header.jpg

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

header.jpg

Messagede jybou » 05 Mai 2005, 19:21

Bonjour à toutes et à tous !!!!

Tout d'abord, félicitation à pierre et son site !!!!!
Je me sentais bien seul et démuni face à cette armada de vilains Troyens et autre sales bêtes !!!!
Depuis, j'essaye de mettre en place les bons outils conseillés par ce site.

En tout cas, merci aussi à ceux qui vont chercher sur mon premier problème !!!!!!
A bientôt, à lire votre réponse.....
Je suis à votre disposition pour vous répondre à toute autre question !!!

Mon système actuel : outils :
W 2000 Pro SPYBOT, Hijackthis, ad-awarre,
I.Explorer antivurus : AVG
firewall : outpost

Il est à noter que j'utilisais avant NORTON ANTIVIRUS.... depuis je l'ai déconnecté mais pas désinstallé.
Par ailleurs, l'apparition du problème. est antérieure à la mise en place des outils et de AVG et OUTPOST.
De plus, j'ai passé SPYBOT, Ad-Awarre, AVG.; J'ai nettoyé la poubelle et les fichiers temporaires,
j'ao éteint et rallumé le PC mais, rien n'y fait, le problème. revient tout de même .....

Si vous ne trouvez pas, il me reste le marteau !!!!

Le premier problème que je soumets à votre Sag'ACITE !!!

Dès le démarrage de windows, le système me propose de télécharger un fichier header.JPG.

Puis comme je fais annuler, environ toutes les 5 minutes, il me propose de le télécharger.

Mire télécharger :
nom du fichier : header.jpg
type de fichier : Photo Microsoft Photo Editor 3.0
de : 216.11.184.40


J'ai fait une recherche de fichiers contenant le texte header.jpg, voici le résultat :

Regusers de spybot
Regubtb2 de spybot
user dans Documents and Setting\all users\documents\DrWatson
user (idem que précédent)
PerfectNavBHOLog.tmp dans Documents and Setting\jyb\localsettings\temp

J'ai fait un regedit.exe, puis recherche de header.jpg sur les registres :

résultat dans :
HKEY-current-user>Softwre>Microsoft>I.Explorer>ExplorerBars>
>C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1
>containingTextMRU
000 REG_SZ user
001 REG_SZ header.jpg
003 REG_SZ header
004 REG_SZ MTSOEMON
005 REG_SZ user.dmp
>FilesNamesMRU

000 REG_SZ user
004 REG_SZ header.jpg
007 REG_SZ MTSOEMON
012 REG_SZ user.dmp
et dans
HKEY-user>5-1-5-21-1292428093-1580818891-839522115-1000
>Softwre>Microsoft>I.Explorer
>C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1
>containingTextMRU
000 REG_SZ user
001 REG_SZ header.jpg
003 REG_SZ header
004 REG_SZ MTSOEMON
005 REG_SZ user.dmp
>FilesNamesMRU

000 REG_SZ user
004 REG_SZ header.jpg
007 REG_SZ MTSOEMON
012 REG_SZ user.dmp


Voici la log de Hitjacklist :

Logfile of HijackThis v1.99.1
Scan saved at 20:18:58, on 05/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
F:\Program Files\Norton Internet Security\NISUM.EXE
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\Program Files\Norton Internet Security\ccPxySvc.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\GEARSEC.EXE
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\Program Files\Norton AntiVirus\navapsvc.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\MsPMSPSv.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\Explorer.EXE
F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
F:\PROGRA~1\PESTPA~1\PPControl.exe
F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
F:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\Program Files\Internet Explorer\iexplore.exe
F:\telechargement\Secur\anti_hijack\hitjackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - F:\Program Files\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [ccRegVfy] "F:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] F:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SpyBlocker] F:\Program Files\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Outpost Firewall] F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [PestPatrol Control Center] F:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .mov: F:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: F:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - F:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - F:\WINNT\system32\GEARSEC.EXE
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - F:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - F:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
jybou
 

Messagede césar » 05 Mai 2005, 19:32

bonjour

avant toute chose, et pour éviter les conflits, il est conseillé de désinstaller l'antivirus que tu n'utilise pas. la plupart des av accepte un compagnon sans broncher s'ils ne sont pas actifs tous les deux en même temps, mais Norton est assez capricieux.
et on peut voir dans ton log certains programmes symantec qui sont encore actifs.
sinon, dans ton log, tu peux fixer ça :
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk.disabled
et est-ce que tu sais à quoi sert ça :
O4 - Startup: PowerReg Scheduler V3.exe ?
pas de trace d'header.jpg dans le log (mais j'ai pas regardé de près), mais il utilise vraisemblablement une faille d'I.E.
tu n'as pas d'autres navigateurs ?
j'essaie de me renseigner un peu sur ton problème.
@ plus.

ps : autre chose, va dans poste de travail->outils->affichage-> et décoche "cacher les extensions de fichiers connus".
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede Jim Rakoto » 05 Mai 2005, 19:41

Salut,

Pour l'adresse IP 216.11.184.40 , voici résultats Whois
OrgName: Oakland Schools
OrgID: OAKLAN-5
Address: 2100 Pontiac Lake Rd.
City: Waterford
StateProv: MI
PostalCode: 48328
Country: US

NetRange: 216.11.0.0 - 216.11.255.255
CIDR: 216.11.0.0/16
NetName: 2000ONE-NET
NetHandle: NET-216-11-0-0-1
Parent: NET-216-0-0-0-0
NetType: Direct Assignment
NameServer: DONALDD.OAKLANDSCHOOLS.NET
NameServer: DCA-ANS-01.INET.QWEST.NET
Comment:
RegDate: 1999-10-05
Updated: 2000-10-19

TechHandle: JG582-ARIN
TechName: Graham, James
TechPhone: +1-248-209-2077
TechEmail: **********@oakland.k12.mi.us

# ARIN WHOIS database, last updated 2005-04-14 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.


Par ailleurs il faut faire un choix mais tu ne peux laisser tourner en même temps : Norton et AVG et Outpost

Si tu veux utiliser AVG et Outpost et Spyblocker, tu dois désactiver ceci
O4 - HKLM\..\Run: [ccRegVfy] "F:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] F:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] F:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

Dans Spybot > Outils > démarrage systeme > décocher toutes les lignes dans lesquelles Symantec apparaît

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - F:\Program Files\Norton Internet Security\ccPxySvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - F:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - F:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - F:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Pour les services , aller dans démarrer > exécuter > taper services.msc
clic droit sur les services Symantec , Norton internet security, etc > Désactivé > arrêter > appliquer

Pour info, PPMemcheck et tea-timer font la même chose, tu peux n'en garder qu'un seul actif


Ton problème vient d'ici, comme signalé par César
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O4 - Startup: PowerReg Scheduler V3.exe
A fixer dans HJT
redémarrer PC et effacer le fichier "PowerReg Scheduler V3.exe" (faire une recherche avec explorateur Windows pour le localiser)

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

header jpg

Messagede jybou » 05 Mai 2005, 23:24

Bonjour Cesar, Bonjour Jim,

Je viens juste de me reconnecter......... Amis de passage oblige !!!!
Merci pour la rapidité de votre réponse.

Je tente de suivre vos propositions et vous tiens au courant.

Pour répondre à Cesar : Je ne sais pas d'ou vient PowerReg Scheduler V3.exe .....

Pour répondre à Jim : Je ne me sers plus non plus de Spybloker.
Je croyais avoir réussi à le déinstaller complètement.....
Tu as raison, dans la log, je vois qu'il est toujours actif .....
Je vais éessayer de le désactivier.

Je compte essayer Proxomitron .... mais ne l'ai pas encore installé.

Par contre, j'essaye d' utiliser AVG comme Anti-Virus et OUTPOST comme Firewall.
Je vais donc suivre tes conseils pour désactiver Norton AV de mon Système.


Merci encore pour tout.
A tout de suite (ou presque, le temps du reboot et du fixe .....) et je vous tiens au courant.
La nuit portant conseil, je me fie aux votres !!!!
@+ JYBOU
jybou
 

header.jpg (suite)

Messagede JYBOU » 06 Mai 2005, 02:28

Bonsoir Jim, Cesar et les autres courageux .....

J'ai déconnecté Norton A.Virus en suivant vos conseils.

J'ai réussi à fixer O4 - Startup: PowerReg Scheduler V3.exe
Par contre, je n'ai pas réussi à fixer
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)

Il revient systématiquement.

Je n'ai pas réussi à trouver "PowerReg Scheduler V3.exe" par démarrer-rechercher - fichier ....
==> Je n'ai pas pu le supprimer.... mais visiblement, il n'apparait plus dans la Log.

En faisant, Regedit, je trouve toujours header.jpg au même endroit (voir premier message).

déconnexion-Reconnexion.

Le problème persiste - header.jpg continue à s'afficher dès le démarrage.
et revient toutes les 5 minutes ...... et c'est un peu gavant .....

Par contre, on voit dans la log hitjack, l'exécution du prog. MsPMSPSv.exe
Savez-vous à quoi il sert ?????

Je l'aai remarqué aussi dans services.msc - dans les propriétés,
Il n'a pas de dépendances - il est décrit comme WMDM PMSP service, pas de description.

Je vous joint la log après modif.
Par ailleurs, pour répondre à César,
je n'ai pas d'autre navigateur que I.Explorer.
Pour répondre à Jim,
j'ai installé PPMemcheck sans le savoir en installant Pestpatroll
et tea-timer en installant Spy-Bot.
J'ai suivi les conseils de Pierre du Kit de Sécurité.

Cela pose-il un problème ? et peuvent-ils s'auto-Bloquer ?

En attendant, merci à ceux qui passent du temps à résoudre à ce (premier) problème.
(en effet, j'en ai d'autre, mais, je préfère vous les soumettre un à un .... )

A chaque nuit, ces plaisirs !!!!?????

PS: J'ai regardé sur le Net. Visiblement, je ne suis pas le seul à avoir ce problème de header .
mais, à priori, aucune solution trouvée à ce jour.... ou du moins, je ne l'ai pas vue.
@+
JYBOU

Comme convenu, la log :

Logfile of HijackThis v1.99.1
Scan saved at 02:58:03, on 06/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\GEARSEC.EXE
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\MsPMSPSv.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\userinit.exe
F:\WINNT\Explorer.EXE
F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
F:\PROGRA~1\PESTPA~1\PPControl.exe
F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
F:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
F:\telechargement\Secur\anti_hijack\hitjackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - F:\Program Files\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Outpost Firewall] F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [PestPatrol Control Center] F:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .mov: F:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: F:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - F:\WINNT\system32\GEARSEC.EXE
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
JYBOU
 

Messagede nickW » 06 Mai 2005, 08:11

Bonjour,

Trois lignes à supprimer:
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)--->Vient de SpywareGuard, inutile: pas de fichier
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)--->Vient de Norton Antivirus, à supprimer
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -

Rappel important sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.
-**- toujours en mode sans échec,
Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.

Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).


Si cela ne suffit pas,
Télécharger Startdreck:
Voir: http://assiste.com.free.fr/p/internet_u ... tdreck.php
Téléchargement: http://www.niksoft.at/download/startdreck.htm

Exécuter Startdreck:
Voir: http://assiste.com.free.fr/p/internet_u ... tdreck.php
Décompresser (Désarchiver, dézipper) StartDreck dans un répertoire qui lui sera réservé (par exemple, c:\startdreck.
Lancer le programme par double clic sur StartDreck.exe
Trouver, en bas, un bouton nommé "Config" et cliquer dessus.
Localiser le bouton "unmark all" et cliquer dessus.
Sous "Registry", cocher la case "Run Keys".
Sous System/Drivers, cocher la case "Running Proccesses".
La case à cocher "refresh on exiting config dialog" doit rester cochée.
Cliquer sur le bouton "OK".
Cliquer maintenant sur le bouton "Save".
Donner un nom au fichier de sauvegarde.
L'ouvrir dans un éditeur de texte (Notepad ou Wordpad), Sélectionner tout, Copier, puis le Coller dans un message.


A suivre (j'attends les deux logs, et il reste un programme "superflu au démarrage" à supprimer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Header.jpg (problème toujours présent)

Messagede JYBOU » 06 Mai 2005, 16:10

Bonjour Nickw,

Le problème reste actif ....

Choses demandées ... choses faites.

1 - Désactivation TTimer ok
2- Backup Hijackthis - C'était activé
3- Fixer les 3 lignes - Ok (Bien vu de ta part pour le blocage via TTimer ...)

O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
--->Vient de SpywareGuard, inutile: pas de fichier
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)--->Vient de Norton Antivirus, à supprimer
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -

4- Vider Cache IE - Ok via IE
5 - Vider fichiers temporaires - Ok via Ccleaner
Très bon logiciel - Très puissant dans sa nouvelle version

6- Passage en mode sans écher - Ok via F8
7 - Re-Vidage des fichiers temporaires via Ccleaner.
8 - Passage Anti-Virus - Fait AVG 0 virus ( durée 34 minutes)
Passage d'AD-Aware - Fait - 1 spy (WINDOWS) - PB corrigé (Durée 5 Minutes)
Passage de Spy-Bot - Fait 1 Spy -
MagicControlAgent - il revient très souvent sur ma machine ==> Corrigé.

J'ai voulu passer CWShredder :
Je l'ai téléchargé mais n'est pas réussi à le faire tourner.
Visiblement, il s'installe sur C:program_\Intermut ....
hors je suis sur F:\ ......

En faisant démarrer, rechercher, je n'ai pas réussi à le retrouver .....
==> Pas passé .....

J'ai voulu passer PestPaatroll :
j''ai fait tourner l'analyse.
Lorsque j'ai voulu deleter toutes les pests qu'il a trouvé,
il a refusé, car version d'essai .......
Je n'ai pas trouvé de version complète non payante .
J'espère que ce n'est pas un problème.

A titre d'info, juste après avoir le lancement du PC et l'ouverture de windows,
j'ai refait une analyse de CCLEANER, voici ce que j'y trouve :

f:Documents and settings\jyb\local settings\tempory InternetFiles\desktop.ini 67 bytes
f:Documents and settings\jyb\local settings\tempory InternetFiles\content.IE5\MLJ6893S\header(1).jpg 1,07KB
f:Documents and settings\jyb\local settings\tempory InternetFiles\content.IE5\desktop.ini 67 bytes

Tu trouveras ci-dessous la liste Hitjack :
Je te joindrai sur un prochain message, la log startdreck.
@+ et encore merci à tous pour le temps passé avec moi .... plutôt qu'une belle blonde ou un beau brun !!!!

Logfile of HijackThis v1.99.1
Scan saved at 16:48:38, on 06/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\system32\GEARSEC.EXE
F:\PROGRA~1\Iomega\System32\AppServices.exe
F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\MsPMSPSv.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\Explorer.EXE
F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
F:\PROGRA~1\PESTPA~1\PPControl.exe
F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
F:\telechargement\Secur\anti_hijack\hitjackthis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - F:\Program Files\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RemoteControl] "F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PPMemCheck] F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] F:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [Outpost Firewall] F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [AVG7_EMC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .mov: F:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: F:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - F:\WINNT\System32\dmadmin.exe
O23 - Service: GEARSecurity - GEAR Software - F:\WINNT\system32\GEARSEC.EXE
O23 - Service: Iomega App Services - Iomega Corporation - F:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
JYBOU
 

header.jpg (toujours présent suite -log startdreck)

Messagede jybou » 06 Mai 2005, 16:32

Re-bonjour NickW

Tu trouveras sur le message précédent la Log HitjachThis.
Voici, la log startdreck :
à priori, si je lis bien, on voit que :
des progs de symanec sont encore chargés ?????

que le prog. icwconn1.exe doit être la source du problème ???

après, je ne sais pas bien lire .....

Ce logiciel semble très précis.
Je ne touche à rien, j'attend ton avis .....

Merci encore.
@+
JYBOU

StartDreck (build 2.1.7 public stable) - 2005-05-06 @ 17:23:59 (GMT +02:00)
Platform: Windows 2000 (Win NT 5.0.2195 Service Pack 4)
Internet Explorer: 6.0.2800.1106
Logged in as jyb at JYBL

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
*Symantec Network Driver Update Warning=F:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
*Symantec NetDriver Warning=F:\PROGRA~1\SYMNET~1\SNDWarn.exe
*AVG7_Run=F:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE
»RunOnce
*^SetupICWDesktop=F:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
»Local Machine
»Run
*Synchronization Manager=mobsync.exe /logon
*RemoteControl="F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
*PPMemCheck=F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
*PestPatrol Control Center=F:\PROGRA~1\PESTPA~1\PPControl.exe
*Outpost Firewall=F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
*NeroCheck=F:\WINNT\system32\\NeroCheck.exe
*CookiePatrol=F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
*AVG7_EMC=F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
*AVG7_CC=F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*NoChange=1
*Installed=1
+MAPI
*NoChange=1
*Installed=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+8=<system>
+172=\SystemRoot\System32\smss.exe
+200=\??\F:\WINNT\system32\csrss.exe
+196=\??\F:\WINNT\system32\winlogon.exe
+248=F:\WINNT\system32\services.exe
+260=F:\WINNT\system32\lsass.exe
+436=F:\WINNT\system32\svchost.exe
+460=F:\WINNT\system32\spoolsv.exe
+488=F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
+524=F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
+556=F:\WINNT\System32\svchost.exe
+584=F:\WINNT\system32\GEARSEC.EXE
+596=F:\PROGRA~1\Iomega\System32\AppServices.exe
+628=F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
+648=F:\WINNT\system32\regsvc.exe
+668=F:\WINNT\system32\MSTask.exe
+736=F:\WINNT\system32\stisvc.exe
+792=F:\WINNT\System32\WBEM\WinMgmt.exe
+804=F:\WINNT\system32\MsPMSPSv.exe
+828=F:\WINNT\system32\svchost.exe
+840=F:\WINNT\System32\svchost.exe
+1568=F:\WINNT\Explorer.EXE
+684=F:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
+1444=F:\PROGRA~1\PESTPA~1\PPMemCheck.exe
+472=F:\PROGRA~1\PESTPA~1\PPControl.exe
+1536=F:\PROGRA~1\PESTPA~1\CookiePatrol.exe
+1300=F:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
+1408=F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
+1684=F:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
+492=F:\Program Files\WinRAR\WinRAR.exe
+1016=F:\DOCUME~1\jyb\LOCALS~1\Temp\Rar$EX14.718\StartDreck.exe
»Application specific
jybou
 

Messagede césar » 06 Mai 2005, 17:02

salut,

bon, pour désinstaller Norton, bien que ce ne soit pas urgent, tu peux regarder
moi aussi, j'ai souffert quand j'ai voulu désinstaller norton 2003.
header.jpg a l'air d'être assez récent, c'est sans doute pour ça qu'aucune solution ne semble marcher pour l'instant.
si tu en as la possibilité, installe un autre navigateur (firefox, opera...) en plus d'I.E car je serais curieux de voir si cette malveillance affecte aussi tout le monde ou seulement I.E.
est-ce que tu as décoché "masquer les extensions connus", comme je te l'ai conseillé ?
si oui, est-ce que header.jpg s'appelle toujours header.jpg ou quelque chose du genre header.jpg.exe ?
césar
 
Messages: 2467
Inscription: 21 Déc 2003, 18:54

Messagede nickW » 06 Mai 2005, 17:11

Bonjour,

Première chose à faire: désinstaller complètement Norton.
Voir sur cette page la rubrique "Comment désinstaller complètement Norton Antivirus" pour ta version.

Confirmes-tu l'adresse IP qui correspond à Oakland Schools (voir message de Jim)?

Pour icwconn1.exe, il s'agit d'un programme Windows (Assistant de connexion Internet" (icwconn1.exe is a part of the Windows Connection wizard that assist users when they want to connect their computers to the Internet.)

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités