Hosts

wallas -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour

Que sont les HOSTS??

Je viens de faire un scan avec hijack this et une évaluation automatique en ligne qui me détecte des hosts a supprimmer.
Puis je le faire ? et surtout quels sont les risques et comment les éviter si on est pas trop sur de se qu'on efface.
mes hosts sont en général des sites de sécurité...

Merci!
tant que j'y suis qu signifie le reste devant chaque ligne style : HKCU, R0,R1, BHO et le reste... ;-)

6 réponses

  1. Utilisateur anonyme
     
    salut

    regarde les tutos et fait attention aux lignes signalées par le générateur automatique de log (vérif.Google il a tendance à en rajouter....)

    (screenshot)
    http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
    http://www.zebulon.fr/articles/HijackThis.php

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. wallas
       
      Salut dolly,

      Merci encore pour ta réponse, en fait j'essaie de m'interesser a hijackthis suite à un problème :

      Je cherche à faire un scan chez RAV (par exemple), et la connection m'est refusée:
      "connection refusée lors de la tentative de contact à www.ravantivirus.com"

      Pas de problème sinon avec d'autres pages qui ne sont pas de sécurité: meme probleme avec symantec par exemple (??)

      Je navigue sous firefox (le problème est le meme avec IE), suis sous XP;
      avast, kerio, spywareguard, spywareblaster, sont mes amis ainsi que adaware et spybotS&D et ne pense pas etre infecté (ok pour les scans).

      (paramètres a regler ou autre ??)


      ci joint mon log


      Logfile of HijackThis v1.98.2
      Scan saved at 14:44:07, on 06/12/2004
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\windows\system\hpsysdrv.exe
      C:\WINDOWS\System32\hphmon05.exe
      C:\HP\KBD\KBD.EXE
      C:\WINDOWS\ALCXMNTR.EXE
      C:\WINDOWS\system32\rundll32.exe
      C:\PROGRA~1\Wanadoo\CnxMon.exe
      C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Messenger Plus! 3\MsgPlus.exe
      C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\SpywareGuard\sgmain.exe
      C:\Program Files\SpywareGuard\sgbhp.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\Documents and Settings\Propriétaire\Mes documents\Mes fichiers reçus\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr10.hpwis.com/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qfr10.hpwis.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qfr10.hpwis.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-qfr10.hpwis.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://srch-qfr10.hpwis.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qfr10.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://qfr10.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O1 - Hosts: 127.61.140.151 www.symantec.com
      O1 - Hosts: 127.204.77.108 securityresponse.symantec.com
      O1 - Hosts: 127.185.90.41 www.mcafee.com
      O1 - Hosts: 127.207.181.243 mcafee.com
      O1 - Hosts: 127.9.139.82 us.mcafee.com
      O1 - Hosts: 127.152.237.194 www.sophos.com
      O1 - Hosts: 127.169.155.135 sophos.com
      O1 - Hosts: 127.209.226.206 www.viruslist.com
      O1 - Hosts: 127.225.133.111 viruslist.com
      O1 - Hosts: 127.16.210.163 f-secure.com
      O1 - Hosts: 127.58.9.95 www.f-secure.com
      O1 - Hosts: 127.234.151.75 kaspersky.com
      O1 - Hosts: 127.158.116.66 www.avp.com
      O1 - Hosts: 127.60.94.143 www.kaspersky.com
      O1 - Hosts: 127.193.88.49 avp.com
      O1 - Hosts: 127.173.177.29 www.networkassociates.com
      O1 - Hosts: 127.108.237.126 networkassociates.com
      O1 - Hosts: 127.180.237.56 www.ca.com
      O1 - Hosts: 127.80.81.30 ca.com
      O1 - Hosts: 127.186.184.187 my-etrust.com
      O1 - Hosts: 127.95.229.182 www.my-etrust.com
      O1 - Hosts: 127.66.32.141 secure.nai.com
      O1 - Hosts: 127.227.114.184 nai.com
      O1 - Hosts: 127.21.99.226 www.nai.com
      O1 - Hosts: 127.197.231.77 trendmicro.com
      O1 - Hosts: 127.222.139.216 www.trendmicro.com
      O1 - Hosts: 127.202.197.11 housecall.trendmicro.com
      O1 - Hosts: 127.198.107.80 www.pandasoftware.com
      O1 - Hosts: 127.173.147.157 www.bitdefender.com
      O1 - Hosts: 127.230.159.24 www.ravantivirus.com
      O1 - Hosts: 127.89.253.235 www3.ca.com
      O1 - Hosts: 127.177.149.190 v4.windowsupdate.microsoft.com
      O1 - Hosts: 127.183.90.102 v5.windowsupdate.microsoft.com
      O1 - Hosts: 127.157.212.160 v5windowsupdate.microsoft.nsatc.net
      O1 - Hosts: 127.206.214.127 windowsupdate.microsoft.com
      O1 - Hosts: 127.183.250.29 www.windowsupdate.com
      O1 - Hosts: 127.30.120.120 windowsupdate.com
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
      O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
      O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
      O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
      O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
      O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
      O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
      O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
      O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
      O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{1047924F-4F92-49BA-92C8-068D799C3CAC}: NameServer = 80.10.246.1 80.10.246.132
      O17 - HKLM\System\CS1\Services\Tcpip\..\{1047924F-4F92-49BA-92C8-068D799C3CAC}: NameServer = 80.10.246.1 80.10.246.132
      0
    2. bernie61
       
      salut
      ton problème de scan sur RAV et sur Norton vient du fait que ActivesX ne sont pas activés
      ACTIVE_X et SCRIPT
      Tu fais Démarrer/PanneauConfiguration/optionInternet/Sécurité et là « Personnaliser le niveau », tu a des lignes « Contrôle ActiveX et Plugin »à cocher AUTORISER

      a+
      0
    3. bernie61
       
      salut
      Messenger PLUS est connu pour générer des pbm si lors de l’installation tu as accepté certaines conditions de non confidentialité, si tu n’est pas sûr, désinstalle le puis réinstalle en lisant se que tu acceptes


      Vérifie ces pgm :
      C:\WINDOWS\ALCXMNTR.EXE >> tu connais ?
      C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll >>idem ??
      C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll >>> idem??
      [PS2] C:\WINDOWS\system32\ps2.exe >>> ???
      C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe >>> idem???
      Si pas sûr tu zip le fichier et efface le .EXE

      Relances HijackThis et cocher toutes ces lignes, puis FIX :
      Toutes lignes avec http ://qfr10.hpwis.com

      Et ceux-là si inconnu
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
      O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
      O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

      Et vérifie si celle là est ton adresse IP
      O17 - HKLM\System\CCS\Services\Tcpip\..\{1047924F-4F92-49BA-92C8-068D799C3CAC}: NameServer = 80.10.246.1 80.10.246.132 >>> si pas ton IP alors FIXER

      a+
      0
      1. wallas > bernie61
         
        salut bernie et merci de ta contribution

        Le fait de ne pas connaitre ce que tu m'as indiqué n'est pas forcemment mauvais sinon j'effacerais tout! LoL donc là, je sais pas trop..... ensuite comment trouve t-on notre adresse IP?
        Merci encore
        wallas
        0
  2. Utilisateur anonyme
     
    salut wallas,

    ce n'est pas ton IP en ligne 017 mais les DNS de ton FAI
    donc :
    80.10.246.1<-- DNS primaire Wanadoo
    80.10.246.132<--DNS secondaire Wanadoo

    it's good :-)

    mais à fixer dans ton log

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt$://qfr10.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt$://srch-qfr10.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htt$://srch-qfr10.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htt$://qfr10.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htt$://srch-qfr10.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = htt$://srch-qfr10.hpwis.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htt$://srch-qfr10.hpwis.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htt$://qfr10.hpwis.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = htt$://qfr10.hpwis.com/<-- en bref! toutes les lignes concernant cette url

    1 alerte sur ce logiciel c'tout
    O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
    http://computercops.biz/startuplist-180.html
    Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers

    ton Hosts est sain
    et aucun activX suspects non plus (016)
    1 peu trop de programmes inutiles au démarrage par contre
    Messenger, Real, Néro, MSN.... bof!bof!
    Normalement on décoche tous les programmes externes à Windows, sauf son antivirus, son firewall, son FAI

    après les fix refait un scan avec Spybot et active la case BHO "..bloquer les pages nuisibles silencieusement" (Lock homepage from changes) <--ça t'aurait évité de te faire hijacker

    modus operandi :
    *fixe les lignes trouvées dans l'hijack
    *ferme l'hijack
    *reboot ton ordi
    *nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
    *effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

    @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. wallas
       
      Salut dolly

      J'ai fixé toutes ces lignes , rebooté, vidé le cache, nettoyé le pc, mais le problème persiste.... :'-(

      Ci joint le nouveau log:

      Logfile of HijackThis v1.98.2
      Scan saved at 20:31:39, on 07/12/2004
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      C:\windows\system\hpsysdrv.exe
      C:\WINDOWS\System32\hphmon05.exe
      C:\HP\KBD\KBD.EXE
      C:\PROGRA~1\Wanadoo\CnxMon.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Messenger Plus! 3\MsgPlus.exe
      C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\SpywareGuard\sgmain.exe
      C:\Program Files\SpywareGuard\sgbhp.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Documents and Settings\Propriétaire\Mes documents\Mes fichiers reçus\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O1 - Hosts: 127.61.140.151 www.symantec.com
      O1 - Hosts: 127.204.77.108 securityresponse.symantec.com
      O1 - Hosts: 127.185.90.41 www.mcafee.com
      O1 - Hosts: 127.207.181.243 mcafee.com
      O1 - Hosts: 127.9.139.82 us.mcafee.com
      O1 - Hosts: 127.152.237.194 www.sophos.com
      O1 - Hosts: 127.169.155.135 sophos.com
      O1 - Hosts: 127.209.226.206 www.viruslist.com
      O1 - Hosts: 127.225.133.111 viruslist.com
      O1 - Hosts: 127.16.210.163 f-secure.com
      O1 - Hosts: 127.58.9.95 www.f-secure.com
      O1 - Hosts: 127.234.151.75 kaspersky.com
      O1 - Hosts: 127.158.116.66 www.avp.com
      O1 - Hosts: 127.60.94.143 www.kaspersky.com
      O1 - Hosts: 127.193.88.49 avp.com
      O1 - Hosts: 127.173.177.29 www.networkassociates.com
      O1 - Hosts: 127.108.237.126 networkassociates.com
      O1 - Hosts: 127.180.237.56 www.ca.com
      O1 - Hosts: 127.80.81.30 ca.com
      O1 - Hosts: 127.186.184.187 my-etrust.com
      O1 - Hosts: 127.95.229.182 www.my-etrust.com
      O1 - Hosts: 127.66.32.141 secure.nai.com
      O1 - Hosts: 127.227.114.184 nai.com
      O1 - Hosts: 127.21.99.226 www.nai.com
      O1 - Hosts: 127.197.231.77 trendmicro.com
      O1 - Hosts: 127.222.139.216 www.trendmicro.com
      O1 - Hosts: 127.202.197.11 housecall.trendmicro.com
      O1 - Hosts: 127.198.107.80 www.pandasoftware.com
      O1 - Hosts: 127.173.147.157 www.bitdefender.com
      O1 - Hosts: 127.230.159.24 www.ravantivirus.com
      O1 - Hosts: 127.89.253.235 www3.ca.com
      O1 - Hosts: 127.177.149.190 v4.windowsupdate.microsoft.com
      O1 - Hosts: 127.183.90.102 v5.windowsupdate.microsoft.com
      O1 - Hosts: 127.157.212.160 v5windowsupdate.microsoft.nsatc.net
      O1 - Hosts: 127.206.214.127 windowsupdate.microsoft.com
      O1 - Hosts: 127.183.250.29 www.windowsupdate.com
      O1 - Hosts: 127.30.120.120 windowsupdate.com
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.2001.0001\fr\msntb.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
      O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
      O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
      O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe
      O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
      O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
      O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
      O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
      O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.freedom.net/viruscenter/onlineviruscheck/cabs/cssweb.cab
      O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
      O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab



      En faisant une évaluation de log en ligne, il me détecte tous mes hosts comme "méchants" alors que ce sont des sites de sécurité....(?????)

      Là je vois plus.... je viens de refaire un scan avec spybot (R.A.S)
      (Pour les BHO, Dolly, je viens d'installer spybot que tout recemment alors forcemment.....;-) )

      Si vous avez encore des idées n'hesitez surtout pas!! (merci encore a bernie61)
      0
  3. Utilisateur anonyme
     
    lequel de problème qui persiste?

    le log est clean on ne voit aucune page de démarrage piratée - ?? -
    sauf si tu as installé le spyware lop.com en mm temps que
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    quand tu l'as installé tu as coché la case "ne pas installer de sponsors" ??

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  4. wallas
     
    mmh, et bien, je n'arrive toujours pas à me connecter sur les sites de sécurité, pour faire un scan en ligne par exemple....
    Il est toujours noté que ma "connection est refusée pour le site ..." que se soit avec firefox ou IE

    J'ai verifié mes controles ACTIVE_X et SCRIPT comme me l'indique bernie (Démarrer/PanneauConfiguration/optionInternet/Sécurité = cochés AUTORISER ) tout était bon...

    Pour msnplus, je n'ai certainement pas coché de case concernant ces sponsors...

    voilà ou j'en suis.
    merci encore si il vous reste des idées....
    Wallas
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    re-wallas

    regarde si c'est pas ton firewall qui bloque l'accès aux sites sécurisés, si tu as un onglet "programmes autorisés" met tes sites en "autoriser"

    plus vérif. des onglets à cocher dans IE
    http://www.pcastuces.com/newsletter/adj/1199.htm
    mm conseil ici
    http://www.libellules.ch/probleme_https.php

    Pour Messenger+3, si tu veux enlever la barre parasite+ les spams etc... et l'espionnite aigue surtout (lop.com = classé : violation vie privée")
    tu dois 1) désinstaller Messenger+ ajout/supp de programmes ça prend 1 mn... - 2) allez dans l'onglet "confidentialité" d'IE <-- sites web<--supprimer toutes les références lop.com qui devraient être en "toujours autoriser" - Scanner avec Spybot qui normalement supprime le spyware lop.com, faire une nouvelle vérif. dans les sites web et t'assûrer que lop.com est en "toujours bloquer" ou l'y mettre si Spybot ne s'en est pas chargé. Ensuite tu peux réinstaller Messenger+3 et à l'acceptation du logiciel coche surtout la case "ne pas accepter le sponsor" - Messenger + c'est sympa mais tout seul

    @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. wallas
       
      Salut Dolly,

      Rien a signaler du coté de mes paramètres IE, ni de mon firewall,
      Je me concentre plutot du coté de mes hosts qui me paraissent bizarres, commençant tous par 127 (donc dirigé vers mon ordi??)

      Je vais tenter de les supprimer mais la encore je ne sais pas comment faire: mes hosts sont logés dans: C:\Windows\system32\drivers\etc mais je ne sais pas comment les modifier.
      J'ai bien essayé avec le wordpad mais une fois modifié et sauvegardé il deviend " fichier texte" Grrrrr (comment faire????...)

      peut etre faut il fixer toutes mes lignes hosts avec hijack? Il y aurait un risque d'après vous?

      wallas
      0
  7. Utilisateur anonyme
     
    rien dans les hosts, c'est normal que ça se dirige vers ton ordi c'est toi qui les a mises les urlS de confiance

    juste ces 2 adresses obsolètes depuis les attaques Blaster

    O1 - Hosts: 127.183.250.29 www.windowsupdate.com
    O1 - Hosts: 127.30.120.120 windowsupdate.com

    déplie : C:\Windows-->\System32-->\drivers-->\....etc...\hosts

    *À la veille de l’attaque massive prévue de son site windowsupdate.com, Microsoft a pris une mesure qui devrait contrer la majeure partie des problèmes anticipés. En effet, l’adresse Web (URL) windowsupdate.com a été désactivée, de façon définitive*nouvelle adresse windowsupdate.microsoft.com*
    http://www2.canoe.com/techno/nouvelles/archives/2003/08/20030815-143802.html

    voir sites sécurisés + qu'en général il faut ouvrir le port 443 dans son firewall + ne pas avoir un firewall couplé à celui d'xp
    http://www.microsoft.com/windows2000/fr/server/help/default.asp?url=/windows2000/fr/server/help/scrsites.htm?id=4534
    http://www.technicland.com/article.php3?sid=144

    Uploade ta version de Java Sun peut être, regarde de ne pas avoir Java Microsoft + Java de Sun, les 2 activés

    moi je penche pour ton firewall qui a mis le binz :-))

    - occupe-toi de Messenger ne garde pas le spyware

    ^_^ @

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. wallas
       
      Salut Dolly

      Je tennais a te remercier pour ta patience et ta pertinence car mon problème est résolu.
      En effet, j'ai fixé tous mes host avec hijack et tout est rentré dans l'ordre!

      Je n'avais rien trouver a parametrer de + sur kerio et j'ai tenté l'hijack

      Je ne manquerais pas de revenir sur le forum en cas de problème
      Bonne continuation et bon courage
      Vraiment du bon boulot!!!!!

      (Te voila remonté pour la journée!!! LoL)
      @+wallas

      merci a tout le monde !!!!
      0
    2. wallas
       
      et ne t'inquiète pas je m'occupe de msn+ ;-))
      0
    3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
       
      salut miss
      il a tous les sites securite dans les host donc impossible de se connecter a ceux ci
      il a certainement une bestiole qui a parasiter son fichier host
      ou la visite du page peu recommendable a suffit
      si au redemarrage son host reste ok il faut qu il le mette en lecture seul avec spyboot

      la chasse et le balltrap ma vrai passion
      voir site perso dans profil
      0