Demande d'analyse d'un log Hijackthis

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Demande d'analyse d'un log Hijackthis

Messagede Saperlipopette » 16 Aoû 2004, 20:23

Bonsoir, j'ai un problème avec about:blank dont je n'arrive pas à me débarrasser.
Serait-il possible que quelqu'un me vienne en aide et annalyse le scan que j'ai fait avec Hijackthis afin de me dire s'il y a quelque chose de suspect et si oui que dois-je faire ?
Merci d'avance.:wink:

Logfile of HijackThis v1.98.2
Scan saved at 21:18:20, on 16/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
D:\Winamp\winampa.exe
D:\Java\bin\jusched.exe
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
D:\Imprimante\XWCTray.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
D:\Messenger plus !\MsgPlus.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
D:\Incredi\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\INCRED~1\bin\IBMain.exe
D:\Star downloader (acc. de téléchgt)\Star Downloader\stardown.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\LEON\Mes documents\leon37\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zlvbanpouewrladmy.com/fQqPsH ... IbTro4.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kzfiydoxxmnucoinw.com/fQqPsH ... SnSV1E.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IBBHO Class - {12BA043E-293E-4CE4-A8C7-8460934FE801} - C:\Program Files\IncrediBar\bin\IBBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6233ECA4-6812-883F-7105-C17FE29056A8} - C:\PROGRA~1\GLOBAL~1\mp3part.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\STARDO~1.DET\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: IncrediBar - {D8073790-84C7-4602-BF77-C6ACBF1612E4} - C:\Program Files\IncrediBar\bin\IBTBar.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Java\bin\jusched.exe
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [ControlCentreTray] D:\Imprimante\XWCTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Messenger plus !\MsgPlus.exe"
O4 - HKLM\..\Run: [Idlebuild] C:\PROGRA~1\scr mail team\LiveHtmBold.exe
O4 - HKLM\..\Run: [Blueintraplaybind] C:\Documents and Settings\All Users\Application Data\Default Funk Blue Intra\Scr wave.exe
O4 - HKCU\..\Run: [IncrediMail] D:\Incredi\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Messenger plus !\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader(2).lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\Incredi\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Télécharger avec Star Downloader - D:\Star downloader (acc. de téléchgt)\Star Downloader\sdie.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: IncrediBar - {023FA804-DCE1-4817-94ED-6BA4200F9AF2} - C:\Program Files\IncrediBar\bin\IBTBar.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mci ... insctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcg ... cgdmgr.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E838E43-7DEB-4938-A8FD-A8180777FAB7}: NameServer = 80.10.246.130 80.10.246.3
Saperlipopette
 
Messages: 4
Inscription: 16 Aoû 2004, 20:15
Localisation: France, au bord de l'eau

about blank saperlipopette

Messagede Gargantua » 16 Aoû 2004, 22:00

Saperlipopette, Bien le bonsoir et bienvenue au forum de assiste.com,
Tu le bonjour de Nikita ...

Bravo pour ce premier jet de HiJackThis 1.98.2.

Ton problème de internet explorer qui renvoie sur une page détournée est décrit dans LA MANIP (vers la fin).

Pour mieux comprendre voici un extrait:
# About:Buster (par RubbeR DuckY) est la réponse à donner contre la variante res:// de About:Blank. About:Buster ne sert pas contre les autres variantes de hijack, uniquement contre la variante de la forme

* res://<random>.dll/<random>.html#<random>
et, avec un peu de chance, contre la forme connue sous le nom de sp.html
res://<random>.dll/sp.html


<random> signifiant, puisque la question a été posée plusieurs fois, "nom aléatoire changeant tout le temps et généré à la volée" - autrement dit, n'importe quoi.

# Téléchargez About:Buster http://www.tools.zerosrealm.com/AboutBuster.zip ou http://www.downloads.subratam.org/AboutBuster.zip
# Dézippez-le et mettez un racourci sur votre bureau.
# Fermez toutes les instances Internet Explorer, toutes les fenêtres et tous les programmes.
# Videz tous les caches de vos navigateurs (avec SpyBot Search & Destroy par exemple).
# Faites un log HiJackThis et fixez toutes les DLLs du groupe O4 qui ont des noms aléatoires ainsi que le/les BHOs de même nature. Toutes les DLLs et tous les BHOs connus (légitimes ou non), sont cités sur le Web - si vous lancez une recherche sur un nom de DLL ou de BHO et n'obtenez pas de résultat, c'est une hostilité à fixer. Fixez les lignes R0 et R1 hijackées n'est pas utile à l'instant présent mais vous pouvez le faire.
# Redémarrez en mode sans echec (Impérativement en mode sans échec).
# Double click sur About:Buster.
# Ok
# Start
# Ok
# Un scan est exécuté (attendre quelques secondes).
# Sauvegardez le log de ce scan dans un fichier .txt quelconque afin de le retrouver si vous êtes amené à consulter un helper sur un forum.
# Refaites un second scan, pour voir.
# Si vous obtenez un message "Error Removing", c'est un fichier impossible à détruire. Considérez alors "Outil contre un fichier impossible à supprimer" juste au-dessus.
# Redémarrez en mode normal.
# Lancez HiJackThis postez votre log dans ce forum.

# * hsremove Autre outil contre les variantes res:// et sp.html
# * SpHjfix.exe Autre outil contre la variante sp.html. En allemand, par les sites Rokop-Security et Trojaner-Info

La manip d'Assiste.com
Pierre Pinard©


Pour le log voici ce qui me parait suspect et à fixer avec HiJackThis (Fix Checked)
Mais, tu dois attendre la confirmation d'un modérateur du site.


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zlvbanpouewrladmy.com/fQqPsH ... IbTro4.asp

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kzfiydoxxmnucoinw.com/fQqPsH ... SnSV1E.php

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html


Il faudra faire la mini manip, si possible avant, et ceci en mode sans échec (tapoter touche F8), pensez aussi à vider les fichiers temporaires de internet explorer et ceux de windows (Temp).
LA MINI MANIP = http://terroirs.denfrance.free.fr/forum ... php?t=2109

Amitiés.
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Saperlipopette » 16 Aoû 2004, 22:43

Rebonsoir,

Merci Gargantua pour ton aide j'ai suivi les instructions et je joins donc mon nouveau log. Mais j'ai toujours mon problème de page blanche avec "about:blank" dans la barre d'adresse. Peut-être peux-tu encore m'aider ? :wink:
Merci d'avance. :D

P.S: Bonjour à Nikita (même si je n'ai pas très bien saisie l'allusion, manque de culture sûrement. :Mouaaarrrrffffffff: )

Logfile of HijackThis v1.98.2
Scan saved at 23:35:35, on 16/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\Incredi\INCRED~1\bin\IMApp.exe
C:\Documents and Settings\LEON\Mes documents\leon37\HijackThis.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/inde ... google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://giyfrftdakqqeeg.com/fQqPsHAqJaq1 ... nSV1E.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
O2 - BHO: IBBHO Class - {12BA043E-293E-4CE4-A8C7-8460934FE801} - C:\Program Files\IncrediBar\bin\IBBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\STARDO~1.DET\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: IncrediBar - {D8073790-84C7-4602-BF77-C6ACBF1612E4} - C:\Program Files\IncrediBar\bin\IBTBar.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [XWMSUSBAPI] C:\WINDOWS\System32\Drivers\XWMSAPI.EXE
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Idlebuild] C:\PROGRA~1\scr mail team\LiveHtmBold.exe
O4 - HKLM\..\Run: [Blueintraplaybind] C:\Documents and Settings\All Users\Application Data\Default Funk Blue Intra\Scr wave.exe
O4 - HKCU\..\Run: [IncrediMail] D:\Incredi\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Messenger plus !\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader(2).lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\Incredi\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Télécharger avec Star Downloader - D:\Star downloader (acc. de téléchgt)\Star Downloader\sdie.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: IncrediBar - {023FA804-DCE1-4817-94ED-6BA4200F9AF2} - C:\Program Files\IncrediBar\bin\IBTBar.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mci ... insctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcg ... cgdmgr.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
Saperlipopette
 
Messages: 4
Inscription: 16 Aoû 2004, 20:15
Localisation: France, au bord de l'eau

Messagede Sebastien.B » 16 Aoû 2004, 22:43

Bonsoir, :)


Incredimail est déconseillé sur le site de Pierre...
Tu devrais faire du ménage sur les logiciels qui se lancent au démarrage,
fais démarrer, executer puis tappes msconfig et ensuite décoche les logiciels qui
ne servent à rien au démarrage.

As tu passé au prélalable un coup d'antivirus à jour, d'anti spyware tels que Spybot 1.3 et Ad-Aware SE?
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

About Léon

Messagede Gargantua » 16 Aoû 2004, 23:30

Bonsoir Saperlipopette, c'est noëL !

Nikita et Léon de Luc Besson, les tontons flingeurs d'un nouveau style. :)

Tu es un rapide de la gachette, ombré. Mais, tu n'as pas attendu la réponse d'un modérateur, et en 43 minutes tu as tout fait la minimanip en mode F8 sans échec... cool.

Comme le conseille aussi Sébastien, il est bon de "Nettoyer" la vermine avec les flingues cités. A faire surtout en mode sans échec, il faut aussi avoir auparavant supprimer tous les fichiers temporaires, ceux du temp, etc.

Il est bon aussi d'abandonner le joli incredimail (super page de fond, etc) Il est vecteur de spywares à donf.
Si tu le désinstalles, il sera bon ensuite de fixer tout ce qui s'y rapporte.

Observe ton nouveau log:

Je propose de fixer en plus, des trucs nouveaux:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/inde ... google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://giyfrftdakqqeeg.com/fQqPsHAqJaq1 ... nSV1E.html


Bizarre aussi que les lignes 08 reviennent ?

As tu utilisé le programme About:Buster http://www.tools.zerosrealm.com/AboutBuster.zip ou http://www.downloads.subratam.org/AboutBuster.zip c'est aussi un flingue dernier modèle.

Tu peux vérifier aussi l'authenticité de tes fichiers, ou ceux douteux sur Pestpatrol http://research.pestpatrol.com/Fileinfo ... leInfo.asp

Bref tu en as jusqu'à l'aube.

A+
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Invité » 16 Aoû 2004, 23:59

Bonsoir Saperlipopette, bonsoir Gargantua,

Voici une première analyse (ma première postée, en fait), mais avant de fixer les lignes en gras attends l’avis d’un modérateur, je ne voudrais pas te faire supprimer ce qu’il ne faut pas !!!

Pour information, je me base sur mes connaissances, un tutorial, mon propre log qui est nickel, et les sites suivants :
http://www.Sysinfo.org
http://www.liutilities.com/products/wintaskspro/processlibrary/

Remarque :
Tu as sur ton ordinateur la barre d’outils de Google et Incredit Find qui sont installés. La barre d’outils a demandé ton accord pour l’install (garde-la si tu veux), mais le deuxième est malveillant (spyware), renseigne toi sur assiste.com ou auprès d’un modérateur.


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zlvbanpouewrladmy.com/fQqPsH ... IbTro4.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.kzfiydoxxmnucoinw.com/fQqPsH ... SnSV1E.php

Ces lignes (R0, R1, R2, R3) représentent la page de démarrage de IE, il est conseillé de la configurer sur celle de ton FAI (page sécurisée).


O2 - BHO: IBBHO Class - {12BA043E-293E-4CE4-A8C7-8460934FE801} - C:\Program Files\IncrediBar\bin\IBBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll


O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: IncrediBar - {D8073790-84C7-4602-BF77-C6ACBF1612E4} - C:\Program Files\IncrediBar\bin\IBTBar.dll

Barres d’outils de IE inutiles

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
S’agit-il de Nvidia ? tu semble pourtant avoir une carte vidéo ATI !!!
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ControlCentreTray] D:\Imprimante\XWCTray.exe
O4 - HKCU\..\Run: [IncrediMail] D:\Incredi\INCRED~1\bin\IncMail.exe /c


O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\Incredi\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Télécharger avec Star Downloader - D:\Star downloader (acc. de téléchgt)\Star Downloader\sdie.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
Les lignes 08 représentent le clique-droit modifié sous IE, alors à toi de les enlever si elles sont inutiles. Je garderais uniquement StarDownloader.


O9 - Extra button: IncrediBar - {023FA804-DCE1-4817-94ED-6BA4200F9AF2} - C:\Program Files\IncrediBar\bin\IBTBar.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

Lignes 09 : Bouton supplémentaire dans la barre des tâches de IE


O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/


O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab



Maintenant, attends l'avis d'un modérateur avant de commencer.
J'espère t'avoir aidé, même juste un peu. Mouaaarrrrffffffff :Mouaaarrrrffffffff:

tchao :wink:
Invité
 

Messagede Invité » 17 Aoû 2004, 00:01

PS : je me suis basé sur ton premier log
Invité
 

Messagede Revan » 17 Aoû 2004, 00:03

WHAT A SHIT !!!

désolé mais j'ai oublié de me connecter, c'est moi Revan (les 2 posts juste en haut).

tchao :wink:
Image Image
XP Home SP2, Mozilla 1.7.3, NAV 2003, Kerio PF, Spybot S&D, SpywareGuard, SpywareBlaster, HijackThis 1.98.2, Ad-aware 6, ZEB-Protect ...
Avatar de l’utilisateur
Revan
 
Messages: 187
Inscription: 17 Juil 2004, 10:54
Localisation: Dijon

trois prog tueurs de SP.html

Messagede Gargantua » 17 Aoû 2004, 01:08

Salut Revan,

Très bien de te lancer sur l'interprétation d'un log HJT, il est surtout important de signaler notre niveau de compétence. Donc pour les aidants en Herbe (comme moi) je préfère dire aux "sinistrés" d'attendre confirmation d'un modérateur qui a plus d'expérience et de recul que nous autres novices.

La Shit que saperlipopette a chopé est une variante du SP.html.
Quand on voit le res:// on doit se méfier de ce coolwebsearch vérolé.

En plus du...
"Fix Checked" de HiJackthis 1.98.2 HijackThis 1.98.2 :
http://img39.exs.cx/img39/766/hijackthis-1-98-2.jpg
Note importante: Faire un clic droit sur le lien, enregistrer sous..., puis changer l'extension du fichier téléchargé, de .jpg en .zip


il y a ... 3 logiciels exterminateurs SPECIALISES pour ce type de crotte, burk ...

1) Le About-Buster http://www.tools.zerosrealm.com/AboutBuster.zip (le plus connu depuis un mois)
2) le hsremove http://www.hsremove.com (anglais)
3) le Sp_Hj_fix http://www.Rokop-Security.de (allemand)


A+
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Messagede Saperlipopette » 17 Aoû 2004, 10:47

Bonjour et merci à tout le monde :)

A titre d'info j'ai déjà essayé les trucs suivants:
About-Buster
Hsremove
Sp-Hj-fix
CWShredder
Miniremoval
et en plus de ça les logiciels que j'ai déjà sur mon ordinateur, à savoir Ad-aware, Spybot, A² et bien sur mon anti-virus.

Pour Revan, oui j'ai bien une carte ATI.

En plus c'est que ça s'étend ce machin, parce qu'au tout début je n'avait qu'une page blanche marquée about:blank dans la barre d'adresse et ce, quand je fermais le fichier de mes programmes téléchargés. Et maintenant, j'ai une barre de recherche sur ma page web, des raccourcis inconnus sur mon bureau et des favoris que je n'avais jamais vu avant. :(

Bye :wink:
XP home, McAfee virusscan et firewall, Ad-aware SE, Spybot search & destroy, A²...
Saperlipopette
 
Messages: 4
Inscription: 16 Aoû 2004, 20:15
Localisation: France, au bord de l'eau

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités