Virus et internet explorer

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Virus et internet explorer

Messagede nico69 » 17 Oct 2006, 19:36

Bonjour,

Depuis hier soir, quand je fais une recherche sur google ou yahoo et que je clique sur les liens trouvés, je n'arrive pas sur la page selectionnée mais sur des pages de sites publicitaires.

J'aimerais qu'un pro des logs HijackThis m'aide à régler le problème.

Un grand merci d'avance.


Logfile of HijackThis v1.99.1
Scan saved at 20:32:45, on 17/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
I:\WINDOWS\Explorer.EXE
I:\Program Files\Analog Devices\Core\smax4pnp.exe
I:\Program Files\Analog Devices\SoundMAX\Smax4.exe
I:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
I:\Program Files\Softwin\BitDefender9\bdoesrv.exe
I:\progra~1\softwin\bitdef~1\bdnagent.exe
I:\progra~1\softwin\bitdef~1\bdswitch.exe
I:\WINDOWS\System32\alg.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\WINDOWS\system32\wuauclt.exe
I:\Program Files\Internet Explorer\IEXPLORE.EXE
I:\Program Files\Internet Explorer\IEXPLORE.EXE
I:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
I:\Program Files\Softwin\BitDefender9\vsserv.exe
i:\progra~1\softwin\bitdef~1\bdmcon.exe
I:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.sports.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] I:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "I:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATICCC] "I:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BDMCon] i:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "I:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "i:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "i:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AFFB344-DA9B-4D9B-A4CF-DE8401DC1D72}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA67671A-7351-4B3E-A86F-322F2C1403D4}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{E48842D0-8553-4DFE-BAF4-23E6B0B25829}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\..\{9AFFB344-DA9B-4D9B-A4CF-DE8401DC1D72}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136
O17 - HKLM\System\CS2\Services\Tcpip\..\{9AFFB344-DA9B-4D9B-A4CF-DE8401DC1D72}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "I:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - I:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - I:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - I:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - I:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
nico69
 
Messages: 3
Inscription: 17 Oct 2006, 19:26

Messagede nickW » 17 Oct 2006, 23:54

Bonsoir,

Infection par Wareout!

Je te conseille d'imprimer la procédure, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: il va y avoir redémarrage du PC).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les droits "Administrateur" (ne pas utiliser la session Administrateur visible en mode sans échec).


FixWareout (de LonnyRJones)

Télécharger FixWareout.exe via un clic droit sur l'un des liens ci-dessous:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe
Enregistrer le fichier sur le Bureau.

Fermer toutes les fenêtres de programme.
Faire un double clic sur FixWareout.exe pour lancer le programme.
Cliquer sur Next, puis sur Install
Vérifier que la case située devant "Run fixit" est cochée puis cliquer sur Finish.
L'outil va travailler, suivre les messages à l'écran.

Il va être demandé de redémarrer l'ordinateur: le faire.
Le système va mettre plus de temps que d'habitude pour démarrer: c'est normal.
Après le redémarrage, suivre les invites des messages.

Ensuite lancer HijackThis.
Cliquer sur le bouton <i>"Do a system scan only"</i> (ou <i>"Scanner seulement"</i> en vf)
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher <i>"Make backups before fixing items"</i> (ou <i>"Proteger les objets avt de fixer"</i> en vf), puis cliquer sur le bouton "Back" (ou "Ret" en vf).
Cocher la case située devant les lignes ci-dessous, puis cliquer sur <i>Fix Checked</i> (ou <i>Fixer objet</i> en vf):

O17 - HKLM\System\CCS\Services\Tcpip\..\{9AFFB344-DA9B-4D9B-A4CF-DE8401DC1D72}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA67671A-7351-4B3E-A86F-322F2C1403D4}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\..\{E48842D0-8553-4DFE-BAF4-23E6B0B25829}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136
O17 - HKLM\System\CS1\Services\Tcpip\..\{9AFFB344-DA9B-4D9B-A4CF-DE8401DC1D72}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136
O17 - HKLM\System\CS2\Services\Tcpip\..\{9AFFB344-DA9B-4D9B-A4CF-DE8401DC1D72}: NameServer = 85.255.115.60,85.255.112.136
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.60 85.255.112.136

Fermer HijackThis puis cliquer sur OK pour continuer la procédure.

A la fin de l'exécution de l'outil, il faudra peut-être redémarrer le PC.

Envoyer en réponse le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.


Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si vous utilisez un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Cliquer deux fois sur OK, et redémarrer l'ordinateur.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nico69 » 18 Oct 2006, 00:43

Voici mon report.txt :

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DB7FA60003A5-4FC8-D2E4-2D96-B3CEFF00{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}65F9CB7C7603-369B-CDD4-0022-222E17F5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\dukmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
"dmkud.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...


Et le nouveau rapport HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 01:40:08, on 18/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\cmd.exe
I:\WINDOWS\system32\ntvdm.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
I:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
I:\Program Files\Softwin\BitDefender9\vsserv.exe
I:\WINDOWS\system32\wuauclt.exe
I:\Program Files\Analog Devices\Core\smax4pnp.exe
I:\Program Files\Analog Devices\SoundMAX\Smax4.exe
I:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
I:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
I:\Program Files\Softwin\BitDefender9\bdoesrv.exe
I:\progra~1\softwin\bitdef~1\bdnagent.exe
I:\progra~1\softwin\bitdef~1\bdswitch.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\Program Files\Internet Explorer\iexplore.exe
I:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] I:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "I:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATICCC] "I:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [BDMCon] i:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "I:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "I:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "I:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "I:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - I:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - I:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - I:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - I:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
nico69
 
Messages: 3
Inscription: 17 Oct 2006, 19:26

Messagede nico69 » 18 Oct 2006, 00:52

Il semble que le problème soit réglé.
Merci pour tout.
:wink:
nico69
 
Messages: 3
Inscription: 17 Oct 2006, 19:26

Messagede nickW » 18 Oct 2006, 08:36

Bonjour,

Le problème de Wareout semble en effet réglé, mais reste-t-il autre chose? Mystère!


Quelques conseils supplémentaires:

Un conseil important:
Il faut créer un nouveau point de restauration système.
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
http://assiste.com.free.fr/p/comment/co ... ation.html


Un conseil important:
Dans Internet Explorer, il faut mieux gérer les contrôles ActiveX:
Ce qu'ils sont: http://assiste.com.free.fr/p/abc/a/activex_dangers.html
S'en protéger: http://assiste.com.free.fr/p/abc/c/anti_activex.html


Un conseil important:
Installer Java de Sun.
Page d'Assiste: http://assiste.com.free.fr/p/abc/c/anti_java.html
Version actuelle: Java Runtime Environment (JRE) 5.0 Update 9
http://java.sun.com/j2se/1.5.0/download.jsp


Un conseil:
Re-paramétrer la connexion internet (adresses des serveurs DNS).


Un conseil:
Vérifier les services lancés automatiquement.
Ils sont selon le cas indispensables / utiles / inutiles / dangereux.
Voir les deux pages ci-dessous:
http://speedweb1.free.fr/frames2.php?page=service3
http://speedweb1.free.fr/frames2.php?page=service4
(Merci Tesgaz)


Un conseil:
Il est possible d'alléger la procédure de démarrage et de libérer quelques ressources système.
Certains programmes sont considérés comme "inutiles au démarrage": ils sont lancés systématiquement à chaque démarrage du système (même si l'on ne s'en sert pas), ils restent actifs et utilisent des ressources du système.
Il est indispensable de consulter la liste des startups (programmes lancés au démarrage) d'après Pacman (Paul Collins) pour prendre sa décision (les garder au démarrage ou non). Voir ICI.
Version téléchargeable (clic droit sur le lien): http://assiste.com.free.fr/ftp/Startups-vf.chm
Sont dans ce cas:

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAX] "I:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe--->lui préférer Adobe Reader SpeedUp 1.35

Voilì, voilò, voilà.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 26 invités