"microsoft windows security warning"

Tristounet -  
 soufian lazar -
Bonsoir,

à chaque fois que j'utilise mon ordinateur, une invite apparaît et se lit comme suit: Your Windows is corrupted with spyware virus.
You must patch your PC urgently to protect yourself.
Private info is accessed by ports:
- 8080
- 3128

You can patch your PC for free only now and delete all spyware viruses.
Click OK to choose and download free spyware removal using AntiSPY

Puis il y a ce fameux "pop up" qui s'ouvre n'importe quand avec Internet Explorer et qui utilise deux URL différents: www.hotoffers.info/urgent.html et www.hotoffers.info/cgi-bin/c.pl De plus, cette cochonnerie s'est placée comme page d'accueil. J'ai utilisé norton antivirus, ad-aware et spybot search &destroy. On m'a indiqué qu'il y avait "Backdoor.Trojan" et des "objets critiques" dans les HKEY USERS... mais je n'arrive pas à voir ces hkey users et j'ai utilisé les antivirus à de nombreuses reprises mais ces "indésirables" reviennent toujours.

J'apprécierais beaucoup qu'une personne qui s'y connaît en la matière puisse m'aider à me libérer de ces virus ou vers. Au fait, mon norton internet security m'a indiqué qu'il y avait un nouveau "Réseau" et que je devais faire un choix entre domicile ou bureau ou déplacement ... mais je n'ai pas de réseau et je n'en ai jamais créé.

Merci à celui ou celle qui aura des suggestions.

15 réponses

  1. bernie61
     
    salut
    pour le backdoor installe ceci
    et antitrojan a2free là
    http://www.emsisoft.com/en/

    si encore pbm alors ceci
    Tu charges HijackThis là et enregistre le dans un répertoire spécifique:
    HijackThis direct download: http://209.133.47.12/~merijn/files/HijackThis.exe
    http://www.spywareinfo.com/~merijn/downloads.html
    Ou là
    http://www.spychecker.com/download/download_hijackthis.html
    tu le lances et sauves le fichier log que tu copie/colle ici
    ou bien tu le mets là
    http://hijackthis.de/fr
    et tu examines quels fichiers sont notés suspects : ceux en rouge tu peux faire cocher puis FIX sans problème, ceux en orange sont suspects tu dois vérifier avec google quel genre de pgm c’est : bon/mauvais
    tu trouves là des explications sur le logiciel
    http://forum.pcastuces.com/sujet.asp?SUJET_ID=69304&Page=1
    et là http://www.zebulon.fr/articles/HijackThis.php

    a+
    0
  2. **isa Messages postés 27 Date d'inscription   Statut Membre 1
     
    Bonjour, J'ai exactement le même problème, et impossible de m'en débarrasser...
    J'ai passé adaware, spybot, spywareblaster et un paquet d'antivirus en ligne+ le mien, personne ne trouve rien.
    J'ai exécuté Hijackthis et contrôlé toutes les lignes, tout est OK sauf la ligne suivante :

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

    Mais quand je la "fixe", rien ne change.
    J'ai essayé de modifier la ligne correspondante dans la base de registe, mais peine perdue, elle se remet toujours à http://www.hotoffers.info/179/, même topo en mode sans echec...
    Et là, je n'ai plus d'idée !
    Si quelqu'un pouvait m'aider, ce serait sympa !

    Merci d'avance
    Isa
    0
  3. **isa Messages postés 27 Date d'inscription   Statut Membre 1
     
    Rien trouvé avec CWS...
    Voici mon hijack :

    Logfile of HijackThis v1.99.1
    Scan saved at 15:45:38, on 11/03/05
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\ATI2EVAE.EXE
    C:\WINDOWS\SYSTEM\MDM.EXE
    C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
    C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
    C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
    C:\WINDOWS\STARTER.EXE
    C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\ATI\ATIDESK\ATISCHED.EXE
    C:\PROGRAM FILES\SPAMPAL\SPAMPAL.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
    F1 - win.ini: run=hpfsched
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
    O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
    O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
    O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
    O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
    O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
    O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
    O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
    O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
    O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
    O4 - Startup: ATISched.lnk = C:\ATI\ATIDESK\atisched.exe
    O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
    O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = efpo1.dealer.iveco.com
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = efpo1.dealer.iveco.com,iveco.com
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.2.0.20,194.2.0.50

    Merci d'avance !

    Isa
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Rumbacampus Messages postés 1244 Statut Membre 184
     
    Bonjour à tous

    Ok avec Bernie 61, mais (sans préjuger de l'infection ou pas de ton système) le message que tu reçois ressemble à s'y méprendre aux conneries envoyées par de "faux" logiciels de désinfection (qui sont payants et qui infectent parfois...)
    Vérifie que ton service "affichage des messages " est bien désactivé...
    0
  6. **isa Messages postés 27 Date d'inscription   Statut Membre 1
     
    Ou puis je touver mon service "affichage des messages" (je suis en W98) ?
    0
  7. tufs
     
    salut

    relance ton pc et tapottes sur touche f5 ou f8 et demarrer en mode sans echec

    puis tu fixe ses lignes

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = efpo1.dealer.iveco.com
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = efpo1.dealer.iveco.com,iveco.com
    0
  8. **isa Messages postés 27 Date d'inscription   Statut Membre 1
     
    Le problème, c'est que je n'ai qu'un seul TCP/IP qui va avec ma carte réseau, et comme je suis en réseau, je ne peux pas désactiver les partages de fichiers et d'imprimantes...
    0
  9. **isa Messages postés 27 Date d'inscription   Statut Membre 1
     
    Réponse à tufs :
    Je dois vraiment fixer ces lignes là ? elles correspondent à mon reseau !
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = efpo1.dealer.iveco.com
    O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = efpo1.dealer.iveco.com,iveco.com
    pour ce qui est de la R0, j'ai déjà essayé en mode dans echec, et ça ne fait rien du tout ...

    Réponse à Rumbacampus : c'est bon, j'ai ajouté TCP/iP carte d'accès à distance et oté le partage...
    Mais ça n'a pas changé grand chose ...
    0
  10. isa
     
    Et oui, je lance en mode safe, mais malgré tout, cette saleté est toujours là....
    C'est à s'arracher les cheveux...
    0
  11. Utilisateur anonyme
     
    b'jour

    c'est cette url qui pose problème?
    http$://www.hotoffers.info/179/

    essaye/ hors connexion

    1) dans le log hijack de supprimer cette url et de mettre un autre page neutre : style www.google.fr/

    voir ici comment remettre un autre url dans un log
    http://www.ordi-netfr.org/tutorialhijackthis.html

    2) Options Internet
    onglet Confidentialité/Sites Web/rentrer cette url (sans le $ et le http - bien sûr) http$://www.hotoffers.info/179/
    la mettre en 'toujours bloquer"

    ensuite Onglet Sécurité/Icône : clic/Sites sensibles/rentrer à nouveau l'url

    onglet Général
    Fichiers Temp../Paramètres/Afficher les Objets/vérifie clic droit/Propriétés/sur chaque objet qu'aucun ne soit en rapport avec ce site et supprime si....

    Ensuite/vide ton cache/onglet Général : supprimer les cookies/supprimer les fichiers Temp/supprimer l'Historique

    essaye de te connecter à nouveau pour voir

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  12. al4az
     
    Bonjour a tous les soucieux de cette M....
    La solution qui pour moi a fonctionné est celle ci ...

    Telecharger ce petit logiciel : KILLBOX
    que l'on trouve ici ==>

    http://www.forospyware.com/showpost.php?p=49&postcount=6228
    ( obligation d'enregistrement)
    puis supprimer le " SYSTR.dll " ca doit etre celui qui relance même apres eradication la page www.Hottofer******
    Cocher dans killbox la suppression après redemarrage, puis fixez dans HijackThis la ligne

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

    PB résolu de mon côté !!!

    CF : le site ou se trouveKILLBOX est en espagnol j'ai expliqué ce qui a fonctionné poour moi mais ils preconise d'autre choses encore ... a vos dico !!!!
    0