Help ! demande d'analyse d'un log !

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Help ! demande d'analyse d'un log !

Messagede Strategher » 27 Juil 2004, 09:37

Bonjour,

j'ai un souci. Dès que je veux ouvrir IE, il y a une adresse qui s'affiche et que je n'arrive pas à virer, car à chaque reboot, elle revient. Pourtant, j'ai utilisé Spyware Blaster et Spy Bot Search&Destroy. Là j'avoue ne plus savoir que faire alors je vous pose la question, et voici le log HiJackThis :

Logfile of HijackThis v1.98.0
Scan saved at 09:28:40, on 26/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.50.173.253/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.50.173.253/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.173.253/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.173.253/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateu ... Helper.cab

J'espère que vous pourrez m'aider à éradiquer ce truc
Merci

Strategher
Strategher
 
Messages: 4
Inscription: 27 Juil 2004, 09:29

Messagede Tesgaz » 27 Juil 2004, 09:53

Salut Strategher,

alors,
il faut supprimer ces entrées par l'intermédiaire de l'outils msconfig =>onglet démarrage :
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe


ensuite ces entrées avec le fix de hijackthis :
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.50.173.253/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.50.173.253/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.173.253/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.173.253/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe

ensuite, chercher ces fichiers sur ton disque dur pour les supprimer :
C:\WINDOWS\System\blank.htm
C:\WINDOWS\System32\winupd.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe

et redémarrer
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede le gromleux » 27 Juil 2004, 10:06

bonjour Strategher,

il semble que pour éviter que winupd.exe ne revienne, il faille effacer en même temps RegCompres (REGCPM32.EXE), atisrc2 (windfind.exe) and mmxrun (msosa.exe) , les as-tu sur ta machine ?

pour info, il apparaît que ce soit un numéroteur qui te dirige sur des sites dits "adultes" ( attention à la facture téléphonique !)

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede Vazkor » 27 Juil 2004, 15:49

Bonjour,

J'ai pu vérifié que Strategher a une connexion ADSL chez 9online.
Risque-t-il de voir un dialer composer un numéro surtaxé dans ce cas-là? Je l'ignore, et n'ayant qu'un liaison par câble, moi je sais qu'ils peuvent tous danser sur leur tête.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede pierre » 28 Juil 2004, 13:19

Bonjour Jean_Claude, Tesgaz et tous les autres,

Non, pas de fonctionnement d'un dialer possible en ADSL. Il faut avoir un modem RTC pour que cela fonctionne. Certains peuvent avoir les 2, ou du 2 en 1. Je ne sais pas, par exemple, ce qui se passerait avec une FreeBox.

Par contre, si le dialer s'est installé, même s'il ne peut rien faire, il faut rechercher la faille de sécurité qui a permis cela. Probablement l'exécution d'un contrôle ActiveX.

En ce sens, Tesgaz, peux-tu expliquer (justifier) tes préconisations afin que tous apprennent, et moi avec, pourquoi il faut faire ceci et cela.

Merci à tous et bonne journée.

Nota,
Malheureusement, l'initiateur de ce thread poursuit sur un autre thread. Je le verrouille pour que l'on revienne ici.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29416
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede nickW » 28 Juil 2004, 15:02

CECI EST UNE COPIE DU NOUVEAU MESSAGE DE STRATEGHER (verrouillé par Pierre)

Salut !

Tout d'abord, merci pour la rapidité de vos réponses, c génial !
Tout me semblait avoir fonctionné correctement, car après redemarrage, tout semblait en place. Mais depuis que j'ai arreté l'ordinateur et donc relancé ce matin, il y avait au niveau de la page d'accueil une adresse bizarre avec des n° et des pourcentages. Je pense qu'il restait peut être l'un ou l'autre éléments à éradiquer ? Mais lesquels ?
Par ailleurs, je n'ai a priori rien trouvé parmi ces éléments là sur ma bécane (peut être ai-je mal cherché ?)
RegCompres (REGCPM32.EXE), atisrc2 (windfind.exe) and mmxrun (msosa.exe)

Pouvez vous éclairer ma lanterne ? Voici le dernier log d'HiJackThis
Merci !

Logfile of HijackThis v1.98.0
Scan saved at 12:53:26, on 28/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Yann\Local Settings\Temp\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateu ... Helper.cab
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede pierre » 28 Juil 2004, 15:34

Bonjour Strategher

Peux-tu me faire parvenir ces 2 fichiers, s'il te plait
C:\WINDOWS\Web\tips.ini
C:\WINDOWS\hh.htt

Egalement, fait une copie intégrale de l'adresse vers laquelle tu es dirigé et passe-la-moi.

Puis efface tout dans la zone d'adresse et mets y ce qui suit, puis "Entrée" et passe-moi également l'adresse indiquée dans la boîte de dialogue qui va s'ouvrir.

Code: Tout sélectionner
javascript:alert("La véritable URL de la page actuellement affichée est:\n\t\t" + location.protocol + "//" + location.hostname + "/" + "\nSi cette information ne correspond pas exactement à l'URL prétendue, vous êtes en train de regarder une page Web provenant d'un autre site que celui prétendu. C'est une usurpation ou Spoofing utilisée pour diverses malveillances comme le phishing, le hijacking etc. ... Je vous recommande de fermer votre navigateur et de vider les caches de votre navigateur \n\nPierre (aka Terdef)\nAssiste.com");
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29416
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Kethryes » 28 Juil 2004, 16:09

Fixe :
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = (obfuscated)
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateu ... Helper.cab

Dans les lignes 04 est-ce que tout t'est utile ? (c'est tout ce qui demare avec ton ordinateur)

Les lignes 019 sont elles normales ?
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede pierre » 28 Juil 2004, 16:17

Hum... Strategher

Tu me dis donc en MP que tu ne peux pas les trouver.
J'aimerais bien les voir avant qu'ils ne passent à la trappe.
Tu vas faire un démarrage en mode sans échec, lancer un log HiJackThis, noter les noms des fichiers dans les 2 lignes O19 qui apparaissent et les rechercher sans redémarrer.
Egalement, capture-moi cette fichu ligne avec des %, intégralement. C'est le seul moyen d'identifier le site bénéficiaire du hijack puis de remonter au hijack.
Ne fixe pas encore les lignes R0 et R1. J'ai besoin de savoir des choses.

Kethries, Strategher a une extension de service Minitel sur son abonnement qui est manifestement du Wanadoo. La ligne FT est totalement légitime. Par contre Tiscali ? A moins qu'il ne soit un abonné Tiscali et que Tiscali offre le service Minitel.

A plus
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29416
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Strategher » 29 Juil 2004, 08:32

Salut,

je suis passé en mode sans échec, et voici les lignes O19 (scanées avec HiJackThis):

O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)


Après recherche sur mon disque dur, je n'ai pu trouver que ceci :


Pour la ligne 1, j'ai une image GIF et un doc HTML (pas du tout de fichier à l'extension .ini, et pourtant j'ai demandé une recherche de tous les .ini de la bécane)

Pour la ligne 2, j'ai deux docs mode hypertexte : "safemode" et "deskmovr"

Autrement, voici l'adresse, qui se glisse dans IE :
http://in.webcounter.cc/%2d/?%6e%65%77%6c%78%20%20about:blank
Le plus bizarre, c'est que quand j'ai redemarré suite a vos toutes premières instructions, il n'y a pas eu de souci.
Par contre, après une nuit (ordinateur arrêté et redémarré le lendemain), cette adresse est revenue...


Voila pour le moment... :?
Strategher
 
Messages: 4
Inscription: 27 Juil 2004, 09:29

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 30 invités