Starpage.6.Q

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Starpage.6.Q

Messagede Cafou » 20 Aoû 2004, 16:08

Bonjour,

J'ai écrit il y a quelques temps a propos de ce virus (post de Julie concernant about: blank) et AVG me nettoyait toujours ce virus mais de retour des vacances, j'ai eu un nouveau virus (Dropper.Delf.3.L soigné par Avg après désactivation de la restauration système seulement sinon AVG le mettait dans le 'coffre'). Bref !

Maintenant, AVG ne me soigne plus Startpage.6.Q, il le mets dans le vault et c'est tout ... De plus l'ordinateur est tout bizarre, beaucoup de programmes s'arrêtent en cours pendant 2 minutes et repartent après ou ne répondent pas, tout simplement !

Ca marche quand même mais c'est bizarre !

Question 1 : j'ai fait une mauvaise manip avec Avg ou pas ?
Question 2 : je panique et je formate mon disque dur (tout est déjà sauvegardé ailleurs !)
question 3 : pouvez-vous regarder ce log et me dire s'il y a des petites choses à changer, merci ! mais c'est vraiment pas urgent, car je pars en week-end calme, sans toucher à l'ordinateur....

Merci pour tout et bon week-end

Cafou

Logfile of HijackThis v1.98.0
Scan saved at 16:50:54, on 20/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Mes téléchargements\HIJACKTH.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {50407B64-53CF-4879-B00D-5EEF2EB381F8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7054C26E-74D2-466C-969C-975EE17B9D44} - C:\WINDOWS\System32\nkcjgaa.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/281199ef0d3e935712 ... 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O18 - Filter: text/html - {7E364A4B-53BE-42B8-8107-5439520E05EA} - C:\WINDOWS\System32\nkcjgaa.dll
O18 - Filter: text/plain - {7E364A4B-53BE-42B8-8107-5439520E05EA} - C:\WINDOWS\System32\nkcjgaa.dll
Cafou
 
Messages: 12
Inscription: 05 Juil 2004, 11:01
Localisation: Caen

Aide-toi, Assiste t'aidera...

Messagede Cafou » 23 Aoû 2004, 15:57

Bonjour,

Je viens de lire un tutorial sur HijackThis et je voudrais savoir si j'ai bien compris. J'ai mis en gras les lignes qui paraissent étranges et qui devraient être 'fixer' mais j'aimerais être sûre.

Désolée de prendre de votre temps.
Merci pour tout !


Logfile of HijackThis v1.98.0
Scan saved at 16:39:23, on 23/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\CODRON\Bureau\MPLAYERC.EXE
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Mes téléchargements\HIJACKTH.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {50407B64-53CF-4879-B00D-5EEF2EB381F8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/281199ef0d3e935712 ... 601_fr.cab ?????
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
Cafou
 
Messages: 12
Inscription: 05 Juil 2004, 11:01
Localisation: Caen

Messagede Vazkor » 23 Aoû 2004, 17:52

Bonsoir Cafou,

Tu n'abuses pas de mon temps, tu m'aides au contraire à le tuer.

Je vois que tu as bien retenu la leçon: ce que tu as mis en gras peut être fixé sans hésiter.

O2 - BHO: (no name) - {50407B64-53CF-4879-B00D-5EEF2EB381F8} - (no file)
Je ne trouve pas de trace de ce {50407B64-53CF-4879-B00D-5EEF2EB381F8} dans la liste des BHO de Sysinfo, pas plus que sur Google.
Donc a priori, méfiance. Cela peut être un BHO créé de manière aléatoire et la source de tes ennuis.
A ta place je le fixerais avec HJT. Si tu remarques que cela ne change rien ou qu'un de tes programmes ne fonctionne plus comme avant tu pourras toujours restaurer la sauvegarde de HJT.
Tu peux aussi faire une recherche dans la BDR, pour voir si tu ne trouves rien dans celle-ci pour t'éclairer.

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup

Est-ce bien utile d'avoir ces antivirus lancés au démarrage? Attention à n'en avoir qu'un seul activé en même temps pour scanner les fichiers en temps réel, sinon c'est le télescopage assuré. Ils vont se marcher sur les pieds et se battre pour examiner les fichiers. Il vaudrait mieux n'en lancer qu'un seul et garder les autres pour contrôler un scan en cas de doute.

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
Il vaut mieux faire toutes ses mises à jour manuellement. Pas la peine d'avoir des trucs de ce genre qui tournent en permanence sauf pour son antivirus principal.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Cela a été mis par SpyBot. C'est inutile si tu es la seule personne a avoir accès à ton PC.

O16... Tu peux les fixer tous.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Merci Merci

Messagede Cafou » 24 Aoû 2004, 11:21

Bonjour,

Je viens de fixer tout ça mais (et oui, il y toujours un 'mais', sinon ce serait trop facile...) j'ai refait un scan que voici :

Logfile of HijackThis v1.98.0
Scan saved at 12:17:24, on 24/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Mes téléchargements\HIJACKTH.EXE

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40

Question : pourquoi je ne peux pas fixer F0 ? Elle se ré-inscrit toujours, c'est normal ?

Sinon ça va super mieux voire super bien !

Merci pour tout

Cafou
Cafou
 
Messages: 12
Inscription: 05 Juil 2004, 11:01
Localisation: Caen

Messagede le gromleux » 24 Aoû 2004, 11:37

bonjour Cafou,

tu n'as pas la dernière version de HJT qui en est à 1.98.2
refait la même manip avec la dernière version
ton souci devrait disparaître

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Merci

Messagede Cafou » 24 Aoû 2004, 12:14

Bonjour Le Gromleux,

effectivement le souci a disparu... Merci mille fois

A bientôt

Cafou
Cafou
 
Messages: 12
Inscription: 05 Juil 2004, 11:01
Localisation: Caen

encore une question

Messagede Cafou » 24 Aoû 2004, 14:36

Re-bonjour,

J'ai suivi fidèlement tous les conseils que vous m'avez donné, je suis sur Mozilla (j'aime beaucoup et le préfère nettement à IE), j'ai fixé les bizarreries avec HiJackThis et je croyais naïvement que tout serait réglé...

Après 20 minutes sur le net à lire les posts du forum de Assiste.com (je commence à m'y connaître mieux en sécurité, j'ai même conseillé un ami... et bien sûr je lui ai fait apprendre par coeur l'adresse du site) , une fenêtre s'affiche Virus Downloader.Agent.K Run AVG to remove it .... (AVG l'a soigné mais bon !)

J'ai oublié de faire quelque chose ou pas ? Ou bien les virus sont fatalement attirés par mon ordinateur ? Ou bien je manque sincèrement de chance ? Ou bien 'virusé un jour, virusé toujours' ?

Bref
Voilà

A part ça, je trouve génial que des personnes soient aussi disponibles pour d'autres en restant toujours courtois et gentils !
Je vous dis bravo !

A plus

Cafou
Cafou
 
Messages: 12
Inscription: 05 Juil 2004, 11:01
Localisation: Caen

Messagede Vazkor » 24 Aoû 2004, 15:08

Bonjour Cafou,

Virus Downloader.Agent.K n'est pas un virus mais un programme pour en téléchager un.

Tu sais déjà que Internet est une jungle. Quelqu'un disait à juste titre: "Maintenant je vous lâche au milieu des loups!".
Il y a autant de criminels sur Internet que dans le monde réel, si pas plus parce qu'ils se croient à l'abri à cause du relatif anonymat.

L'important c'est de blinder ton PC, pour que les attaques soient stoppées ou détectées et neutralisées tout de suite.
Le risque zéro n'existe pas, mais on peut tout faire pour le réduire à presque rien. Voir la fin de la Manip pour les derniers ajustements. Pour Mozilla par exemple, tu peux peaufiner les réglages: refuser le javascript, etc en fonction de tes habitudes de surf.

Même moi, j'ai chopé trois virus hier, en surfant sur des sites pas très clean, je l'avoue, mais mon antivirus m'a alerté tout de suite. Trois virus ont donc rejoint mon zoo, sans avoir eu le temps de faire des dégâts. C'est ce qui compte.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9804
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 9 invités