Smitfraud
Fermé
Thierry Chavez
-
1 mai 2005 à 11:32
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 8 mai 2005 à 23:31
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 8 mai 2005 à 23:31
12 réponses
Neo-Nil@u
Messages postés
1595
Date d'inscription
jeudi 10 mars 2005
Statut
Contributeur
Dernière intervention
8 août 2005
96
1 mai 2005 à 11:34
1 mai 2005 à 11:34
Salut,
regarde tout d'abord si tu as un dossier en rapport avec NewNet ou NewDotNet dans C:\Program Files
Si oui, supprime le dossier et vide ta corbeille !
regarde tout d'abord si tu as un dossier en rapport avec NewNet ou NewDotNet dans C:\Program Files
Si oui, supprime le dossier et vide ta corbeille !
salut thierry
Est ce que tu peux préciser quand tu dis je n'ai plus d'onglet fond d'ecran ?
je suppose que tu veux parler de l'onglet bureau, quand tu fais un clic droit sur le bureau puis propriétés ?
-= 1 =-
Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher la case "désactiver la restauration système".
valider
(accepte le redemarrage).
-= 2 =-
Les manips doivent etres faites en mode sans echecs
Redémarrer en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
-= 3 =-
Rendre visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide
_-_-_-_-_-_-_-_-_-_-
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\iLookup\ezStub22.exe
O15 - Trusted Zone: http://*.windupdates.com
valider avec [fix checked]
-----------------------------------
Rechercher et supprimer si présent:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Supprime:
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\iLookup
C:\Program Files\QuickSearch
C:\Program Files\Security iGuard<salut thierry
Est ce que tu peux préciser quand tu dis je n'ai plus d'onglet fond d'ecran ?
je suppose que tu veux parler de l'onglet bureau, quand tu fais un clic droit sur le bureau puis propriétés ?
-= 1 =-
Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher la case "désactiver la restauration système".
valider
(accepte le redemarrage).
-= 2 =-
Les manips doivent etres faites en mode sans echecs
Redémarrer en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
-= 3 =-
Rendre visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide
_-_-_-_-_-_-_-_-_-_-
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\iLookup\ezStub22.exe
O15 - Trusted Zone: http://*.windupdates.com
valider avec [fix checked]
-----------------------------------
Rechercher et supprimer si présent:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Supprime:
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
(attention, ne pas confondre avec C:\WINDOWS\System32\svchost.exe qui lui est ok)
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\iLookup <- tout le dossier
C:\Program Files\QuickSearch <- tout le dossier
C:\Program Files\Security iGuard <- tout le dossier
----------------------------------------------
Ensuite, tres important:
Supprimer les fichiers temporaires:
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Temp
* C:\Windows\Temp
vider tout le contenu des dossiers en gras.
Le contenu du dossier prefetch:
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
------------------------------------------------
Redemarre normalement, et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis
Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers
a+
Est ce que tu peux préciser quand tu dis je n'ai plus d'onglet fond d'ecran ?
je suppose que tu veux parler de l'onglet bureau, quand tu fais un clic droit sur le bureau puis propriétés ?
-= 1 =-
Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher la case "désactiver la restauration système".
valider
(accepte le redemarrage).
-= 2 =-
Les manips doivent etres faites en mode sans echecs
Redémarrer en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
-= 3 =-
Rendre visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide
_-_-_-_-_-_-_-_-_-_-
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\iLookup\ezStub22.exe
O15 - Trusted Zone: http://*.windupdates.com
valider avec [fix checked]
-----------------------------------
Rechercher et supprimer si présent:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Supprime:
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\iLookup
C:\Program Files\QuickSearch
C:\Program Files\Security iGuard<salut thierry
Est ce que tu peux préciser quand tu dis je n'ai plus d'onglet fond d'ecran ?
je suppose que tu veux parler de l'onglet bureau, quand tu fais un clic droit sur le bureau puis propriétés ?
-= 1 =-
Pour ne pas se retrouver avec des points de restau systeme infectés il vaut mieux la désactiver avant.
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher la case "désactiver la restauration système".
valider
(accepte le redemarrage).
-= 2 =-
Les manips doivent etres faites en mode sans echecs
Redémarrer en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8.
Choisis le mode sans échec dans les options et valide avec entrée.
-= 3 =-
Rendre visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher " afficher les fichiers et dossiers cachés "
Décocher " masquer les extentions des fichiers dont le type est connu
Décocher " masquer les fichiers protégés du système"
Valide
_-_-_-_-_-_-_-_-_-_-
Vide le cache d'Internet Explorer et supprime les cookies:
* Panneau de configuration >> Options internet >> Onglet "Général"
- Clic sur [supprimer les cookies]
- Clic sur [Supprimer les fichiers] en cochant la case "Supprimer tout le contenu hors connexion"
Lance hijackthis et Fixe:
cocher la case au début des lignes suivantes:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ipassist.biz/index.php?id=11258
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Web Offer] C:\WINDOWS\iLookup\ezStub22.exe
O15 - Trusted Zone: http://*.windupdates.com
valider avec [fix checked]
-----------------------------------
Rechercher et supprimer si présent:
Dans le cas ou tu utiliserais la fonction Rechercher:
Assure toi que dans:
Tous les fichiers et tous les dossiers >> Options avancées
• Rechercher dans les dossiers systemes <- DOIT ETRE COCHE !
• Rechercher dans les fichiers et les dossiers cachés <- DOIT ETRE COCHE !
• Rechercher dans les sous-dossiers <- DOIT ETRE COCHE !
Supprime:
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SVCHOST.EXE
(attention, ne pas confondre avec C:\WINDOWS\System32\svchost.exe qui lui est ok)
C:\WINDOWS\System32\Services\{17D1E7C2-6C5C-4631-839A-449C90A1A724}\SECURITY.EXE
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\iLookup <- tout le dossier
C:\Program Files\QuickSearch <- tout le dossier
C:\Program Files\Security iGuard <- tout le dossier
----------------------------------------------
Ensuite, tres important:
Supprimer les fichiers temporaires:
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Temp
* C:\Windows\Temp
vider tout le contenu des dossiers en gras.
Le contenu du dossier prefetch:
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
------------------------------------------------
Redemarre normalement, et ensuite fais un scan AV ici:
http://www.ravantivirus.com/scan/
Clic sur "To continue without subscribing click here"
Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis
Ne pas oublier après les manips de recocher" masquer les fichiers protégés du système" dans les options des dossiers
a+
Salut moe!
Désolé de répondre si tard, mais je me suis "cassé la gueule" en voiture ... Ca va; quelques points autour de la lèvre mais voiture HS.
Ceci dit, j'ai appliqué les manips que tu m'as conseillées et voici les résultats:
1/ l'onglet fond d'écran= clic droit bureau; propriétés
2/ la page de démarrage d'internet explorer (ipassisst.biz ....) n'apparaît plus.
3/ l'utilisation d'internet expolrer est plus rapide et je n'ai plus de pop-up qui apparaît.
4/ voici le rapport du scan de Rav antvirus
Scan started at 4/05/2005 11:30:51
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\Windows Media Player\wmplayer.exe.tmp - TrojanDropper:Win32/Small.SB -> Infected
C:\WINDOWS\HLInstaller3.exe - Trojan:Win32/SecondThought.R.dr -> Infected
C:\WINDOWS\system32\HLInstaller1.exe - Trojan:Win32/SecondThought.R.dr -> Infected
D:\installation\Internet\java\1stpage2.zip->setup.exe->(CABSfx)->\data1.cab->[ishld.445]->(SCRIPT0000) - Trojan:JS/Loop* -> Infected
Scanned
============================
Objects: 19693
Directories: 1667
Archives: 754
Size(Kb): -90934
Infected files: 4
Found
============================
Viruses found: 3
Suspicious files: 0
Disinfected files: 0
Mail files: 38
5/ voici le rapport Hijack
Logfile of HijackThis v1.99.1
Scan saved at 11:55:13, on 4/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Administrateur\Mes documents\Antivirus et spyware\Torjan-spy\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Apparemment il reste des "intrus", mais on est sur la bonne voie.
Je t'en remercie encore.
A+
Désolé de répondre si tard, mais je me suis "cassé la gueule" en voiture ... Ca va; quelques points autour de la lèvre mais voiture HS.
Ceci dit, j'ai appliqué les manips que tu m'as conseillées et voici les résultats:
1/ l'onglet fond d'écran= clic droit bureau; propriétés
2/ la page de démarrage d'internet explorer (ipassisst.biz ....) n'apparaît plus.
3/ l'utilisation d'internet expolrer est plus rapide et je n'ai plus de pop-up qui apparaît.
4/ voici le rapport du scan de Rav antvirus
Scan started at 4/05/2005 11:30:51
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\Windows Media Player\wmplayer.exe.tmp - TrojanDropper:Win32/Small.SB -> Infected
C:\WINDOWS\HLInstaller3.exe - Trojan:Win32/SecondThought.R.dr -> Infected
C:\WINDOWS\system32\HLInstaller1.exe - Trojan:Win32/SecondThought.R.dr -> Infected
D:\installation\Internet\java\1stpage2.zip->setup.exe->(CABSfx)->\data1.cab->[ishld.445]->(SCRIPT0000) - Trojan:JS/Loop* -> Infected
Scanned
============================
Objects: 19693
Directories: 1667
Archives: 754
Size(Kb): -90934
Infected files: 4
Found
============================
Viruses found: 3
Suspicious files: 0
Disinfected files: 0
Mail files: 38
5/ voici le rapport Hijack
Logfile of HijackThis v1.99.1
Scan saved at 11:55:13, on 4/05/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Administrateur\Mes documents\Antivirus et spyware\Torjan-spy\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Voissa No Pubs] C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe -hide
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajouter un Pop-Up - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra 'Tools' menuitem: Tools Menu Item - {DE39E849-A37D-4126-8AE1-1551364ADA96} - C:\Program Files\VoissaNoPubs\VoissaNoPubs.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Apparemment il reste des "intrus", mais on est sur la bonne voie.
Je t'en remercie encore.
A+
Neo-Nil@u
Messages postés
1595
Date d'inscription
jeudi 10 mars 2005
Statut
Contributeur
Dernière intervention
8 août 2005
96
4 mai 2005 à 13:10
4 mai 2005 à 13:10
Salut Thierry,
supprime les fichiers en gras :
C:\Program Files\Windows Media Player\wmplayer.exe.tmp
C:\WINDOWS\HLInstaller3.exe
C:\WINDOWS\system32\HLInstaller1.exe
D:\installation\Internet\java\1stpage2.zip
supprime les fichiers en gras :
C:\Program Files\Windows Media Player\wmplayer.exe.tmp
C:\WINDOWS\HLInstaller3.exe
C:\WINDOWS\system32\HLInstaller1.exe
D:\installation\Internet\java\1stpage2.zip
salut thierry
Fais ceci:
Ovre le bloc note et colle dedans ce qui est en gras ci dessous:
REGEDIT4
[-HKEY_CLASSES_ROOT\CLSID\{145E6FB1-1256-44ED-A336-8BBA43373BE6}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"NoDispBackgroundPage"=-
"Wallpaper"=-
Puis:
fichier > enregistrer sous
dans:
Nom du fichier: met bureau.reg
dans
type de fichier: selectionne tous les fichiers
l'effet devrait etre immediat, sinon redemarre
a+
Fais ceci:
Ovre le bloc note et colle dedans ce qui est en gras ci dessous:
REGEDIT4
[-HKEY_CLASSES_ROOT\CLSID\{145E6FB1-1256-44ED-A336-8BBA43373BE6}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"NoDispBackgroundPage"=-
"Wallpaper"=-
Puis:
fichier > enregistrer sous
dans:
Nom du fichier: met bureau.reg
dans
type de fichier: selectionne tous les fichiers
l'effet devrait etre immediat, sinon redemarre
a+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Neo-Nil@u
Messages postés
1595
Date d'inscription
jeudi 10 mars 2005
Statut
Contributeur
Dernière intervention
8 août 2005
96
4 mai 2005 à 18:02
4 mai 2005 à 18:02
C'est dans ton log HijackThis que se trouve la solution !
Il faut attendre quelqu'un de plus compétent que moi qui analysera ton log !
@++
Il faut attendre quelqu'un de plus compétent que moi qui analysera ton log !
@++
l'effet devrait etre immediat, sinon redemarre
Apres avoir double cliqué sur bureau.reg et accepté de fusionner bien sur !!!
a+
Apres avoir double cliqué sur bureau.reg et accepté de fusionner bien sur !!!
a+
Neo-Nil@u
Messages postés
1595
Date d'inscription
jeudi 10 mars 2005
Statut
Contributeur
Dernière intervention
8 août 2005
96
4 mai 2005 à 18:09
4 mai 2005 à 18:09
OK, merci Moe !
Ce soir, je m'endormirai un peu moins bête !
@+ sur le forum
;))
Ce soir, je m'endormirai un peu moins bête !
@+ sur le forum
;))
de rien
a++
a++
Voilà qui est fait.
Un très grand merci à vous deux ! Chapeau bas; vous êtes des as ! et puis bravo pour la simplicité des infos.
Merci aussi au concepteur de ce forum. Idée génial s'il en est pour un inculte en informatique comme moi.
Ah oui: je suppose qu'après tout cela je peux restaurer le système?
Et tant que j'y suis pouvez vous me conseiller un programme ( simple) pour transformer des cd musicaux en MP3 ?
Encore merci pour votre aide.
A+
Thierry
Un très grand merci à vous deux ! Chapeau bas; vous êtes des as ! et puis bravo pour la simplicité des infos.
Merci aussi au concepteur de ce forum. Idée génial s'il en est pour un inculte en informatique comme moi.
Ah oui: je suppose qu'après tout cela je peux restaurer le système?
Et tant que j'y suis pouvez vous me conseiller un programme ( simple) pour transformer des cd musicaux en MP3 ?
Encore merci pour votre aide.
A+
Thierry
Neo-Nil@u
Messages postés
1595
Date d'inscription
jeudi 10 mars 2005
Statut
Contributeur
Dernière intervention
8 août 2005
96
4 mai 2005 à 18:46
4 mai 2005 à 18:46
Salut Thierry,
je pense qu'on te répondra si tu postes un message dans un forum autre que Virus/Sécurité !
@+
je pense qu'on te répondra si tu postes un message dans un forum autre que Virus/Sécurité !
@+
salut thierry
Content que tout soit rentrer dans l'ordre, tu peux reactiver la restau systeme et meme creer un point de restauration.
Pour le prog que tu cherche, jete un oeil ici et c'est gratuit et sans spy:
http://www.zebulon.fr/articles/CDex_1.php
a++
Content que tout soit rentrer dans l'ordre, tu peux reactiver la restau systeme et meme creer un point de restauration.
Pour le prog que tu cherche, jete un oeil ici et c'est gratuit et sans spy:
http://www.zebulon.fr/articles/CDex_1.php
a++
salut tous le monde,
j ai besoin d aide de pro, j ai un souci avec smifraud ou bankfraud. mon pc s allume mais sans le bareau c'est a dire écran noir. si vous pouvez m aider en m envoyant un mail? svp !!!
en vous remerciant
megha
j ai besoin d aide de pro, j ai un souci avec smifraud ou bankfraud. mon pc s allume mais sans le bareau c'est a dire écran noir. si vous pouvez m aider en m envoyant un mail? svp !!!
en vous remerciant
megha
balltrap34
Messages postés
16240
Date d'inscription
jeudi 8 janvier 2004
Statut
Contributeur sécurité
Dernière intervention
28 novembre 2009
332
8 mai 2005 à 23:31
8 mai 2005 à 23:31
salut si tu peut fait ceci
fait ceci
HijackThis (ici) http://www.florensac-chasse-trap.com/
section virus
telecharge le et met le dans son propre dossier ex/c :hj
clik sur do a systeme scan et save a logfile
et copier coller le rapport
fait ceci
HijackThis (ici) http://www.florensac-chasse-trap.com/
section virus
telecharge le et met le dans son propre dossier ex/c :hj
clik sur do a systeme scan et save a logfile
et copier coller le rapport
