[OK]demande d'analyse

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK]demande d'analyse

Messagede dominique » 12 Mar 2006, 23:28

Bonsoir,

Après un premier problème survenu hier (et qui n'a peut-être rien à voir: mes enfants ne pouvaient plus utiliser Windows Media Player et impossible de réinstaller), et quand ils allaient sur un site de jeux (jogg.com) sur IE parce qu'avec FIREFOX, les performances sont moindres, disent-ils, j'ai aussi constaté que je n'avais plus d'accès à Windows Update (page trouvée mais restant blanche) et une analyse avec Spybot m'a détecté aBetterInternet Aurora que j'ai corrigé.
Je viens de faire la Mini Manip et CWShredder a fixé:
CWS. Svchost 32
CWS. Smart search
CWS. JK search

Spybot m'a détecté host redirigé Altavista.com alors que depuis que j'ai SPYBLOCKER il me détectait aussi auto.search.msn.com et
www.spycleaner.net (les supprimmer ne faisait rien puisqu'ils réapparaissaient et pensant que c'était du à SPYBLOCKER, le les avais exclus de la recherche.)

Voici mon log que je vous remercie d'avance de bien vouloir analyser:

Logfile of HijackThis v1.99.1
Scan saved at 22:57:31, on 12/03/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYBLOCKER.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGCC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpyBlocker] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\spyblocker.exe
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra 'Tools' menuitem: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b31267.cab

Cordialement,

Dominique
dominique
 
Messages: 29
Inscription: 06 Fév 2005, 21:45
Localisation: bourges

Messagede nickW » 13 Mar 2006, 23:02

Bonsoir,

Je ne vois rien de "méchant" dans ce log, et je te propose un "bon" nettoyage.

Remarque préliminaire importante:
Pour pouvoir utiliser les sauvegardes créées par HijackThis, il faut que le programme HijackThis soit installé dans un dossier non système, non temporaire, et qui lui est réservé.
Je te conseille donc de créer un dossier (par exemple: C:\Program Files\HJT), d'y décompresser l'archive HijackThis.zip (ou HijackThis.exe s'il s'agit d'une archive auto-extractible), puis d'utiliser le fichier HijackThis.exe ainsi créé dans C:\Program Files\HJT.
Si tu le laisses tel qu'il est actuellement, dans un dossier temporaire, tout sera effacé dès l'instant où tu "feras le ménage" dans ces fichiers temporaires.


Au vu de la longueur de la procédure, je te conseille de l'imprimer, ou d'en sélectionner toutes les lignes et de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet à partir de l'étape 3).
Il faut exécuter toutes les étapes, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.



Étape 1: Réglage antivirus
Régler l'antivirus au maximum (scan de la mémoire, des zones d'amorce, de tous les fichiers, des archives).
http://assiste.com.free.fr/p/comment/an ... aximum.php


Étape 2: Ccleaner
Télécharger et installer Ccleaner dans un dossier spécifique, par exemple C:\Program Files\ccleaner
http://www.ccleaner.com/ccdownload.asp
Note: Lors de l'installation, sur l'écran "Options d'installation", décocher la case située devant "Ajouter la barre d'outils Yahoo! CCleaner"

Lancer le programme.
Si nécessaire, aller dans Options et choisir le langage: Français.
*- Dans l'onglet Nettoyeur-Windows, cocher:
Internet Explorer: Fichiers Internet Temporaires, Cookies
Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers, Vieilles données du Prefetch
*- Dans l'onglet Options-Avancé, décocher:
Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures

Cliquer sur Analyse
Dans l'onglet Options-Cookies, faire passer dans le panneau de droite les cookies que tu veux absolument conserver.
Puis dans l'onglet Nettoyeur, cliquer sur Lancer le nettoyage.


Étape 3: Mode sans échec
Redémarrer en mode sans échec.
Voir http://assiste.com.free.fr/p/comment/de ... _echec.php
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte.


Étape 4: HijackThis
Fermer toutes les fenêtres de programme.
Lancer HijackThis.
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items"
Cocher la case située devant les lignes ci-dessous, puis cliquer sur Fix Checked:
(si des lignes sont absentes, le signaler en réponse).

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\blank.htm
R3 - URLSearchHook: (no name) - - (no file)


Étape 5: CWShredder
Exécuter CWShredder (clic sur Scan Only, puis clic sur Fix ou Next).
Noter le résultat.


Étape 6: Nettoyage
Exécuter l'antivirus, réglé au maximum.
Exécuter Spybot-S&D en supprimant tout ce qu'il indique en rouge.
Exécuter Ccleaner.


Étape 7: Redémarrage
Redémarrer en mode normal.
Si l'antivirus n'a pas pu être exécuté en mode sans échec, le lancer maintenant (réglé au maximum).
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le résultat de CWShredder
*- le résultat de Spybot-S&D (nom des malveillances détectées)

Indiquer aussi les difficultés rencontrées au cours des différentes étapes.


A suivre (car il reste des programmes "superflus au démarrage" à supprimer, et des conseils de sécurité à appliquer),
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede dominique » 14 Mar 2006, 23:55

Bonsoir,

Voici le nouveau log

Logfile of HijackThis v1.99.1
Scan saved at 22:25:14, on 14/03/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\SPYBLOCKER.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGAMSVR.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG7\AVGEMC.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\SPYWAREGUARD\SGBHP.EXE
C:\PROGRAM FILES\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuardDLBLOCK.CBrowserHelper - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAM FILES\SPYWAREGUARD\DLPROTECT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SpyBlocker] C:\PROGRAM FILES\SPYBLOCKER SOFTWARE\spyblocker.exe
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVG7\AVGAMSVR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVG7\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVG7\AVGEMC.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Startup: Rappels du Calendrier Microsoft Works.lnk = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra 'Tools' menuitem: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Ba ... b31267.cab

Résultat CWShredder
not present partout
Toutefois en bas, j'ai trouvé "Restoring Internet Explorer pages none infected", puis après avoir fait Next, j'ai eu comme dernier message "Done Your System was completely clean"

Résultat Spybot aucune malveillance (plus de redirected host)

Résultat antivirus AVG aucun virus mais dans l'analyse Zone Système test:

Table de partition MBR Résultat: Erreur de lecture et Etat:erreur
Lecteur de boot du disque C Idem
C:\Windows\hosts Idem

J'ai voulu aller voir Windows Update: ça envoie à http://windowsupdate.microsoft.com/ la page reste blanche avec en affichage terminé en bas à gauche.

J'ai fait un essai en ouvrant IE: envoi directement sur http://www.wanadoo.fr/ alors que normalement c'est http://www.wanadoo.fr et un affichage uniquement de la partie gauche de la page d'accueil avec des caractères en surimpression.

J'ai essayé d'aller sur le site d'assiste: impossible d'afficher la page

J'ai essayé 2 ou 3 autres sites et là et j'ai un blocage par SPYBLOCKER

Blocked URL: auto.search.msn.com/response.asp?MT=Internet+Explorer&srch=5&prov=&utf8
Resource: Default

This page has been blocked by SpyBlocker due to security
and Privacy concerns. Some Possible Reasons:


Tracks or Profiles you.

Gathers Private and Confidential Information from you.

Installs software on your machine without your approval.

Has Unsafe Content.

No Content other than Advertisements and Popup windows.

Contains a Possible Keylogger Program.

If you are sure you want to visit this site, click the link below:
http://auto.search.msn.com/response.asp ... prov=&utf8

NOTE: The above link will open site with a protected proxy. You
should take due care regardless and open this link with caution.

Need more help? Visit the SpyBlocker Forums

En conclusion (il se fait tard), plus d'accès à IE (ce qui ne me gêne pas hormis pour les prochaines mises à jour Windows) mais j'aimerais quand même pouvoir remettre tout ça d'aplomb.

Dans l'attente de vos précieux conseils

Cordialement,






Par contre, aucun problème avec FIREFOX....



Par contre aucun problème avec FIREFOX
dominique
 
Messages: 29
Inscription: 06 Fév 2005, 21:45
Localisation: bourges

Messagede dominique » 15 Mar 2006, 23:13

Bonsoir,

Depuis hier, quelques nouveaux éléments:

1) En rentrant tout à l'heure, un scan avec Spyboat qui me détecte à nouveau les 3 hosts redirigés: altavista.com, auto.search.msn.com (sur lequel IE redirigeait hier voir plus haut) et www.spycleaner.com. Ces 3 éléments ont été supprimmés.

2) CWShredder Scan Only affiche d'abord:
Found Host files: C:\Windows\host [1222539 bytes,R]
Win.ini.file: C:Windows\win.ini[7641 bytes,A]
Fond line in Win.ini:load=
Fond line in Win.ini:run=
Found System.ini File: C:\Windows\system.ini[1989 bytes,A]
Found line in System.ini: shell= Explorer.exe
Tout ça = ????
Ensuite:Fix et en résultat a fixé CWS. Svchost 32, CWS. Smart search et CWS JK search (comme le 12/03) et vers le bas de la page, comme hier : Restoring Internet Explorer pages none infected
A ce moment ouverture d’une fenêtre avec message annonçant que des failles ont été découvertes pouvant changer la IE homepage ou « accessing the Internet Options Dialog »
If you use Spyboats IE Tweaks fonction, you should unchek the last two « Misc Locks » items there. These do not prevent browser hijackers, they only prevent users from changing your homepage
If you want something to prevent homepage changes, check out Startpage Guard.
Ensuite next, annonçant que c’est clean. J’ai ensuite ouvert « how to prevent a new infection » et j’ai d’abord compris qu’on avait du se ramasser cette cochonnerie sur un site pour adultes.

3) Demande d’explication : lors du téléchargement samedi dernier d’une vidéo d’une série américaine qui passe à la télé, et naturellement sur IE…, une fenêtre se serait ouverte invitant à aller sur un site pour adulte : sans doute un clic au mauvais endroit au lieu de fermer directement avec la croix, puis bug sur l’ordinateur et ce qui est arrivé.
Conséquence : Interdiction absolue de retourner faire des téléchargements sur ce site et d’utiliser IE.

4) Solutions proposées par CWShredder :
Go download the byte Verifier Patch ou Read Instructions on removing MICROSOFT Java Virtual Machine

J’ai été regarder et j’ai pu accéder car il y avait un lien pour ceux qui n’utilisent pas IE mais je n’ai pas compris grand chose.

Que faire exactement pour éradiquer ce problème qui touche seulement IE alors qu’il n’y a aucun problème pour la navigation avec FIREFOX ?

D’avance merci pour vos conseils,

Cordialement,

Dominique
dominique
 
Messages: 29
Inscription: 06 Fév 2005, 21:45
Localisation: bourges

Messagede nickW » 16 Mar 2006, 22:56

Bonsoir,

Peut-être n'ai-je pas tout compris, mais je ne vois pas où sont les problèmes.

1/ "En rentrant tout à l'heure, un scan avec Spyboat qui me détecte à nouveau les 3 hosts redirigés"
Normal:
Spybot-S&D te signale que dans ton fichier hosts certains sites sont bloqués.
Par exemple, tu ne peux pas atteindre les sites sunbelt-software.com, auto.search.msn.com, runonce.msn.com, etc, qui sont redirigés vers ta propre machine (sans accéder à l'extérieur).

Ces blocages, supprimés par Spybot-S&D, sont ré-installés par SpyBlocker.

Voir: http://assiste.forum.free.fr/viewtopic.php?t=6316
et surtout: http://assiste.forum.free.fr/viewtopic.php?t=9040

Métaphore sur l'utilisation du fichier hosts
http://assiste.forum.free.fr/viewtopic. ... 7&start=18


2/ CWShredder
Normal:
CWShredder réagit aux deux réglages de Spybot-S&D
"Verrouiller la page de démarrage d'IE contre les modifications (utilisateur actuel)."
"Verrouiller le panneau de contrôle d'IE contre toute ouverture depuis IE (utilisateur actuel)."

Tu as activé ces deux paramètres, et CWShredder te dit que cela ne sert qu'à empêcher un utilisateur de ta machine de modifier ta page de démarrage ou d'utiliser "Outils---->Options Internet..."


4/ Il t'est demandé de remplacer Microsoft Java Virtual Machine par Java de Sun, ce que Assiste dit de faire depuis toujours!
Installer Java de Sun.
http://assiste.com.free.fr/p/internet_c ... i_java.php
Version actuelle: JRE 5.0 Update 6
http://java.sun.com/j2se/1.5.0/download.jsp

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede dominique » 04 Avr 2006, 19:02

Bonsoir,

Merci NICK W pour tes explications concernant les redirections par SPYBOT

JAVA de SUN a été installé

J'ai mis un peu de temps pour répondre car il y avait encore un mystère: Si je faisais un scan avec Cwshredder, celui-ci me trouvait toujours les 3 bestioles du départ et les supprimait mais les retrouvait après chaque démarrage de l'ordinateur. Si je faisais le même scan en mode sans échec, aucune détection.

Je pense finalement avoir trouvé l'explication ici avec un cas similaire:

http://forum.quebecmicro.com/showflat.p ... o=0&fpart=

Un problème de "cohabitation" entre SPYBLOCKER et CWSHREDDER générant des faux-positifs chez celui-ci? A faire tester par un autre utilisateur de SPYBLOCKER?

Cordialement,

Dominique
dominique
 
Messages: 29
Inscription: 06 Fév 2005, 21:45
Localisation: bourges

Messagede Jim Rakoto » 04 Avr 2006, 20:24

Salut

Rien de spécial avec un scan de Cwshredder 2.19 .et Spyblocker Pro 2.1

Je constate que dans l'article, on parle de la version 1.59 de Cwshredder.

Autre point commun avec toi, une utilisation de SB simultanément avec Spywareguard.

Il n'y a aucune raison à faire tourner en même temps 2 logiciels qui font la même chose. Ils ne peuvent que se contrarier.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede dominique » 05 Avr 2006, 17:47

Bonsoir,

Exact, je viens de télécharger Cwshredder 2.19 en remplacement de la 1.59 et plus aucune détection.

Donc bien des faux-positifs.

Problème résolu.

Merci pour votre aide.

Dominique
dominique
 
Messages: 29
Inscription: 06 Fév 2005, 21:45
Localisation: bourges


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 42 invités