problème, qui répond à quoi etc. ... le fil est rompu.

Bonjour Pierre,

Pas de problème pour le retard concernant des pannes de courant et la petite fête organisée par les enfants. Nous aimions ça aussi nous à leur âge.

Bon je vais essayer d’étre assez clair dans mes explications. Ce n’est pas toujours la cas certainement car je ne suis pas un connaisseur comme toi en la matière. En tout les cas merci de m’aider dans ce sinistre bordel.

1) j’ai effectué l’opération du message 6 de Kea.
Je n’ai plus de problème de lancement. Ma page d’accueil est sur hotmail.com par défaut. Cependant, je suis certain que ma bécanne est encore infectée.

Ce qui me faire dire cela c’est lorsque je vais dans l’onglet main de HijackThis. En voici le compte rendu :

Default start page : about:blank
Default search page : http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Default search assistant : http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Default search customize : http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

J’ai été faire un tour dans les explications point par point d’HijackThis. J’ai bien vu que ce que j’ai n’ai pas bon.

En conséquence, puis je modifier ces lignes et si oui que dois je mettre ? Dis moi exactement STP

2) Concernant notepad, peu tu me dire exactement ou je dois mettre notepad.exe ? Il est actuellement dans c:\window.

3) J’ai recherché actimovie.exe selon ta méthode cad dans l’onglet processus du gestionnaire de tâche. Je n’ai pas trouvé le fichier. J’aurai aimé faire un copié d’image de cette page pour que tu vois. Par contre je l’ai trouvé dans c:\window\system32. Il est démarré dans %HOMEDRIVE%%HOMEPATH%. Alors comment je le vire ce truc ?

Je t’envoie une copie du log à partir de HijackThis. Comme tu pourras le constater, il n’y a pas le destroy and search que tu m’avais demandé d’installer. En fait je l’ai installé et suivi tes recommandations point par point. Une fois tout fini, j’avais donc ses actives X avec message de confirmations en permanence. Puis, j’avais vraiment l’impression d’etre retourné au point de départ car j’avais un message du net qui me signalait que j’étais bouffé par les spam. Enfin comme au début quoi. Donc je l’ai désinstallé et plus de signal comme quoi j’avais des problèmes.

Sinon, je réponds à quelques une de tes interrogations :

Oui j’ai un onduleur
Oui je suis client de Tiscali (forfait illimité à 25 euros/mois) en connection lente.
Pour ma carte son, j’ai l’Audigy 1 en façade qui ne marche d’ailleurs plus et la deux à l’arrière. Je crois que les deux sont incompatible. J’attends une platinium mais c’est cher.
Je n’arrive pas à avoir une facade d’Audigy 2. Il paraît que c’est impossible selon le magasin où je vais. En fait ils ne s’y connaissent pas beaucoup et c’est bien dommage. Je n’ai même pas voulu parlé de mon pb parce que sinon ils vont me bousiller tout.
Pour la carte vidéo j’ai une Radeon 7000.

J’ai power DVD, Ultra DVD. Tout ceci ne fonctionne plus depuis mes pbs. Je ne peu plus lire mes dvd. Par contre je peu lire les cds audio normaux tant sur le lecteur cds que le DVD. J’ai rajouté l’application region free qui me permet de lire les dvd au format non français. Windows media player ne fonctionne plus non plus avec le dvd. Il y a un message d’erreur de window qui ferme l’application et qui me demande d’envoyer un message à microsoft.

Donc ne serait ce pas les drivers DVD qui en ont pris un coup ?

Enfin, comment puis je virer ce que me demande le pc au démarage ? En effet, depuis que j’ai installé la console que Kea conseillait, j’ai l’option avec un compteur pour démarrer soit en mode console soit normalement.

Bon et bien voici le log. Tu verras j’ai viré des lignes et d’autres non. J’attends de tes nouvelles avec impatience pour pouvoir enfin sortir de ce marasme. Le problème est que je n’ai pas beaucoup de temps devant moi. C’est la raison pour laquelle, bien que tes sujets sur ton sites sont très intéressant, je n’ai pas le temps de tout lire et te demande de me mâché le travail.

Voici mon mail que j’ai sur msn : herboss wafwaf at tuezlechien hotmail dot com

C’est vrai que cela irait beaucoup plus vite si l’on pouvait passé par là. On pourrait faire les manips en direct. Bien à toi. Herspear

Logfile of HijackThis v1.97.7
Scan saved at 13:28:05, on 24/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Dialer Tiscali\Dialer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\moi\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\System32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RGIS~1\LOCALS~1\Temp\sp.html
Cette page semble revenue alors qu’elle n’était pas dans la version précédente.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {99ABC7A2-043B-4461-A838-CD198A1776C7} - C:\WINDOWS\System32\bckmb.dll
C’est quoi cette dll? Lorsque je la recherche avec regedit je ne la trouve pas.
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1

Lorsque je vais dans Registrar Lite. (Manip de Kea, message 20) Dans cette ligne :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
Si je clic droit sur « AppInit_DLLs » et je fais open voici la dll qui apparaît : C:\WINDOWS\System32\kbdclfn.dll

Lorsque je la recherche avec regedit je ne la trouve pas. Je pense qu’il me faut passer ma la console comme l’explique Kea. Qu’en penses tu ? Et tout d’abord faut il la virer cette dll ?

Pour l'instant je n'ai rien installé comme Firewall ou autre. j'ai simplement Norton antivirus qui se met à jour régulièrement tout seul. Mes window update sont fait régulièrement aussi.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28385
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede bay » 24 Juin 2004, 23:00

Bonsoir , les éléments douteux
O2 - BHO: (no name) - {99ABC7A2-043B-4461-A838-CD198A1776C7} - C:\WINDOWS\System32\bckmb.dl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RGIS~1\LOCALS~1\Temp\sp.html
est douteux également
C:\WINDOWS\System32\kbdclfn.dll
et surtout vider le cache de IE et effacer les fichiers temporaires !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

ben bonsoir alors

Messagede Herspear » 24 Juin 2004, 23:39

Bonsoi Bay,

Ces trois lignes je les ai déjà effacé 1 ou 2 fois. Mais je ne sais pas pourquoi elles reviennent sans cesse.

Je ne sais donc plus quoi faire. Je compte sur vous messieurs parce que moi je suis HS à force d'essayer de régler ce problème. Par avance merci. Herspear
Herspear
 
Messages: 19
Inscription: 24 Juin 2004, 11:57

Messagede pierre » 25 Juin 2004, 00:29

Bonjour Herspear

Je vais être un peu sévère mais je trouve que tu fais l'autruche.

Contrôles ActiveX
Les contrôles ActiveX sont la pire dangerosité actuelle donc faire en sorte de ne pas être averti de l'installation d'un contrôle ActiveX revient à dire "tirez-moi dessus mais faites que je n'entende pas le coup de feu".
Prends bien conscience qu'un contrôle ActiveX, c'est un programme à part entière avec plus de droits qu'un programme "ordinaire". Il te viendrait à l'idée de dire "Allez-y, n'importe qui, implantez ce que vous voulez et n'importe quoi sur ma machine : je ne regarde pas." C'est exactement ce que tu fais.

ActiveX
http://assiste.com.free.fr/p/internet_a ... ctivex.php

Anti-ActiveX
http://assiste.com.free.fr/p/internet_c ... ctivex.php

Firewall
Tu lis les posts d'appel au secours des internautes sur CCM ? Dans le genre "Je viens d'installer XP, je me connecte sur Windows Update pour télécharger les patchs de sécurité et crac ! je suis pénétré en quelques secondes par 36 hijackers et autres..."

Tu dois installer un firewall. Tu dois le faire en premier, maintenant, tout de suite.

ZoneAlarm - une version gratuite avec très peu de possibilités de réglages (mais, aussi, corollaire, très simple (simpliste))
http://assiste.com.free.fr/p/internet_u ... ealarm.php

Outpost - le must des firewall logiciels
http://assiste.com.free.fr/p/internet_u ... utpost.php

Tu devrais aussi produire un log HiJackThis lorsqu'il n'y a aucune tâche applicative lancée. Cela allègerait le log (on trouve Word, Excell etc. ...). Ferme toutes les applications avant de faire un log.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28385
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

ben alors

Messagede Herspear » 25 Juin 2004, 00:37

Ou j'ai bien compris Pierre au sujet de l'installation de tes applications. pas de problème.

Cependant je voulais d'abord régler mes pbs avant de passer à la suite tout simplement.

Je refais un log sans les logiciels lancés. J'espère que ça ira mieux. Par avance merci. Herspear

Logfile of HijackThis v1.97.7
Scan saved at 01:36:26, on 25/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Dialer Tiscali\Dialer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\moi\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RGIS~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {99ABC7A2-043B-4461-A838-CD198A1776C7} - C:\WINDOWS\System32\bckmb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1
Herspear
 
Messages: 19
Inscription: 24 Juin 2004, 11:57

Messagede pierre » 25 Juin 2004, 00:45

Je recopie ici ma première contribution à ton pb sur CCM afin de retrouver mes notes facilement
Bonjour Herspear1,

Ce n'est pas facile sur ce forum; je ne sais pas comment mettre des lignes en gras ou en couleur. Je vais jouer sur les interlignes pour mettre en évidence ce que tu dois "fixer" avec HiJackThis.

1 - le mode d'emploi étendu en français de HiJackThis (signification de chaque code de ligne et action à prendre) est à
http://assiste.com/p/frameset/07_hijackthis.php

2 - ton log HiJackThis n'est pas complet. Il manque les premières lignes. Je suis donc obligé de deviner des choses. Par exemple je devine que tu es sous NT à la lecture de certaines lignes mais je peux me tromper.

3 - après avoir fixer les lignes suivantes, tu vas exécuter, pas à pas, les recommandation préventives de La Manip
http://assiste.com/manip.html

4 - je ne vois pas de firewall. C'est une catastrophe sécuritaire.

5 - je ne vois pas d'anti-script, proxy local, anti-pop-up etc. ... Il y a du travail. Suis les recommandations de La Manip.


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe



C:\Program Files\UPSurfer Pro\UPServ.exe
Tu as un onduleur ?



C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UltraDVD\DVDMon.exe



C:\Program Files\UPSurfer Pro\UPS.EXE
C'est la tâche de gestion de l'onduleur ?


C:\Program Files\moi\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
????


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx



O2 - BHO: (no name) - {0DC41AD3-A624-48AD-9610-EB2F1B6F7CF7} - (no file)
*** Fixer ***


O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
*** Fixer ***



O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r


O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
*** Fixer ***
N'a pas à être actif au démarrage de l'ordinateur.
Il s'agit d'un utilitaire d'update de Creative




O4 - HKLM\..\Run: [MMTray] MMTray.exe
*** Fixer ***
N'a pas à être lancer systématiquement au démarrage
"Part of Morgan Multimedia Codecs. Only required when the codecs are used"


O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
*** Fixer ***
N'a pas à être lancer systématiquement au démarrage
"Part of Morgan Multimedia Codecs. Only required when the codecs are used"



O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
*** Fixer ***
N'a pas à être lancer systématiquement au démarrage
"Part of Morgan Multimedia Codecs. Only required when the codecs are used"


O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime



O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
Tiscali est ton FAI ?
Pourquoi un dialer ? Tu es en liaison basse vitesse - RTC ?
Tu as créer ta connexion avec les outils de Windows (recommandé) ou avec leur CD (a éviter absolument)?




O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe



O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
*** Fixer ***
Le dump mémoire constitue une faille de sécurité majeure.
Absolument tous les "error reporting tools" de tous les logiciels doivent être bloqués.
Lire
http://assiste.com.free.fr/p/internet_a ... g_tool.php
http://assiste.com.free.fr/p/internet_c ... g_tool.php



O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup



O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
???
Bureaux virtuels NVidia. Tu t'en sert ? D'autant que je vois des drivers pour une carte graphique ATI !?!



O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe


O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
*** Fixer ***
On n'a pas besoin d'être sous surveillance pour lancer les update de temps en temps.


O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"



O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
*** Fixer ***
Superbe spyware de Claria (ex Gator)
http://assiste.com.free.fr/p/internet_a ... /gator.php





O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
*** Fixer ***
Inutile



O9 - Extra button: Messenger (HKLM)



O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
Peu recommandable


O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
Les zones de Chat, c'est pour chercher des ennuis sur sa machine.



O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c0bc89769 ... 601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab



O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
Assure toi que ce sont bien les dns de ton fai sinon fixe
Là, il s'agit de dns de Wanadoo donc c'est fiable


Pierre (aka Terdef)

Bonjour Pierre,

Tout d'abord je tiens à te remercier pour ton temps certainement précieux que tu as réserver pour répondre à mes inquiétudes. Kea doit etre certainement très occupé s'il ne m'a pas répondu.

Si je comprends bien mon odinateur est pouris jusqu'à l'os.

Bon je vais essayer d'appliquer tes recommandations à la lettre est je te dis quoi.

J'ai fait un site internet : http://rootsreggae.free.fr que je met régulièrement à jour d'où la raison pour laquelle mon ordinateur doit impérativement fonctionner.

Mais dit moi est ce que les manips que j'ai fait à partir des conseils de Kea sont bonnes? Ai je fait une erreur quelque part? Pare que je n'ai plus Notepad de disponible.

Sinon, oui je suis en woindow NT, oui j'au un onduleur, je n'ai pas l'adsl, je suis à Tiscali (d'ailleurs j'installe le cd régulièrement parce que ca déconne assez souvent) et je lis mes messages sur ma boite tiscali à partir de Outllok.

Pour Nvidia, je ne sais pas ce que c'est. Par contre j'ai une carte graphique RADEON 7000.

Merci de tes conseils et je te recontacte dès que j'ai fait les fix. Herspear

Bonsoir Pierre,

J'ai fait en partie pour ne pas dire presque la totalité de ce que tu m'avais indiqué de faire.

J'ai installé le search & destroy et suivi l'ensemble des recommandantions.

Cependant je ne peu te faire une image de HijackThis étant donné que depuis l'effacement de ma msjcpn.dll je n'ai plus notepad.

Aussi ce serait bien que tu m'indques comment faire pour réinstaller ce notepad ou cette dll de manière à ce que je puisse t'envoyer le fichier pour analyse et commentaires.

Voilà tiens moi au courant et merci encore. Herspear


Bonjour Herspear1

Notepad (dit Bloc-notes) est un exécutable du nom de... notepad.exe. Si si...
Il est à
%SystemRoot%\system32\notepad.exe
Vérifie s'il existe toujours et si tu peux le lancer (double clic sur l'exécutable, directement). Si oui, recrer un raccourcis et vire l'ancien.

msjcpn.dll
Ce nom de dll sent le nom généré à la volée.
Une recherche sur Google confirme ce sentiment. C'est totalement inconnu donc aucun scrupule à virer ça.

Tiens, j'ai regardé ton site. C'est joli et propre.
Regarde sur la page
http://rootsreggae.free.fr/ToshDisco/Videos/Videos.htm
Ton lien Main en bas de page
http://rootsreggae.free.fr/SpearDiscogr ... graphy.htm
sort en erreur 404

Tu utilise Dreamweaver pour développer ton site. Installe impérativement un firewall. Soit tu fais dans le gratuit, genre ZoneAlarm Free soit tu tape dans du dur et je te recommande OutPost, le meilleur firewall logiciel.
http://assiste.com/p/internet_utilitaires/outpost.php

Autre recommandation majeure, essentielle, primordiale, vitale...
après installation de ton firewall, interdit, dans ses règles, tout accès au Net à Internet Explorer et installe Mozilla.

Installe également un proxy local chargé de ré-écrire à la volée le flux entrant. Le Proxomitron est gratuit mais est un peu technique
http://assiste.com.free.fr/p/internet_u ... mitron.php
Dans le même genre mais pro et à utiliser les yeux fermés sans jamais mettre les mains dans le cambouis, SpyBlocker qui, en sus, gère une liste hosts et permet le bypass des blocages hosts à travers un site d'anonymisation
http://assiste.com/p/frameset/07_spyblocker.php

En anti-trojans (anti trojans, adware, spyware, keyloggers, dialers, rats, droppers, password stealer et toutes formes de malveillances non virales, mis à part les choses gentilles et gratuites que sont ad-aware et Spybot S&D, je te recommande PestPatrol qui est et reste le plus pointu, et de très loin, de toute cette classe d'outil (loin devant les a², tds, the cleaner etc. ...) Sa version de demo reste opérationnelle indéfiniment, y compris les mises à jour, seule l'éradication n'est pas implantée mais leur site, le plus vaste du monde sur le sujet, donne toutes les billes pour des éradications manuelles. C'est de loin le must.
http://assiste.com/p/frameset/07_pestpatrol.php

Sur une machine pro comme la tienne (une machine de développement), je te recommande d'éviter toutes les sources d'ennuis comme le client de messagerie Incredimail, tous les liveupdate (sauf ton antivirus), tout ce qui est chat, absolument tout ce qui est un gadget généralement porteur de spyware comme les économiseurs d'écran, les skins etc. ...

Grave ton site (le source sous Dreamweaver) sur un cd-rw pour faire tes sauvegardes.

A te lire pour la suite. Si tu n'arrive vraiment plus à utiliser notepad il faudra le trouver sur ton cd d'origine, dans les accessoires, sinon, en trouver un en ligne. De toutes manières, c'est un petit programme autonome indépendant du système. Le mien pèse
66,0 Ko (67 584 octets).

Pierre (aka Terdef)


Bonjour Pierre,

Merci de tes réponses claires ainsi que ton compliment concernant mon site. C’est pas mal de travail d’autant plus que je fait tout tout seul et ce en permanence.


Bon bonne nouvelle; j’ai retrouvé notepad.exe. Il était tout simplement dans le répertoire windows. Est il à la bonne place ? J’ai créé le racouci et cela marche. Par contre, notepad correspond bien au bloc notes non ? Par ce que si je clic propriétés de bloc notes j’obtiens ceci : C:\WINDOWS\system32\actmovie.exe

Sinon, pour l’erreur en MAIN de la page de Peter Tosh je m’en occuperai après avoir réglé l’ensemble des pbs que je connais aujourd’hui.

Par contre, dès que j’arrive sur une page net nouvelle en l’occurrence sur hotmail. Il m’est posé à chaque fois la question « voulez vous autoriser l’éxécution de logiciels tels que contrôles Actives X et les plug ins ? » Cette question est chiante car elle apparaît à chaque changement de page.

De plus je n’ai plus la barre en bas qui me permet de voir ou en est la page en téléchargement. Sais tu la restaurer ?

Sinon, pour te dire exactement ce que je fais sur ma bécanne ce serait mieux que je te l’explique en privé.

Lorsque j’envoie search & destroy, vérification et correction des problèmes. DSO exploit est impossible à retirer malgrès qu’il soit mis en rouge. Je te ferai bine une capture d’écran mais préfère faire cela en privé.

Enfin, je t’envois le résultat maintenant que j’ai retrouvé notepad :
N’hésites pas à trancher vu que tu connais beaucoup mieux le sujet que moi.
J’ai déjà virer quelques lignes selon tes conseils.

Sinon, c’est quoi cette ligne chat avec voilà ? Je n’ai jamais eu à faire avec eux.

En attente de te lire et par avance une nouvelle fois merci. Herspear

Logfile of HijackThis v1.97.7
Scan saved at 13:55:53, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Dialer Tiscali\Dialer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\moi\HijackThis.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c0bc89769 ... 601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1


Bonjour Herspear1

Je ne sais plus du tout où j'en suis dans ce thread qui concerne 36 problèmes pour 36 personnes.

Je t'avais préparé une réponse hier et j'ai eu une coupure de courant dans le quartier après 2 heures de boulot ! Le pied.

Ce Week-End je n'étais pas là.

Aujourd'hui, anniversaire à la maison avec les copains de mon gamin - une bande de 6 - 7 ans. Tout le truc à préparer et maintenant tout le truc à laver ranger etc. ...

Je ne t'oublie pas. Je reprends ton post et te prépare une réponse. Je ne sais même pas si d'autres ont regardé ton log.

A+

Pierre (aka Terdef)


Re bonjour Herspear1

Non : ton notepad n'est pas à la bonne place.

Oui : notepad correspond au bloc-notes.

Tue actmovie.exe : c'est ta malveillance. Malheureusement tu l'a déjà lancé en cliquant sur notepad et on ne sait pas ce qu'elle à fait / installé etc. ...

Pour tuer une tâche (un processus) en cours d'exécution :
http://assiste.com.free.fr/p/comment/co ... er_process

ActiveX
Cette technologie est très dangereuse. En sus, elle n'est pas standard. C'est un truc propriétaire à Microsoft. Il est bon que tu sois averti chaque fois qu'un contrôle ActiveX tente de se lancer / s'installer car c'est par là que s'installe la quasi-totalité des grosses malveillances actuelles. Cette technologie donne accès à toutes les ressources. Il est préférable de l'inhiber complètement. Il est même préférable d'interdire à Internet Explorer tout accès au Net et d'utiliser une alternative propre comme Mozilla qui ne connaît pas les ActiveX et est donc immunisé par nature.

Barre du bas.
? Je ne me souviens plus où est le paramètre. Quelqu'un d'autre va de donner la réponse.

E-mail privé:
Va sur mes forums
http://terroirs.denfrance.free.fr/forum ... /index.php
De là, tu peux m'envoyer un mail privé

DSO exploit:
C'est un petit bug dans SpyBot. Patrick le corrigera un jour, lorsqu'il aura le temps.

Bon, je te poste déjà ces réponses avant la prochaine coupure de courant. Je deviens de plus en plus méfiant et parano.

Pierre (aka Terdef)


Re bonjour Herspear1

Encore une coupure !!! Grrrrr !!! Je finirais par m'acheter un onduleur.

C’est quoi cette ligne chat avec voilà ? Je n’ai jamais eu à faire avec eux.
Fixe la.



Logfile of HijackThis v1.97.7
Scan saved at 13:55:53, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE


C:\Program Files\UPSurfer Pro\UPServ.exe
???
Pourrait être la tâche de gestion d'un onduleur (UPS)
Pourrait être, aussi, une tâche de ASAP Pay Phone Software


C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Dialer Tiscali\Dialer.exe
Tu es client Tiscali ?



C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\moi\HijackThis.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll


O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
Ca, c'est un truc pour chip S3



O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup


O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
32 bureaux virtuels pour carte graphique nvidia - il me semble que tu as une ATI ? Alors ? Fixe.



O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
???
Tu as une SB Live Platinum 1 ou 2 ? Il y a plein de trucs la concernant dans ton log.


O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
???
Tu as bien ultra-dvd-player d'installé ?


O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)


O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
Fixer


O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
Fixer - inutile voire dangereux.


O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c0bc89769 ... 601_fr.cab
Fixer


O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
Ce serait les dns de Wanadoo - fixe si ce n'est pas ton FAI - attention, il te faut conserver l'une des 2 lignes O17

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1
Ce serait un dns de Tiscali - fixe si ce n'est pas ton FAI - attention, il te faut conserver l'une des 2 lignes O17.

A+

Pierre (aka Terdef)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28385
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede pierre » 25 Juin 2004, 00:56

Re,

J'insiste : fixe ce que je t'ai signalé et installe un firewall.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28385
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede bay » 25 Juin 2004, 08:30

Bonjour , il faudrait verifier le contenu et sans doute efface le fichier file://C:\DOCUME~1\RGIS~1\LOCALS~1\Temp\sp.html
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Herspear » 25 Juin 2004, 11:27

Bonjour Bay,

J'ai retrouvé le fichier sp.html. Il se situe dans c:\window\temp. Il fait 8 Ko. Par contre pour verifier son contenu je ne sais pas faire. As tu une idée ? Si oui, dis moi et j'essaierai de te faire une copie du contenu. Merci encore. Herspear
Herspear
 
Messages: 19
Inscription: 24 Juin 2004, 11:57

Messagede bay » 25 Juin 2004, 12:42

Herspear a écrit:Bonjour Bay,

J'ai retrouvé le fichier sp.html. Il se situe dans c:\window\temp. Il fait 8 Ko. Par contre pour verifier son contenu je ne sais pas faire. As tu une idée ? Si oui, dis moi et j'essaierai de te faire une copie du contenu. Merci encore. Herspear
Bonjour , supprime le, ou renomes le en .brol . Refixe les éléments douteux ( de préférence en mode sans echec ou avec restauration desactivé ) et verifie ensuite .
Tu peux l'envoyer à l'adresse de bay suivi d'astucien.com pour analyse , merci !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités