[OK] Besoin d'aide svp face au méchant about:blank

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Besoin d'aide svp face au méchant about:blank

Messagede Julie » 04 Juil 2004, 18:28

Bonjour,

Je suis un peu perdue!!
J'ai compris que mon ordinateur avait été infecté par un spyware qui me lançait tj la page about:blank en page de démarrage d'Explorer. J'ai installé Spybot et Ad-aware. J'arrive ainsi à être prévenue et à éliminer l'intrus quand il se réveille... mais je n'arrive pas du tout à lui faire quitter mon ordinateur. Il revient toujours à l'attaque, au bout d'un moment.
En plus, j'ai comme l'impression qu'il y a toujours kekchose qui tourne en tâche de fond sur mon ordinateur... ce qui le fait manquer de mémoire virtuelle au bout d'un moment.

C'est lassant! (et encore, je suis polie, là)

En lisant tous vos conseils, j'ai installé HiJack et voici le log qu'il me donne:


Logfile of HijackThis v1.98.0
Scan saved at 19:26:00, on 04/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Outlook Express\msimn.exe
C:\HiJack\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: ChatSpace Full Java Client 3.1.0.224 - http://surechat.com:9000/Java/cfs31224.cab
O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://surechat.com:9000/Java/cfs31229.cab
O16 - DPF: ConferenceRoom Java Client - http://chat.webmaster.com/java/cr.cab
O16 - DPF: Interface Chat Wanadoo - http://chat4.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCD8BA71-48EC-466B-A161-6674E6201CFF}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll

Quelqu'un peut m'aider en me disant ce que je dois fixer et toute autre manip nécessaire? Je lui en serais reconnaissante!
Julie
 

Messagede Vazkor » 04 Juil 2004, 19:00

Bonsoir Julie,

Je commencerais par examiner les propriétés de l'exécutable cité ici:
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

Cette ligne est la seule qui me paraît vraiment suspecte.

J'ai rien trouvé de particulier à ce sujet sur Google sauf que c'est un "(resource hog)", autrement dit un "bouffeur" de ressources système

O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
Fixe aussi cela. Si c'est pas dangereux, c'est probablement tout à fait inutile.

Fixe aussi tous les O16 et le O18.

Refais un Hijackthis ensuite, si les problèmes persistent.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Invité » 04 Juil 2004, 19:18

Merci des tuyaux.

J'ai fixé hphmon05.exe, hphupd05.exe et les O16 et le O18.

Pour le UpdReg.EXE, comme moi non plus, je ne sais pas ce que c'est, je vais rester prudente et ne pas le killer tout de suite.

Je viens de rebooter et je vais voir si mon ordinateur continue à faire des siennes ou pas. L'attaque de la page de démarrage pouvait ne pas arriver de suite, avant.

Je vais donc voir ce que ça donne et je te tiens au courant.

En tout cas, merci de ton aide.
Invité
 

Messagede Julie » 04 Juil 2004, 19:27

Bon, le résultat ne s'est pas fait attendre très longtemps.
Ca recommence!!!

Je deviens folle!! :(
Julie
 

Virus NWIZ ?

Messagede Gargantua » 04 Juil 2004, 20:15

Bonsoir Julie & Vazkor,

Je pense que cette ligne
HKLM\..\Run: [nwiz] nwiz.exe /install est douteuse

Sur Google il est dit que c'est un spyware.

Je vais vérifier plus à DONF
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Julie » 04 Juil 2004, 20:23

hé j'ai pitetre trouvé par moi-même!!

A la ligne:
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCD8BA71-48EC-466B-A161-6674E6201CFF}: NameServer = 213.36.80.1 213.36.80.1
il y a ce qui ressemble à une adresse IP.

J'ai tapé celle-ci dans IE et, ho surprise!!!, je tombe sur la page qui s'affichait quand je laissais faire le about:blank, avec, c'est un comble!!, un pop-up qui s'ouvre me mettant en garde contre les spywares!!!!!!!

Allez, hop, v'là que cette ligne est fixée.... l'espoir renait!! :)
Julie
 

Re: Virus NWIZ ?

Messagede Julie » 04 Juil 2004, 20:26

Gargantua a écrit:Bonsoir Julie & Vazkor,

Je pense que cette ligne
HKLM\..\Run: [nwiz] nwiz.exe /install est douteuse

Sur Google il est dit que c'est un spyware.

Je vais vérifier plus à DONF


J'ai déjà vérifié mais en fait c'est un programme de N-Vidia (la marque de la carte 3D de mon Pc). Donc, apparemment, c'est normal... même si je ne suis pas certaine qu'il serve à qqchose!

Mais merci de ton intervention, Gargantua :)
Julie
 

Messagede Vazkor » 04 Juil 2004, 20:43

Bonsoir,

La ligne
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCD8BA71-48EC-466B-A161-6674E6201CFF}: NameServer = 213.36.80.1 213.36.80.1
ne devrait contenir que les IP des DNS de ton FAI.

Si bien sûr, cela t'envoie vers la page des brigands, c'est le coupable! Il faut fixer cela et rétablir les bons DNS.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Julie » 04 Juil 2004, 20:45

euh... c quoi les DNS? :)
et comment on les rétablit?

Merci en tout cas Vazkor
Julie
 

nvidia driver

Messagede Gargantua » 04 Juil 2004, 20:50

Je cherche mais ne trouve,

En effet le nwiz.exe serait en rapport avec le driver nvidia, en espérant qu'il n'a pas été renommé par un virus, car on trouve le cas d'un trojan utilisant cette méthode, mais ce virus date de fin 2003.

Pour ton adresse IP, elle est bien l'adresse de ton FAI
Rapport WHOIS:
inetnum: 213.36.80.0 - 213.36.100.143
netname: FR-PRAXITEL-2000
descr: Tiscali France
country: FR
admin-c: BG34
admin-c: LTAD1-RIPE
tech-c: TTFR1-RIPE
status: ASSIGNED PA

A+
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités