[OK] Page IE Changée

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Page IE Changée

Messagede grare » 03 Juil 2004, 20:59

Bonsoir,

Depuis 3 semaines, je me bats contre ce ver qui me change constamment ma page de démarrage. J'ai lu et participé au forum de CCM et lu ceux d'ici. J'ai lancé SpyBot, hijackThis etc ... Suivi "La Manip". etc...
Il reste 2 Pb :
1- Spyware stopper me signale beaucoup d'ActiveX et de cookies, ainsi que des BHO. Qu'est-ce j'en fais ? Certains sont signalés en vert, d'autres en rouge. Faut-il les siuprimer, et comment ? (j'en ai 1 1141 !).
2 - SpywareGuard se déclenche maintenant 10 à 12 fois par minute pour me signaler qu'on veut me changer ma page de démarrage. Je réponds bien sûr non. Mais comment repérer et surtout éliminer le truc qui se déclenche ? Et si ce n'est pas possible, comment empêcher que les messages d'avertissement ne s'affichent tout le temps, bloquant toute activité suivie sur l'ordinateur ?

Merci d'avance,

Grare
grare
 

Messagede Sebastien.B » 03 Juil 2004, 21:55

SLt

Utilise Hijack This:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Une fois telecharge lance le, clique sur "scan", fais "save log" puis copie
et colles nous le contenu du rapport sur le forum sans rien faire d'autre.
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede Kethryes » 04 Juil 2004, 08:42

Pour tes activesX tu peut tous les suprimer, c'est de la M....
Tu peut aussi virer tous les cookies sans danger
Pour les BHO il faut en garder seulement 2 : celle de SpywareGuard et celle de Spybot S&D, les autres tu peut les suprimer
@+
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede grare » 04 Juil 2004, 10:02

Pour Sebastien B
Merci de m'avoir répondu.

Voici la liste obtenue avec hijackthis :Logfile of HijackThis v1.97.7
Scan saved at 11:00:51, on 04/07/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\COMMON FILES\WINTOOLS\WTOOLSA.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\COMMON FILES\WINTOOLS\WSUP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAM FILES\CREATIVE\AUDIO\PROGRAM\CTMIX32.EXE
C:\PROGRAM FILES\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\CNXDSLTB.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\ADAPTEC SHARED\CREATECD\CREATECD50.EXE
C:\PROGRAM FILES\ROXIO\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\VPTRAY.EXE
C:\PROGRAM FILES\FLAPMETATIME\DVD ATOM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYWARESTOPPER\SPYWARESTOPPER.EXE
C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAM FILES\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAM FILES\ATNOTES\ATNOTES.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAM FILES\OLYMPUS\CAMEDIA MASTER 4.2\CM_CAMERA.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\NOSDOCUMENTS\GéRARD\DIVERSORDI\FICHIERSRECUS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=40
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WINTOOLS\WTOOLSB.DLL
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WINTOOLS\WTOOLSB.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\WINDOWS\SYSTEM\CnxDslTb.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\vptray.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [PLANJUNK] C:\PROGRA~1\FLAPME~1\dvd atom.exe
O4 - HKLM\..\Run: [SpywareStopper] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYWARESTOPPER\spywarestopper.exe
O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [WinTools] C:\Program Files\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\defwatch.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Raccourci vers ATnotes.lnk = C:\Program Files\ATnotes\ATnotes.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: CAMEDIA Master.lnk = C:\Program Files\OLYMPUS\CAMEDIA Master 4.2\CM_camera.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Recherche AltaVista - file://C:\Program Files\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Traduction - file://C:\Program Files\Dynamic Toolbar\ALTAVISTA\Cache\SelectedContextTranslation.htm
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/app/toolba ... b?r=TOHQBJ
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {25336921-03F9-11CF-8FD0-00AA00686F13} (Microsoft HTML Document 5.0) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 6048842593
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/c ... /tt2_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/c ... jst3_x.cab



Merci
Grare
grare
 

Messagede Jim Rakoto » 04 Juil 2004, 10:42

Salut,

Tout ceci, bêêêêrk :
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WINTOOLS\WTOOLSB.DLL
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WINTOOLS\WTOOLSB.DLL
O4 - HKLM\..\RunServices: [WinTools] C:\Program Files\Common files\WinTools\WToolsA.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\inetadpt.dll
O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Tu pourrais faire essai en mode sans échec et en désactivant restauration système : passer Adaware et Spybot

Voici également un lien en anglais qui donne procédure pour WintoolsA et B
http://www.pchell.com/support/wintools.shtml

A+


Ensemble, vivons le meilleur du pire
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Page IE Changée

Messagede Grare » 04 Juil 2004, 11:24

Merci d'avoir répondu si vite.

Que veut dire bêêêêrk ?
Je dois "fixer" les 7 lignes que tu as citées, ou il y a d'autres chose à faire ? Et pourquoi prendre des mesures particulières pour WintoolsA etB ?

Je ne comprends pas. Que veut dire "en désactivant restauration système" ?

Merci d'avance.
Grare
Grare
 

Messagede Sebastien.B » 04 Juil 2004, 11:40

Oui "beeerk" veut dire que tu dois fixer ces lignes. :)

Voici comment désactiver la restauration du système:
http://www.libellules.ch/desactiver_restauration.php
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede Jim Rakoto » 04 Juil 2004, 13:52

Salut,

Merci Sebastien.B d'avoir explicité

Comme le dit le lien donné, WinTools est une variante de Huntbar.Persistant et très difficile à éradiquer il crée son propre dossier dans Program Files/Common Files .

Le lien donne la méthode manuelle en éditant le registre. Bien expliquée, il suffit de suivre.

Sinon, redémarrer en mode sans échec (F8 au démarrage) et désactiver restauration système, passer Adaware et Spybot comme ceci :

Passer adaware en cochant scan approfondi et personnalisé en cochant toutes les cases "nettoyage " (nettoyage profond, temp, host, etc...)
Ensuite passer Spybot
choisir Mode avançé ( à côté de Fichiers tout en haut > Mode)
> dans Outils > cocher toutes les cases :
Dans la colonne de gauche les cases cochées apparaissent sous forme de menu
Aller dans :
Outils > BHOs > supprimer ceux qui ne sont pas cochés en vert
Outils ActiveX > idem
Outils > pages navigateur > cocher les lignes inconnues, cliquer sur changer et choisir dans le menu déroulant About:blank (ceci va bloquer les pages IE anormales)
Outils > effaceur de sécurité > aller dans "Modèles" > choisir : "ajouter fichiers du cache internet" (ce sont les fichiers temporaires dans lesquels se trouvent les spywares pour se relancer en permanence) > cliquer sur déchiqueter la liste qui apparaît
choisir ensuite toujours dans modèles : "ajouter les fichiers du dossier temp > cliquer à nouveau sur déchiqueter > tout se met avec un V en vert
dans fichiers Hosts > sélectionner "ajouter fichiers Hosts (ceci va protéger contre des sites malveillants)
dans "Ajustements IE" > cocher la case devant : verrouiller le fichier Hosts.....
Toujours dans Outils, choisir "Résident" > cocher la case devant SDhelper
dans Réglages > modules additionnels > cocher les deux cases tout en bas
dans Vaccination > vacciner

Il n'y a plus qu'à lancer Spybot pour vérifier !
cocher tout ce qu'il trouve, y compris les cases en vert et clic sur "corriger problèmes" .
Il devra terminer en relançant le PC.

Il ne suffit pas de fixer des lignes dans le scan HijacThis pour détruire Wtools

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Page IE Changée

Messagede Grare » 04 Juil 2004, 18:13

Bonjour,

J'ai utilisé ta méthode, Rakoto :

Mode sans erreur, mais pas en désactivant restauration système car je pense que ça n'existe que sous XP. (j'ai Win98)
Les menus de "AdAware" ne sont pas ceux que tu annonces, mais je pense avoir fait ce qu'il fallait.
Pour Spybot, tout n'a pas marché comme prévu :
La suppression des ActiveX non cochés en vert semble impossible. Ou alors, comment faire ? le bouton "erase" ne marche pas, ni la touche Suppr.
Le clic sur le bouton "Résident" me provoque un messages d'erreur en allemand : "überschreitet Memo-Kapazität"

Le lancement de "vérifier tout" m'a signalé 18 pb que j'ai supprimés, mais la relance 2 fois de suite de cette vérif me donne 2 Pb résistants : MS MediaPlater (en vert) et DSO EXPLOIT (en rouge).
Et j'ai du relancer le PC manuellement.

Hélas, j'ai toujours mes demandes intempestives pour changer ma page de démarrage !
Le programme malveillant n'est donc toujours pas éradiqué...

Je suis au bord du désespoir !

Autre demande : Kethryes dit de supprimer tous les ActivesX et les cookies détectés par Spy Ware Stopper (j'ai 1 141 ActiveX et 457 Cookies). Mais comment faire ? SWS ne semble pas donner de menu pour cela.

Merci d'avance,

Grare
Grare
 

Messagede Vazkor » 04 Juil 2004, 18:34

Bonsoir,

Il aurait été judicieux de dire tout de suite que tu es sous Windows 98, où il n'y a pas de restauration système.
Le clic sur le bouton "Résident" me provoque un messages d'erreur en allemand : "überschreitet Memo-Kapazität"

A moins que je me trompe lourdement, Resident là te dit qu'il y a un dépassement de capacité mémoire.

Combien as-tu de Mo de RAM sur ton système?
2 Pb résistants : MS MediaPlater (en vert) et DSO EXPLOIT (en rouge)

S'il s'agit du MS Media Player, c'est normal. Les DSO Exploits détectés, c'est un bug de Spybot. Ne t'en occupe pas.
(j'ai 1 141 ActiveX et 457 Cookies)

Là, tu mérites d'être inscrit au Guiness Book des records :wink:

Consulte la Mini Manip décrite sur le forum Logs Hijackthis.
http://terroirs.denfrance.free.fr/forum ... php?t=2109
Exécute un HiJackThis: Fais le scan uniquement, ne fixe rien encore. Après le scan, tu cliques sur Save Log et tu copies le rapport ici.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 23 invités