Page 1 sur 1

Starpage.6.Q

MessagePosté: 20 Aoû 2004, 16:08
de Cafou
Bonjour,

J'ai écrit il y a quelques temps a propos de ce virus (post de Julie concernant about: blank) et AVG me nettoyait toujours ce virus mais de retour des vacances, j'ai eu un nouveau virus (Dropper.Delf.3.L soigné par Avg après désactivation de la restauration système seulement sinon AVG le mettait dans le 'coffre'). Bref !

Maintenant, AVG ne me soigne plus Startpage.6.Q, il le mets dans le vault et c'est tout ... De plus l'ordinateur est tout bizarre, beaucoup de programmes s'arrêtent en cours pendant 2 minutes et repartent après ou ne répondent pas, tout simplement !

Ca marche quand même mais c'est bizarre !

Question 1 : j'ai fait une mauvaise manip avec Avg ou pas ?
Question 2 : je panique et je formate mon disque dur (tout est déjà sauvegardé ailleurs !)
question 3 : pouvez-vous regarder ce log et me dire s'il y a des petites choses à changer, merci ! mais c'est vraiment pas urgent, car je pars en week-end calme, sans toucher à l'ordinateur....

Merci pour tout et bon week-end

Cafou

Logfile of HijackThis v1.98.0
Scan saved at 16:50:54, on 20/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Mes téléchargements\HIJACKTH.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {50407B64-53CF-4879-B00D-5EEF2EB381F8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7054C26E-74D2-466C-969C-975EE17B9D44} - C:\WINDOWS\System32\nkcjgaa.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/281199ef0d3e935712 ... 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O18 - Filter: text/html - {7E364A4B-53BE-42B8-8107-5439520E05EA} - C:\WINDOWS\System32\nkcjgaa.dll
O18 - Filter: text/plain - {7E364A4B-53BE-42B8-8107-5439520E05EA} - C:\WINDOWS\System32\nkcjgaa.dll

Aide-toi, Assiste t'aidera...

MessagePosté: 23 Aoû 2004, 15:57
de Cafou
Bonjour,

Je viens de lire un tutorial sur HijackThis et je voudrais savoir si j'ai bien compris. J'ai mis en gras les lignes qui paraissent étranges et qui devraient être 'fixer' mais j'aimerais être sûre.

Désolée de prendre de votre temps.
Merci pour tout !


Logfile of HijackThis v1.98.0
Scan saved at 16:39:23, on 23/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Documents and Settings\CODRON\Bureau\MPLAYERC.EXE
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Mes téléchargements\HIJACKTH.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {50407B64-53CF-4879-B00D-5EEF2EB381F8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/281199ef0d3e935712 ... 601_fr.cab ?????
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav.ro/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40

MessagePosté: 23 Aoû 2004, 17:52
de Vazkor
Bonsoir Cafou,

Tu n'abuses pas de mon temps, tu m'aides au contraire à le tuer.

Je vois que tu as bien retenu la leçon: ce que tu as mis en gras peut être fixé sans hésiter.

O2 - BHO: (no name) - {50407B64-53CF-4879-B00D-5EEF2EB381F8} - (no file)
Je ne trouve pas de trace de ce {50407B64-53CF-4879-B00D-5EEF2EB381F8} dans la liste des BHO de Sysinfo, pas plus que sur Google.
Donc a priori, méfiance. Cela peut être un BHO créé de manière aléatoire et la source de tes ennuis.
A ta place je le fixerais avec HJT. Si tu remarques que cela ne change rien ou qu'un de tes programmes ne fonctionne plus comme avant tu pourras toujours restaurer la sauvegarde de HJT.
Tu peux aussi faire une recherche dans la BDR, pour voir si tu ne trouves rien dans celle-ci pour t'éclairer.

O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup

Est-ce bien utile d'avoir ces antivirus lancés au démarrage? Attention à n'en avoir qu'un seul activé en même temps pour scanner les fichiers en temps réel, sinon c'est le télescopage assuré. Ils vont se marcher sur les pieds et se battre pour examiner les fichiers. Il vaudrait mieux n'en lancer qu'un seul et garder les autres pour contrôler un scan en cas de doute.

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
Il vaut mieux faire toutes ses mises à jour manuellement. Pas la peine d'avoir des trucs de ce genre qui tournent en permanence sauf pour son antivirus principal.

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Cela a été mis par SpyBot. C'est inutile si tu es la seule personne a avoir accès à ton PC.

O16... Tu peux les fixer tous.

@+

Merci Merci

MessagePosté: 24 Aoû 2004, 11:21
de Cafou
Bonjour,

Je viens de fixer tout ça mais (et oui, il y toujours un 'mais', sinon ce serait trop facile...) j'ai refait un scan que voici :

Logfile of HijackThis v1.98.0
Scan saved at 12:17:24, on 24/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Mes téléchargements\HIJACKTH.EXE

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{B46AC6BB-1CD4-4A30-97C4-5F811E976897}: NameServer = 193.55.126.1,195.221.176.40

Question : pourquoi je ne peux pas fixer F0 ? Elle se ré-inscrit toujours, c'est normal ?

Sinon ça va super mieux voire super bien !

Merci pour tout

Cafou

MessagePosté: 24 Aoû 2004, 11:37
de le gromleux
bonjour Cafou,

tu n'as pas la dernière version de HJT qui en est à 1.98.2
refait la même manip avec la dernière version
ton souci devrait disparaître

@+

Merci

MessagePosté: 24 Aoû 2004, 12:14
de Cafou
Bonjour Le Gromleux,

effectivement le souci a disparu... Merci mille fois

A bientôt

Cafou

encore une question

MessagePosté: 24 Aoû 2004, 14:36
de Cafou
Re-bonjour,

J'ai suivi fidèlement tous les conseils que vous m'avez donné, je suis sur Mozilla (j'aime beaucoup et le préfère nettement à IE), j'ai fixé les bizarreries avec HiJackThis et je croyais naïvement que tout serait réglé...

Après 20 minutes sur le net à lire les posts du forum de Assiste.com (je commence à m'y connaître mieux en sécurité, j'ai même conseillé un ami... et bien sûr je lui ai fait apprendre par coeur l'adresse du site) , une fenêtre s'affiche Virus Downloader.Agent.K Run AVG to remove it .... (AVG l'a soigné mais bon !)

J'ai oublié de faire quelque chose ou pas ? Ou bien les virus sont fatalement attirés par mon ordinateur ? Ou bien je manque sincèrement de chance ? Ou bien 'virusé un jour, virusé toujours' ?

Bref
Voilà

A part ça, je trouve génial que des personnes soient aussi disponibles pour d'autres en restant toujours courtois et gentils !
Je vous dis bravo !

A plus

Cafou

MessagePosté: 24 Aoû 2004, 15:08
de Vazkor
Bonjour Cafou,

Virus Downloader.Agent.K n'est pas un virus mais un programme pour en téléchager un.

Tu sais déjà que Internet est une jungle. Quelqu'un disait à juste titre: "Maintenant je vous lâche au milieu des loups!".
Il y a autant de criminels sur Internet que dans le monde réel, si pas plus parce qu'ils se croient à l'abri à cause du relatif anonymat.

L'important c'est de blinder ton PC, pour que les attaques soient stoppées ou détectées et neutralisées tout de suite.
Le risque zéro n'existe pas, mais on peut tout faire pour le réduire à presque rien. Voir la fin de la Manip pour les derniers ajustements. Pour Mozilla par exemple, tu peux peaufiner les réglages: refuser le javascript, etc en fonction de tes habitudes de surf.

Même moi, j'ai chopé trois virus hier, en surfant sur des sites pas très clean, je l'avoue, mais mon antivirus m'a alerté tout de suite. Trois virus ont donc rejoint mon zoo, sans avoir eu le temps de faire des dégâts. C'est ce qui compte.

@+