Connexion internet louche

queud1331 Messages postés 136 Statut Membre -  
 ludo_el_cypher_programmer -
Salut à tous,

Quand je me connecte à internet, il y a une page qui s'ouvre automatiquement, qui m'est étrangère.

Pourriez vous m'indiquer comment la supprimer

Spybot et Adaware ne la supprime pas

Merci d'avance,

39 réponses

  • 1
  • 2
Résumé de la discussion

Un problème d’ouverture automatique d’une page lors de la connexion à Internet est évoqué, avec une suspicion d’infection qui échappe à Spybot et AdAware.
Plusieurs conseils convergent vers l’identification d’injections JavaScript et de scripts actifs, le recours à un antivirus et à un pare-feu à jour, puis l’analyse des éléments de démarrage via HijackThis.
D'autres propositions évoquent une réinstallation complète du système et, éventuellement, l’usage d’un Linux plus isolé, afin de limiter les risques et simplifier le contrôle des dépendances.
Par ailleurs, l’échange souligne que les symptômes peuvent provenir de configurations légitimes ou malveillantes, nécessitant un balayage des processus, des connexions et des applications associées.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut queud

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijack
    et surtout pas dans un dossier temporaire (temp)
    lance le puis:
    clic sur "do a system scan and save logfile" et pas autre chose
    Le bloc note va s'ouvrir, copie tout le contenu et colle le ici a la suite de ton message.
    Si tu as du mal, regarde ceci:
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  2. queud1331 Messages postés 136 Statut Membre
     
    Désolée, avec un peu de retard.....

    Le voici :

    Logfile of HijackThis v1.99.1
    Scan saved at 21:02:51, on 08/08/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Softwin\BitDefender8\vsserv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Softwin\BitDefender8\bdmcon.exe
    C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
    C:\Program Files\Softwin\BitDefender8\bdnagent.exe
    C:\Program Files\Softwin\BitDefender8\bdswitch.exe
    D:\Program Files\Winamp\winampa.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Poppy\Poppy.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\Netmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Nouveau dossier\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nokio.netfirms.com/be/sol
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: 69.15.98.210 onlineaccounts2.abbeynational.co.uk
    O1 - Hosts: 69.15.98.210 www3.aibgbonline.co.uk
    O1 - Hosts: 69.15.98.210 www.bank.alliance-leicester.co.uk
    O1 - Hosts: 69.15.98.210 login.iblogin.com
    O1 - Hosts: 69.15.98.210 ww2.bankofscotlandhalifax-online.co.uk
    O1 - Hosts: 69.15.98.210 inet.barclays.co.uk
    O1 - Hosts: 69.15.98.210 iibank.barclays.co.uk
    O1 - Hosts: 69.15.98.210 iibank.cahoot.com
    O1 - Hosts: 69.15.98.210 www3.coventrybuildingsociety.co.uk
    O1 - Hosts: 69.15.98.210 ww.hsbc.co.uk
    O1 - Hosts: 69.15.98.210 login.ebank.offshore.hsbc.co.je
    O1 - Hosts: 69.15.98.210 ww3.online-offshore.lloydstsb.com
    O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ob2.nationet.com
    O1 - Hosts: 69.15.98.210 ww3.onlinebanking.natwestoffshore.com
    O1 - Hosts: 69.15.98.210 ww1.nwolb.com
    O1 - Hosts: 69.15.98.210 ww1.onlinebanking.iombank.com
    O1 - Hosts: 69.15.98.210 ww1.www.rbsdigital.com
    O1 - Hosts: 69.15.98.210 welcome.smile.co.uk
    O1 - Hosts: 69.15.98.210 login.365online.com
    O1 - Hosts: 69.15.98.210 wvw.citizensbankonline.com
    O1 - Hosts: 69.15.98.210 esecure.regionsnet.com
    O1 - Hosts: 69.15.98.210 rollb.associatedbank.com
    O1 - Hosts: 69.15.98.210 upb.unionplanters.com
    O1 - Hosts: 69.15.98.210 www.onlinebanking.huntington.com
    O1 - Hosts: 69.15.98.210 inet.southtrustonlinebanking.com
    O1 - Hosts: 69.15.98.210 logon.personal.wamu.com
    O1 - Hosts: 69.15.98.210 login.compassweb.com
    O1 - Hosts: 69.15.98.210 logon.firstmeritib.com
    O1 - Hosts: 69.15.98.210 login.ccfcuonline.org
    O1 - Hosts: 69.15.98.210 ww3.etimebanker.bankofthewest.com
    O1 - Hosts: 69.15.98.210 ww2.onlinebanking.lasallebank.com
    O1 - Hosts: 69.15.98.210 wvw.totallyfreebanking.com
    O1 - Hosts: 69.15.98.210 www.online.wellsfargo.com
    O1 - Hosts: 69.15.98.210 www.onlinebanking.bankofoklahoma.com
    O1 - Hosts: 69.15.98.210 accounts4.keybank.com
    O1 - Hosts: 69.15.98.210 logon.bankone.com
    O1 - Hosts: 69.15.98.210 www.secure.tdbanknorth.com
    O1 - Hosts: 69.15.98.210 www.secure.mvnt4.com
    O1 - Hosts: 69.15.98.210 ww.mynfbonline.com
    O1 - Hosts: 69.15.98.210 login.forumcuonline.com
    O1 - Hosts: 69.15.98.210 www.eds.usersonlnet.com
    O1 - Hosts: 69.15.98.210 www.onlineid.bankofamerica.com
    O1 - Hosts: 69.15.98.210 wvw.e-gold.com
    O1 - Hosts: 69.15.98.210 pcbs.peoples.com
    O1 - Hosts: 69.15.98.210 www.global1.onlinebank.com
    O1 - Hosts: 69.15.98.210 ww2.mybranch.lafcu.com
    O1 - Hosts: 69.15.98.210 login.webbanking.comerica.com
    O1 - Hosts: 69.15.98.210 web.banking.firsttennessee.com
    O1 - Hosts: 69.15.98.210 logon.members1st.org
    O1 - Hosts: 69.15.98.210 www.cib.ibanking-services.com
    O1 - Hosts: 69.15.98.210 www.miwebbusbank.ebanking-services.com
    O1 - Hosts: 69.15.98.210 wvw.paypal.com
    O1 - Hosts: 69.15.98.210 www.signin.ebay.com
    O1 - Hosts: 69.15.98.210 wvw.etrade.com
    O1 - Hosts: 69.15.98.210 ww4.fleethomelink.fleet.com
    O1 - Hosts: 69.15.98.210 ww3.connect.skyfi.com
    O1 - Hosts: 69.15.98.210 www6.usbank.com
    O1 - Hosts: 69.15.98.210 www.bvi.bancodevalencia.es
    O1 - Hosts: 69.15.98.210 extrant.banesto.es
    O1 - Hosts: 69.15.98.210 banesnt.banesto.es
    O1 - Hosts: 69.15.98.210 activia.caixagalicia.es
    O1 - Hosts: 69.15.98.210 www.bancae.caixapenedes.com
    O1 - Hosts: 69.15.98.210 login.caixasabadell.net
    O1 - Hosts: 69.15.98.210 oii.cajamadrid.es
    O1 - Hosts: 69.15.98.210 login.cajamar.es
    O1 - Hosts: 69.15.98.210 login.ccm.es
    O1 - Hosts: 69.15.98.210 ww.unicaja.es
    O1 - Hosts: 69.15.98.210 www5.bancopopular.es
    O1 - Hosts: 69.15.98.210 ww3.bbvanet.com
    O1 - Hosts: 69.15.98.210 ww.bayernlb.de
    O1 - Hosts: 69.15.98.210 ww2.berliner-volksbank.de
    O1 - Hosts: 69.15.98.210 ww7.homebanking-berlin.de
    O1 - Hosts: 69.15.98.210 portal09.commerzbanking.de
    O1 - Hosts: 69.15.98.210 www.meine.deutsche-bank.de
    O1 - Hosts: 69.15.98.210 ww2.dresdner-privat.de
    O1 - Hosts: 69.15.98.210 ww.e-banking.helaba.de
    O1 - Hosts: 69.15.98.210 ww.hsh-nordbank.de
    O1 - Hosts: 69.15.98.210 www.my.hypovereinsbank.de
    O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de
    O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de
    O1 - Hosts: 69.15.98.210 www.banking.lbbw.de
    O1 - Hosts: 69.15.98.210 lrp.sparkasse-banking.de
    O1 - Hosts: 69.15.98.210 ww3.homebanking-niedersachsen.de
    O1 - Hosts: 69.15.98.210 www.onlinebanking.norisbank.de
    O1 - Hosts: 69.15.98.210 www.banking.postbank.de
    O1 - Hosts: 69.15.98.210 wvw.internetbanking.gad.de
    O1 - Hosts: 69.15.98.210 ww1.portal.izb.de
    O1 - Hosts: 69.15.98.210 wvw.kunden-service.lbs.de
    O1 - Hosts: 69.15.98.210 ibanking.seb.de
    O1 - Hosts: 69.15.98.210 bw7.sparkasse-banking.de
    O1 - Hosts: 69.15.98.210 ww2.homebanking-sparkasse.de
    O1 - Hosts: 69.15.98.210 ww2.vr-networld-ebanking.de
    O1 - Hosts: 69.15.98.210 ww.bics.fr
    O1 - Hosts: 69.15.98.210 www.co.caixabank.fr
    O1 - Hosts: 69.15.98.210 ww.creditmutuel.fr
    O1 - Hosts: 69.15.98.210 internetbank.intesabci.it
    O1 - Hosts: 69.15.98.210 ww.extensive.bancalombarda.it
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Microsoft Update Proxy Class - {6E28339B-7A2A-47B6-AEB2-46BA53782375} - C:\WINDOWS\System32\dllcache\msupdprx.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
    O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
    O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
    O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
    O4 - HKLM\..\Run: [WinampAgent] d:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\RunServices: [LOGITECH SETPOINT Logitech Inc] KHALMNPR.exe
    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
    O4 - HKCU\..\Run: [LOGITECH SETPOINT Logitech Inc] KHALMNPR.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
    O4 - Startup: Reprendre l'installation de Windows Update.lnk = ?
    O4 - Startup: Poppy for Windows.lnk = C:\Program Files\Poppy\Poppy.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
    O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    O23 - Service: DirectX Graphics (dxdmain) - Unknown owner - C:\WINDOWS\System32\dxdmain.exe (file missing)
    O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - d:\Program Files\FileZilla Server\FileZilla Server.exe
    O23 - Service: hexadecimal (HexadecimaRepresentation) - Unknown owner - C:\WINDOWS\Edit.exe (file missing)
    O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\System32\Netmon.exe
    O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
    O23 - Service: tsecure - Unknown owner - C:\WINDOWS\tsecure.exe (file missing)
    O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
    O23 - Service: Windows Process Moniter - Unknown owner - C:\WINDOWS\winmon.exe (file missing)
    O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

    Merci d'avance
    0
  3. Utilisateur anonyme
     
    salut

    wouhaou !!
    ton pc est un peu plus infecté à chaques fois que tu viens sur le forum !
    il va falloir que tu te decide à faire tes maj sur windowsupdate, si c'est le sp2 qui te pose probleme ne le telecharge pas, mais installe au moins les maj critiques.
    Sinon, les nettoyages ne serviront à rien, et ca reviendra aussi vite que c'est venu

    ta version de bitdefender fais firewall aussi ?
    sinon, installe en un d'urgence:
    http://www.inoculer.com/firewall5.php3
    http://www.firewall-net.com

    bon, commence par faire analyser ce fichier:
    C:\WINDOWS\System32\dllcache\msupdprx.dll
    (rend visible les fichiers cachés avant)
    ici:
    http://www.virustotal.com/xhtml/virustotal_en.html
    et poste le rapport d'analyse

    a+
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Re,

      Concernant l'analyse, elle n'aboutit pas.

      Pour les maj critiques, je fais comment ?

      ...
      0
  4. Utilisateur anonyme
     
    sur le site de windowsupdate tu vas avoir le choix entre maj rapide et personnalisés
    choisis personnalisé
    ici, 2 choix :
    1/ on te propose le sp2
    2/ les autres maj
    et clic sur "vérifier les autres mises à jours" (en bas)
    Dans la fenetre de gauche choisis: "les MAJ prioritaires"
    et installe les.

    je repasse demain a+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. queud1331 Messages postés 136 Statut Membre
     
    Bonjour,

    J'ai cliqué sur windowupdate et la page est vierge,

    pourriez vous m'indiquer s'il y a un autre chemin pour accéder
    aux mises à jours critiques.....

    merci d'avance
    0
  7. Utilisateur anonyme
     
    salut queud

    dur,dur

    on va commencer à nettoyer

    deconnecte toi d'internet

    Redémarre en mode sans échec
    Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
    Choisis le mode sans échec dans les options et valide avec entrée.

    Rend visible les fichiers cachés et systeme
    panneau de configuration > options des dossiers > onglet affichage
    Cocher la case devant " afficher les fichiers et dossiers cachés "
    Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
    Décocher la case devant " masquer les fichiers protégés du système"
    clic sur ok pour valider

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Lance hijackthis et clic sur [do a system scan only]
    cocher la case au début des lignes suivantes:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nokio.netfirms.com/be/sol
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: 69.15.98.210 onlineaccounts2.abbeynational.co.uk
    O1 - Hosts: 69.15.98.210 www3.aibgbonline.co.uk
    O1 - Hosts: 69.15.98.210 www.bank.alliance-leicester.co.uk
    O1 - Hosts: 69.15.98.210 login.iblogin.com
    O1 - Hosts: 69.15.98.210 ww2.bankofscotlandhalifax-online.co.uk
    O1 - Hosts: 69.15.98.210 inet.barclays.co.uk
    O1 - Hosts: 69.15.98.210 iibank.barclays.co.uk
    O1 - Hosts: 69.15.98.210 iibank.cahoot.com
    O1 - Hosts: 69.15.98.210 www3.coventrybuildingsociety.co.uk
    O1 - Hosts: 69.15.98.210 ww.hsbc.co.uk
    O1 - Hosts: 69.15.98.210 login.ebank.offshore.hsbc.co.je
    O1 - Hosts: 69.15.98.210 ww3.online-offshore.lloydstsb.com
    O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk
    O1 - Hosts: 69.15.98.210 ob2.nationet.com
    O1 - Hosts: 69.15.98.210 ww3.onlinebanking.natwestoffshore.com
    O1 - Hosts: 69.15.98.210 ww1.nwolb.com
    O1 - Hosts: 69.15.98.210 ww1.onlinebanking.iombank.com
    O1 - Hosts: 69.15.98.210 ww1.www.rbsdigital.com
    O1 - Hosts: 69.15.98.210 welcome.smile.co.uk
    O1 - Hosts: 69.15.98.210 login.365online.com
    O1 - Hosts: 69.15.98.210 wvw.citizensbankonline.com
    O1 - Hosts: 69.15.98.210 esecure.regionsnet.com
    O1 - Hosts: 69.15.98.210 rollb.associatedbank.com
    O1 - Hosts: 69.15.98.210 upb.unionplanters.com
    O1 - Hosts: 69.15.98.210 www.onlinebanking.huntington.com
    O1 - Hosts: 69.15.98.210 inet.southtrustonlinebanking.com
    O1 - Hosts: 69.15.98.210 logon.personal.wamu.com
    O1 - Hosts: 69.15.98.210 login.compassweb.com
    O1 - Hosts: 69.15.98.210 logon.firstmeritib.com
    O1 - Hosts: 69.15.98.210 login.ccfcuonline.org
    O1 - Hosts: 69.15.98.210 ww3.etimebanker.bankofthewest.com
    O1 - Hosts: 69.15.98.210 ww2.onlinebanking.lasallebank.com
    O1 - Hosts: 69.15.98.210 wvw.totallyfreebanking.com
    O1 - Hosts: 69.15.98.210 www.online.wellsfargo.com
    O1 - Hosts: 69.15.98.210 www.onlinebanking.bankofoklahoma.com
    O1 - Hosts: 69.15.98.210 accounts4.keybank.com
    O1 - Hosts: 69.15.98.210 logon.bankone.com
    O1 - Hosts: 69.15.98.210 www.secure.tdbanknorth.com
    O1 - Hosts: 69.15.98.210 www.secure.mvnt4.com
    O1 - Hosts: 69.15.98.210 ww.mynfbonline.com
    O1 - Hosts: 69.15.98.210 login.forumcuonline.com
    O1 - Hosts: 69.15.98.210 www.eds.usersonlnet.com
    O1 - Hosts: 69.15.98.210 www.onlineid.bankofamerica.com
    O1 - Hosts: 69.15.98.210 wvw.e-gold.com
    O1 - Hosts: 69.15.98.210 pcbs.peoples.com
    O1 - Hosts: 69.15.98.210 www.global1.onlinebank.com
    O1 - Hosts: 69.15.98.210 ww2.mybranch.lafcu.com
    O1 - Hosts: 69.15.98.210 login.webbanking.comerica.com
    O1 - Hosts: 69.15.98.210 web.banking.firsttennessee.com
    O1 - Hosts: 69.15.98.210 logon.members1st.org
    O1 - Hosts: 69.15.98.210 www.cib.ibanking-services.com
    O1 - Hosts: 69.15.98.210 www.miwebbusbank.ebanking-services.com
    O1 - Hosts: 69.15.98.210 wvw.paypal.com
    O1 - Hosts: 69.15.98.210 www.signin.ebay.com
    O1 - Hosts: 69.15.98.210 wvw.etrade.com
    O1 - Hosts: 69.15.98.210 ww4.fleethomelink.fleet.com
    O1 - Hosts: 69.15.98.210 ww3.connect.skyfi.com
    O1 - Hosts: 69.15.98.210 www6.usbank.com
    O1 - Hosts: 69.15.98.210 www.bvi.bancodevalencia.es
    O1 - Hosts: 69.15.98.210 extrant.banesto.es
    O1 - Hosts: 69.15.98.210 banesnt.banesto.es
    O1 - Hosts: 69.15.98.210 activia.caixagalicia.es
    O1 - Hosts: 69.15.98.210 www.bancae.caixapenedes.com
    O1 - Hosts: 69.15.98.210 login.caixasabadell.net
    O1 - Hosts: 69.15.98.210 oii.cajamadrid.es
    O1 - Hosts: 69.15.98.210 login.cajamar.es
    O1 - Hosts: 69.15.98.210 login.ccm.es
    O1 - Hosts: 69.15.98.210 ww.unicaja.es
    O1 - Hosts: 69.15.98.210 www5.bancopopular.es
    O1 - Hosts: 69.15.98.210 ww3.bbvanet.com
    O1 - Hosts: 69.15.98.210 ww.bayernlb.de
    O1 - Hosts: 69.15.98.210 ww2.berliner-volksbank.de
    O1 - Hosts: 69.15.98.210 ww7.homebanking-berlin.de
    O1 - Hosts: 69.15.98.210 portal09.commerzbanking.de
    O1 - Hosts: 69.15.98.210 www.meine.deutsche-bank.de
    O1 - Hosts: 69.15.98.210 ww2.dresdner-privat.de
    O1 - Hosts: 69.15.98.210 ww.e-banking.helaba.de
    O1 - Hosts: 69.15.98.210 ww.hsh-nordbank.de
    O1 - Hosts: 69.15.98.210 www.my.hypovereinsbank.de
    O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de
    O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de
    O1 - Hosts: 69.15.98.210 www.banking.lbbw.de
    O1 - Hosts: 69.15.98.210 lrp.sparkasse-banking.de
    O1 - Hosts: 69.15.98.210 ww3.homebanking-niedersachsen.de
    O1 - Hosts: 69.15.98.210 www.onlinebanking.norisbank.de
    O1 - Hosts: 69.15.98.210 www.banking.postbank.de
    O1 - Hosts: 69.15.98.210 wvw.internetbanking.gad.de
    O1 - Hosts: 69.15.98.210 ww1.portal.izb.de
    O1 - Hosts: 69.15.98.210 wvw.kunden-service.lbs.de
    O1 - Hosts: 69.15.98.210 ibanking.seb.de
    O1 - Hosts: 69.15.98.210 bw7.sparkasse-banking.de
    O1 - Hosts: 69.15.98.210 ww2.homebanking-sparkasse.de
    O1 - Hosts: 69.15.98.210 ww2.vr-networld-ebanking.de
    O1 - Hosts: 69.15.98.210 ww.bics.fr
    O1 - Hosts: 69.15.98.210 www.co.caixabank.fr
    O1 - Hosts: 69.15.98.210 ww.creditmutuel.fr
    O1 - Hosts: 69.15.98.210 internetbank.intesabci.it
    O1 - Hosts: 69.15.98.210 ww.extensive.bancalombarda.it
    O2 - BHO: Microsoft Update Proxy Class - {6E28339B-7A2A-47B6-AEB2-46BA53782375} - C:\WINDOWS\System32\dllcache\msupdprx.dll
    O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
    O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
    O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
    O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
    O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

    valider en cliquant sur [fix checked]

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ouvre le gestionnaire des taches (ctrl+alt+suppr) et arrete ce processus s'il est actif:
    Netmon.exe

    Dans le menu Demarrer>Executer >tape: Services.msc
    recherche le service avec cette orthographe exacte:
    DirectX Graphics (dxdmain)
    hexadecimal (HexadecimaRepresentation)
    Net Functions Monitoring (Netmon)
    tsecure
    Windows Process Moniter

    Double clic dessus et clic sur [arreter] puis dans :
    type de demarrage --> sélectionne désactivé.

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Recherche et supprime:

    Supprimer les fichiers en suivant le chemin des fichiers infectés, plutot que d'utiliser la fonction "Rechercher"

    S'ils sont présents, supprime:

    C:\WINDOWS\Edit.exe
    C:\WINDOWS\System32\Netmon.exe
    C:\WINDOWS\tsecure.exe
    C:\WINDOWS\winmon.exe

    -_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

    Ensuite, tres important:

    :: Supprimer les fichiers temporaires ::

    * C:\Documents and Settings\ton compte\Local Settings\Temp
    * C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
    * C:\Windows\Temp
    vider tout le contenu de ces dossiers.

    :: Le contenu du dossier prefetch ::
    * C:\WINDOWS\Prefetch <= sauf le fichier layout.ini

    redemarre normallement et fais un scan av ici:
    http://webscanner.kaspersky.fr/
    poste le rapport d'analyse

    a+
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Rebonjour,
      Je suis de retour,

      Encore merci pour ton aide,

      Alors...

      Tout est fais,

      sauf le scan, mais il y a une chose très importante pour moi que
      je souhaiterai savoir :

      Quand je surfe ou peut etre meme si ce n'est pas le cas il y a souvent des fichiers tftp avec 4 chiffres infectés par des virus

      Y aurait il un rapport avec le logiciel de transfert de fichiers,

      Mon firewall m'a indiqué que le logiciel de transfert
      C:\windows\system32\ftp.exe essaie de se connecter à internet,

      par défaut j'ai refusé car je ne connais pas ce logiciel et avec google à vrai dire je n'en ai pas appris plus.
      0
  8. Utilisateur anonyme
     
    oui, je pense que ce sont les vers qui infectes ton pc, qui se servent de ftp.exe (ce fichier est ok).
    tu as bien fais de bloquer.

    fais un maximum de scans av en ligne

    reposte un hijack

    a+
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Bonsoir moe,

      excuse moi mais alors.... Si j'ai bien fais d'interdire la connexion de

      C:\windows\system32\ftp.exe comment mon pc est sans arrêt infecté par des tftp1632, tftp1924 etc....

      Normalement les vers ne devraient pas réussirent à s'en servir ?

      A plus tard, je scan.
      0
    2. queud1331 Messages postés 136 Statut Membre
       
      Re,

      J'ai cliqué sur le lien ci dessus pour scanner en ligne mais quand je clique sur le logo scanner en ligne ca ne démarre pas et dans ma barre des tache il y a écris javacrispt ??
      0
    1. queud1331 Messages postés 136 Statut Membre
       
      Ah...

      Cool, je scanne

      @+
      0
    2. queud1331 Messages postés 136 Statut Membre
       
      Je pense qu'il y a un souci, à chaque fois que je veux cliquer
      sur scan now dans la barre des taches il apparait javascript et
      ca ne scan pas

      :(
      0
  9. Utilisateur anonyme
     
    dur dur

    reposte un hijack
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Bonjour moe,

      effectivement dur dur, encore.... vu par toi

      alors imagine par moi;
      D'ailleurs je vais prendre un autre exemple et il y a quelques semaines de cela, les programmes télé, je peux consulter la première page mais si je veux tourner la page idem dans barre des taches javascript.

      enfin, voilà mon hijack :

      Logfile of HijackThis v1.99.1
      Scan saved at 07:57:36, on 11/08/2005
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\tcpsvcs.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
      C:\Program Files\Softwin\BitDefender8\bdnagent.exe
      C:\Program Files\Softwin\BitDefender8\bdswitch.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Logitech\MouseWare\system\em_exec.exe
      C:\Program Files\Poppy\Poppy.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\System32\wiaacmgr.exe
      D:\Program Files\Winamp\winampa.exe
      D:\Program Files\eMule\emule.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      C:\Program Files\Softwin\BitDefender8\vsserv.exe
      c:\program files\softwin\bitdefender8\bdmcon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Nouveau dossier\HijackThis.exe

      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
      O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
      O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
      O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
      O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
      O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
      O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
      O4 - HKLM\..\RunServices: [LOGITECH SETPOINT Logitech Inc] KHALMNPR.exe
      O4 - HKCU\..\Run: [LOGITECH SETPOINT Logitech Inc] KHALMNPR.exe
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
      O4 - Startup: Reprendre l'installation de Windows Update.lnk = ?
      O4 - Startup: Poppy for Windows.lnk = C:\Program Files\Poppy\Poppy.exe
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
      O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - d:\Program Files\FileZilla Server\FileZilla Server.exe
      O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
      O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
      O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

      merci,
      0
  10. Utilisateur anonyme
     
    salut

    il reste encore cette ligne à supprimer avec hijack

    O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

    puis supprime msnq3insller.exe s'il est présent

    quand javascript apparait dans la barre, clic dessus et dis moi ce qu'il y a marqué.

    verifie aussi dans internet explorer > outils > options internet
    onglet "avancé"
    navigation
    que "afficher une notification à chaques erreurs de scripts"
    soit décoché
    et que " desactiver le débogueur de scripts"
    soit coché
    valide

    et reessaye les scan en ligne

    a+
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Salut,

      Concernant les lignes c'est fais
      Ensuite,
      javascript :

      afficher les notifications : bien décoché
      désactiver le débogueur pas coché donc coché, à présent.

      Quand javascript apparait dans la barre :

      pour panda :
      Javascript:pp(15,6,6);

      Pour house call :
      createWindow('http://housecall60.trendmicro.com/housecall/en/index.htm',window2'width=750,height=530')

      Pour bitdefebder :

      j'accepte l'agrement ensuite quand je clique sur "I Agree"
      dans la barre des taches il apparait "terminé".

      Voilà.....
      0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    pour defender utilise se lien
    Scan bit defender
    http://www.bitdefender.fr
    clik sur scan on line a gauche et suis la procedure
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Salut,

      J'ai essayé deux fois la page est blanche, il n'y a rien!!!
      0
    2. queud1331 Messages postés 136 Statut Membre
       
      Re,

      Apparemment scan on line toujours impossiblie mais,

      mes chers informaticiens ,rassurez-moi,

      mon PC n'est pas possédé

      ...
      0
    3. Eric
       
      Salut,

      J'ai lu tes logs et je vois que ton PC est une bse arrière pour porter des attaques virales contres des banques.
      En d'autres termes... ton PC ne t'appartiend pas vraiment !
      Il est entre les mains de sales bêtes.
      Si je pouvait faire une proposition au PROVIDER internet, je leurs demanderait de boycoter des personnes de ton espèce et de leur interdire l'usage d'internet !

      .... je rigole.

      Mais je te recommande de plus faire le guignol et d'apprendre à être le maître de ta bécane.
      Parceque pour le moment elle joue dans la cours des GRANDS sans toi.

      Suis bien les conseilles avisés de notre cher BALLTRAP.

      Ta machine mérite un grand traitement.

      Sans rire.

      FIREWALL, ANTISPYWARE, ANTI-VIRUS A JOUR, XP sous LICENCE et mis à jour régulièrement ou Linux si tu touches.

      Et enfin ton attention quant un message apparaît pour ne pas dire OUI à tout.

      Et si d'autres personnes l'utilisent avec toi de leur apprendre ce que tu vis pour qui fassent pas les mêmes erreurs.

      Depuis 1 ans et demi le nombre de virus est passé de 74000 à 200000 ceci devrait te faire réfléchir.

      Sur ce bonne décontamination.
      0
      1. queud1331 Messages postés 136 Statut Membre > Eric
         
        Salut,

        Je vais répondre avec autant de délicatesse que toi à ton message :

        1) On ne doit pas avoir la même définition du terme base arrière puisque en d'autre termes tu m'accuse d'envoyer des virus de mon pc.

        2) Etant donné que nous sommes des milliers tous les jours à être infecté de virus à ce moment la aucun pc n'appartient plus à personne.

        3) Il faudrait que tu m'explique de quelle droit tu te permets de me traiter d'une quelconque espèce et surtout de laquelle?

        4) Tu n'a rien a me recommander surtout de cette manière là et je ne te permets pas non plus de me traité de "guignol", tes jugements tu te les gardes.

        5) En ce qui concerne les conseils de notre cher Balltrap, si je ne les avais pas correctement suivi, il est assez grand pour répondre tout seul.

        6) Pour ma machine : Elle mérite (peut-être) un traitement mais la encore nous ne devons pas avoir les même définitions du mot traitement.

        7) Concernant les messages : personnes ne t'a dis que je disais OUI à tout et encore moins MOI, d'ailleurs par défaut je préfère répondre NON plutot que OUI, preuve que tu lis mal mes messages.

        Et enfin je conclue par : l'érreur est humaine, on ne nait pas informaticien mais on le devient autrement le forum n'existerait pas.

        Je trouve extremement irrespectueux de ta part de me parler de cette manière, tes plaisenteries sont de mauvais gout.

        Tache de ne plus faire le meme erreur avec une prochaine personnes et tourne trois fois ta langue avant de parler.

        J'éspère avoir répondu a chacune de tes accusations.
        0
      2. Eric > queud1331 Messages postés 136 Statut Membre
         
        Rebonjour,

        Je veux pas te blesser, mais ton ordi semble assez grand pour infecter les autres, sauf que l'allumer pour aller sur internet, c'est ton action qui ouvre les flots.

        Maintenant je suis d'accord que personne ne nait informaticien, et j'adore ce site et tu verras que j'apporte de nombreux conseils dans ces forums, et non je ne suis pas toujours aussi incisif.

        Mais Balltrap relève que tu es un habitué de ce genre de problématique.

        Quant à l'irrespect, la négligence en est une forme quant elle peut avoir des conséquences sur tes propres contacts qui entre autres sont certainement tes amis.

        Sur ce ...

        Je te promets que je peux t'apporter mon concours.
        Si je veux te fâcher un peu c'est pour te faire réagir.

        Et là je suis fin prêt à t'aider.

        Dans mon métier je vois bcp de type de personnes.
        Je leurs enseigne tous les jours et ils m'apprécient pour celà.

        Je suis informaticien certe, mais je suis avant tout aussi à votre service.
        Mais je dois vous faire réagir sinon on reste sur la même case.

        Si tu relis tes propres log tu verras que tout tes ftp ouvert servaient à des attaques de masses.

        Donne mois des informations sur ta configuration, même si les logiciels sont ou non clean, après les choses seront claires.


        Excuse-moi si je t'ai froissé.

        Eric
        0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol
    fait ceci
    HijackThis (ici) http://www.florensac-chasse-trap.com/ section virus
    section virus

    telecharge le et met le dans son propre dossier ex/c :hj

    clik sur do a systeme scan et save a logfile
    et copier coller le rapport
    demo
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Voilà hijackthis :

      Logfile of HijackThis v1.99.1
      Scan saved at 22:55:09, on 11/08/2005
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\tcpsvcs.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\Logitech\MouseWare\system\em_exec.exe
      C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
      C:\Program Files\Softwin\BitDefender8\bdnagent.exe
      C:\Program Files\Softwin\BitDefender8\bdswitch.exe
      C:\Program Files\Poppy\Poppy.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      C:\Program Files\Softwin\BitDefender8\vsserv.exe
      c:\program files\softwin\bitdefender8\bdmcon.exe
      d:\Program Files\Winamp\Winamp.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Nouveau dossier\HijackThis.exe

      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
      O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
      O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
      O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
      O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
      O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
      O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
      O4 - HKLM\..\RunServices: [LOGITECH SETPOINT Logitech Inc] KHALMNPR.exe
      O4 - HKCU\..\Run: [LOGITECH SETPOINT Logitech Inc] KHALMNPR.exe
      O4 - Startup: Reprendre l'installation de Windows Update.lnk = ?
      O4 - Startup: Poppy for Windows.lnk = C:\Program Files\Poppy\Poppy.exe
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
      O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
      O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - d:\Program Files\FileZilla Server\FileZilla Server.exe
      O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
      O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender8\vsserv.exe
      O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

      merci
      0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    bizzard rien dans ton log
    voir si ton fichier host n est pas modifier
    lance hijack clik sur open misck tools
    puis sur open host manager
    puis sur open in note pad
    et regarde dans la liste si tu vois une relation avec les site de bit defender ou autre qui te mette une page blanche
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Salut,

      j'ai fais ce que tu m'a dis et qu'en j'arrive à "open in note pad"

      la fenetre "host note pad " s'ouvre et il n'y a rien d'afficher
      elle est blanche.

      Ce n'est pas que pour les liens av que j'ai des soucis, il y a également mes programmes télé quand j'arrive sur la page initial je vois les programmes du jour et de l'heure à laquelle je surf mais si je veux changer l'heure ou le jour , je n'y arrive plus,

      recemment j'étais sur un site de radio, idem et particulièrement ma boite mail depuis qque temps
      quand je l'ouvre la page n'affiche plus le" nombre de message recu "ou "pas de nouveau message" la page est blanche

      donc pour l'ouvrir je clique dans la colonne de gauche sur boite de réception, ce qui n'étais pas le cas auparavant.

      moi, je suis perdue, je ne vois vraiment pas de quoi il s'agit....
      0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    relance spybot
    clik sur outils puis sur fichiers host si tu as quelque chose dans la fenetre selectionne les et suppr les
    ensuite clik sur le +de couleur verte en haut a gauche ajouter liste host

    la clik sur la colone de gauche sur ajustement IE et coche verouiller le fichier host en lecture seule

    la clik sur spybot en haut de la colone de gauche fait une mise a jour puis clik sur vaccinner si tous les probleme nefaste sont deja bloquer ok si non clik sur le +vert vaccination en haut a gauche
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Salut,

      J'ai lancé spybot

      Rien dans le fichier host
      verouiller le fichier host était bien coché

      Aucune mise à jour, en revanche il y a eu 2000 et qques fichiers à vacciner, c'est fait

      Mais...et oui il y a toujours un mais

      toujours pas de scan on line, j'ai rééssayé idem,
      les mises à jour critiques également j'ai rééssayé ,
      j'ai cliqué sur window update la page est toujours blanche

      j'ai également sans arret c:\\window\system32\i infecté
      je l'éfface il revient sans arret

      les tftp aussi :
      il y a sans arret des fichiers tftp infectés
      de ce fait je vais dans c:\windows\systems32\tftp je les supprime mais il y en a toujours d'autres qui s'infectent.

      ne serait ce pas du à quelque chose ou ne pourrai je pas faire quelque chose pour remedier

      Voilà j'ai fais le tour du problème,

      mais je ne renonce pas, je cherche toujours de mon coté et bien sur je compte sur vous aussi

      il y en a un qui disait " les virus ne tuent pas mais rendent plus fort"

      j'avoue que depuis que j'ai découvert le forum, vous m'avez beaucoup appris

      encore merci notamment à moe31 et Balltrap34.

      Queud1331.

      A suivre...
      0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    Télécharge ceci SilentRunners.
    http://www.silentrunners.org/Silent%20Runners.vbs
    Lance-le
    Copie/colle-le rapport ici
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Salut Balltrap,

      Je ne suis pas souvent présente en ce moment, je réponds toujours au mieux.

      J'ai téléchargé Silentruners, si je l'enregistre et que
      je l'ouvre voilà ce qu'il m'indique dans la fenetre :

      Windows script host
      "Impossible de trouver le moteur de script "VBScript" pour le script
      "C:\ProgrammesFiles\Nouveaudossier\Silentrunners.vbs".

      Merci de me donner ton avis, @+
      0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    lol essai celui ci
    Télécharge ce fichier. http://www.niksoft.at/php/dl.php?f=startdreck.zip
    Startdreck.exe
    decompresse le et execute le
    paramettre le comme ceci
    - clik "Config" -> "Unmark all"
    - Coche:
    Registry -> Run Keys
    System/drivers -> Running processes
    - clik "Ok".

    - clik sur "Save" et donne nous le rapport stp

    cocher nt service dans systeme drivers pour voir les services
    cocher browser helper objet dans registry
    0
    1. queud1331 Messages postés 136 Statut Membre
       
      Voilà le rapport tant attendu,
      vraiment merci, le problème n'est pas encore trouvé mais on avance, super!!!

      Tout a été coché bien sûr :

      »Registry
      »Run Keys
      »Current User
      »Run
      *LOGITECH SETPOINT Logitech Inc=KHALMNPR.exe
      »RunOnce
      »Default User
      »Run
      *CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
      *ATI VIDEO REGKEY=ati2vid.exe
      *Microsoft Update Service=cssrs.exe
      *LOGITECH SETPOINT Logitech Inc=KHALMNPR.exe
      *Dynamic Dns Binary=dynitora.exe
      *TASK SETUP=tasksetup.exe
      *M_S DVD DirectX Dll Drivers=msxdl.exe
      *System reg=sysrun32.exe
      *MS Unix Binary=msnq3insller.exe
      »RunOnce
      »Local Machine
      »Run
      *DSLAGENTEXE=dslagent.exe
      *IMJPMIG8.1=C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
      *IMEKRMIG6.1=C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
      *Logitech Utility=Logi_MwX.Exe
      *BDMCon=C:\Program Files\Softwin\BitDefender8\\bdmcon.exe
      *BDOESRV=C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
      *BDNewsAgent=C:\Program Files\Softwin\BitDefender8\\bdnagent.exe
      *BDSwitchAgent=C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
      »RunOnce
      »RunServices
      *LOGITECH SETPOINT Logitech Inc=KHALMNPR.exe
      »RunServicesOnce
      »RunOnceEx
      »RunServicesOnceEx
      »Browser Helper Objects (LM)
      *AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
      `InprocServer32=C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      *{53707962-6F74-2D53-2644-206D7942484F}
      `InprocServer32=C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      »Files
      »System/Drivers
      »Running Processes
      +0=<idle>
      +4=<system>
      +400=\SystemRoot\System32\smss.exe
      +456=\??\C:\WINDOWS\system32\csrss.exe
      +480=\??\C:\WINDOWS\system32\winlogon.exe
      +524=C:\WINDOWS\system32\services.exe
      +536=C:\WINDOWS\system32\lsass.exe
      +688=C:\WINDOWS\system32\svchost.exe
      +776=C:\WINDOWS\System32\svchost.exe
      +788=C:\WINDOWS\System32\svchost.exe
      +900=C:\WINDOWS\system32\spoolsv.exe
      +1044=C:\WINDOWS\System32\locator.exe
      +1060=C:\WINDOWS\System32\tcpsvcs.exe
      +1116=C:\WINDOWS\System32\svchost.exe
      +1152=C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
      +1820=C:\WINDOWS\Explorer.EXE
      +1872=C:\WINDOWS\System32\wuauclt.exe
      +2016=C:\Program Files\Softwin\BitDefender8\bdoesrv.exe
      +2024=C:\Program Files\Logitech\MouseWare\system\em_exec.exe
      +2036=C:\Program Files\Softwin\BitDefender8\bdnagent.exe
      +180=C:\Program Files\Softwin\BitDefender8\bdswitch.exe
      +276=C:\Program Files\Poppy\Poppy.exe
      +1436=C:\WINDOWS\System32\svchost.exe
      +444=C:\WINDOWS\System32\wiaacmgr.exe
      +2788=C:\WINDOWS\System32\ctfmon.exe
      +3112=C:\Program Files\Internet Explorer\iexplore.exe
      +3312=C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
      +2864=C:\Program Files\Softwin\BitDefender8\vsserv.exe
      +1460=c:\program files\softwin\bitdefender8\bdmcon.exe
      +140=C:\Program Files\Internet Explorer\iexplore.exe
      +3392=C:\Program Files\Nouveau dossier\Stardreck217\StartDreck.exe
      »NT Services
      *Avertissement Alerter running auto
      *Service de la passerelle de la couche Applicati ALG - on demand
      `on
      *Gestion d'applications AppMgmt - on demand
      *Audio Windows AudioSrv - auto
      *BitDefender Scan Server bdss running auto
      *Service de transfert intelligent en arrière-pla BITS - on demand
      `n
      *Explorateur d'ordinateur Browser - disabled
      *Service d'indexation cisvc - on demand
      *Gestionnaire de l'Album ClipSrv - disabled
      *Application système COM+ COMSysApp - on demand
      *Services de cryptographie CryptSvc - auto
      *Client DHCP Dhcp - auto
      *Service d'administration du Gestionnaire de dis dmadmin - on demand
      `que logique
      *Gestionnaire de disque logique dmserver - auto
      *Client DNS Dnscache running auto
      *DirectX Graphics dxdmain - disabled
      *Service de rapport d'erreurs ERSvc - auto
      *Journal des événements Eventlog running auto
      *Système d'événements de COM+ EventSystem - on demand
      *Externtelecom Externtelecom - disabled
      *Compatibilité avec le Changement rapide d'utili FastUserSwitchingCom - auto
      `sateur
      *FileZilla Server FTP server FileZilla Server - on demand
      *Aide et support helpsvc running auto
      *hexadecimal HexadecimaRepresenta - disabled
      *Accès du périphérique d'interface utilisateur HidServ - auto
      *Service COM de gravage de CD IMAPI ImapiService - on demand
      *Écouteur RIP Iprip - disabled
      *Keyboard Service System Files Keyboard Service - disabled
      *Serveur lanmanserver - auto
      *Station de travail lanmanworkstation - auto
      *Assistance TCP/IP NetBIOS LmHosts running auto
      *Local Security Authority Server LSA Server - disabled
      *Affichage des messages Messenger - disabled
      *Partage de Bureau à distance NetMeeting mnmsrvc - disabled
      *Distributed Transaction Coordinator MSDTC - on demand
      *Windows Installer MSIServer - on demand
      *DDE réseau NetDDE - on demand
      *DSDM DDE réseau NetDDEdsdm - on demand
      *Ouverture de session réseau Netlogon - on demand
      *Connexions réseau Netman - on demand
      *Net Functions Monitoring Netmon - disabled
      *NLA (Network Location Awareness) Nla - disabled
      *Fournisseur de la prise en charge de sécurité L NtLmSsp - on demand
      `M NT
      *Stockage amovible NtmsSvc - on demand
      *Plug-and-Play PlugPlay running auto
      *Services IPSEC PolicyAgent - disabled
      *Emplacement protégé ProtectedStorage running auto
      *Gestionnaire de connexion automatique d'accès d RasAuto running auto
      `istant
      *Gestionnaire de connexions d'accès distant RasMan running on demand
      *Gestionnaire de session d'aide sur le Bureau à RDSessMgr - disabled
      `distance
      *Routage et accès distant RemoteAccess - disabled
      *Accès à distance au Registre RemoteRegistry - disabled
      *Localisateur d'appels de procédure distante (RP RpcLocator running auto
      `C)
      *Appel de procédure distante (RPC) RpcSs running auto
      *QoS RSVP RSVP - disabled
      *Gestionnaire de comptes de sécurité SamSs running auto
      *ScriptBlocking Service SBService - auto
      *Prise en charge des cartes à puces SCardDrv - disabled
      *Carte à puce SCardSvr - disabled
      *Planificateur de tâches Schedule - auto
      *Connexion secondaire seclogon - auto
      *Notification d'événement système SENS - auto
      *Pare-feu de connexion Internet (ICF) / Partage SharedAccess - disabled
      `de connexion Internet (ICS)
      *Détection matériel noyau ShellHWDetection - auto
      *Services TCP/IP simplifiés SimpTcp running auto
      *Service SNMP SNMP - disabled
      *Service d'interruption SNMP SNMPTRAP - disabled
      *Spouleur d'impression Spooler running auto
      *Service de restauration système srservice - auto
      *Service de découvertes SSDP SSDPSRV running on demand
      *Acquisition d'image Windows (WIA) stisvc running auto
      *MS Software Shadow Copy Provider SwPrv - on demand
      *Symantec Core LC Symantec Core LC - disabled
      *Journaux et alertes de performance SysmonLog - on demand
      *Téléphonie TapiSrv running on demand
      *Services Terminal Server TermService - disabled
      *Thèmes Themes running auto
      *Telnet TlntSvr - disabled
      *Client de suivi de lien distribué TrkWks - auto
      *tsecure tsecure - disabled
      *Ulead Burning Helper UleadBurningHelper - disabled
      *Gestionnaire de téléchargement uploadmgr running auto
      *Hôte de périphérique universel Plug-and-Play upnphost running auto
      *Onduleur UPS - disabled
      *Cliché instantané de volume VSS - disabled
      *BitDefender Virus Shield VSSERV running auto
      *Horloge Windows W32Time - auto
      *WebClient WebClient running auto
      *Windows Process Moniter Windows Process Moni - disabled
      *Infrastructure de gestion Windows winmgmt - disabled
      *Numéro de série du média portable WmdmPmSp - disabled
      *Extensions du pilote WMI Wmi - on demand
      *Carte de performance WMI WmiApSrv - on demand
      *Mises à jour automatiques wuauserv - auto
      *Configuration automatique sans fil WZCSVC - disabled
      *BitDefender Communicator XCOMM running auto
      »Application specific
      0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki recherche et suppr ceci
    msxdl.exe
    dynitora.exe
    ati2vid.exe
    cssrs.exe
    tasksetup.exe
    msnq3insller.exe
    sysrun32.exe
    ne vide pas ta poubelle
    ensuite redemarre et essai de faire le silence runner ou a default un nouveau startdreck
    et un hijack
    0
  18. Utilisateur anonyme
     
    Salut balltrap

    elle peut faire ceci aussi:

    ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

    REGEDIT4

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "ATI VIDEO REGKEY"=-
    "Microsoft Update Service"=-
    "Dynamic Dns Binary"=-
    "TASK SETUP"=-
    "M_S DVD DirectX Dll Drivers"=-
    "System reg"=-
    "MS Unix Binary"=-


    Puis enregistrer sous et dans:
    Nom du fichier, met rep.reg
    Type de fichier: selectionne "tous les fichiers"
    clic sur enregistrer

    ensuite double clic sur rep.reg et accepte de fusionner

    et telecharge ceci:
    http://get.yourfile.net/xc64996.zip
    dezippe le et lance le
    fais les 2 options et poste les 2 rapports

    a+
    0
  19. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui mais si elle fait juste le reg cela ne suppr pas les exe
    donc a faire en plus
    et j est pas voulue tous lui faire en une fois il y a effectivement au vu de ceci une infection rddriv
    *hexadecimal HexadecimaRepresenta - disabled
    0
  20. Utilisateur anonyme
     
    oui, je me suis mal expliqué lol
    à faire apres la manip du post32
    0
  • 1
  • 2