Rapport hijackthis! besoin d'aide

sylvain -  
 max -
bonjour a tous! je viens de faire hijackthis mais je sui incapable de savoir a quoi correspond les lignes , c'est pour sa que jai besoin de votre aide!!

Logfile of HijackThis v1.97.7
Scan saved at 19:47:45, on 18/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wuamgrd65.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\documents and settings\legoneo\local settings\temp\DoXAEuw9L.exe
C:\documents and settings\legoneo\local settings\temp\OkhLeyAF.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\CLOCKS~1\Sync.exe
C:\Program Files\SysAI\SysAI.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Program Files\F-Secure Internet Security\Common\FSMA32.EXE
C:\Program Files\F-Secure Internet Security\Common\FSMB32.EXE
C:\Program Files\F-Secure Internet Security\Common\FCH32.EXE
C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\BackWeb-4476822.exe
C:\Program Files\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Program Files\MSN Apps\Updater\01.02.0001.1004\fr\msnappau.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\Documents and Settings\legoneo\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://bigbr.cc?u=1538 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bigbr.cc?u=1526 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc?u=1538 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bigbr.cc?u=1526 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bigbr.cc?u=1538 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc?u=1538 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.0001.1004\en-xu\stmain.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.0001.1004\fr\msntb.dll
O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll
O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\System32\mshelper.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.0001.1004\fr\msntb.dll
O4 - HKLM\..\Run: [Windows Guard] waumgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\Run: [Microsoft Intranet] win31.exe
O4 - HKLM\..\Run: [sys mrk32] sysmrk.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [DoXAEuw9L] C:\documents and settings\legoneo\local settings\temp\DoXAEuw9L.exe
O4 - HKLM\..\Run: [OkhLeyAF] C:\documents and settings\legoneo\local settings\temp\OkhLeyAF.exe
O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-him.exe
O4 - HKLM\..\Run: [5E33G3R2#Z3WBZ] C:\WINDOWS\System32\ZlwJQ.exe
O4 - HKLM\..\Run: [77Eh3pW] dxd3msp.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0001.1004\fr\msnappau.exe"
O4 - HKLM\..\RunServices: [Windows Guard] waumgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKLM\..\RunServices: [Microsoft Intranet] win31.exe
O4 - HKLM\..\RunServices: [sys mrk32] sysmrk.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [Windows Guard] waumgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Update 1Machine1] wuamgrd65.exe
O4 - HKCU\..\Run: [Microsoft Intranet] win31.exe
O4 - HKCU\..\Run: [sys mrk32] sysmrk.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - HKCU\..\Run: [MwxnRfasQ] eudmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O13 - DefaultPrefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
O13 - WWW Prefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
O13 - Home Prefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
O13 - Mosaic Prefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://E:\Content\include\msSecUcd.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

44 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

L’interprétation des lignes d’un rapport HijackThis et la présence potentielle de modules malveillants dans un environnement Windows XP est au cœur des échanges. Plusieurs réponses recommandent des actions concrètes comme vider le cache IE et supprimer les fichiers temporaires, utiliser le mode sans échec, désactiver des programmes en démarrage via msconfig et appliquer des correctifs DLL. Des échanges évoquent aussi des outils et des risques comme Spybot, DSO Exploit et des avertissements concernant des extensions ou des barres d’outils potentiellement indésirables associées à des fichiers DLL. En cas de doute, privilégier le scan en mode sans échec et la vérification des entrées de démarrage par des outils spécialisés, avant toute suppression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    hello! :)
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://bigbr.cc?u=1538 (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bigbr.cc?u=1526 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc?u=1538 (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://bigbr.cc?u=1526 (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bigbr.cc?u=1538 (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc?u=1538 (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
    tout ça fix-it!

    O2 - BHO: (no name) - SOFTWARE - (no file)
    O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000221} - C:\Program Files\ClearSearch\CSIE.DLL
    O2 - BHO: WinPage Affiliate - {E8EAEB34-F7B5-4C55-87FF-720FAF53D841} - C:\Program Files\Common Files\midaddle\midaddle.dll
    Tu reconnais ces 3 programmes? sinon fix-it!

    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    idem si c'est pas toi qui a rajouté ces items ds IE (boutons) fix-it!!

    O13 - DefaultPrefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
    O13 - WWW Prefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
    O13 - Home Prefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
    O13 - Mosaic Prefix: http://%62%69%67%62%72%2E%63%63?u=1526&error=
    tous les 013 à virer!! fix-it!!

    TOUS les 04-> - tu vérifies que ce soit des programmes sains - Utilise PacMan's Startup List pour voir si l'entrée est saine ou malsaine. Si l'entrée montre un programme demeurant dans un *Startup Group*, HijackThis ne peut pas le réparer directement :
    utilise le Gestionnaire des Tâches de Windows (TASKMGR.EXE) pour fermer le ou les processus génants (msconfig)

    Note que ton Hijack n'est pas à jour tu devrais avoir la version
    HijackThis v1.98.0
    :) voilà - fix-it en mode sans échec - avant tu décoches tout les programmes suspects dans "msconfig" - après le fix-it = vider le cache IE dans options internet et la Corbeille et DESACTIVER la restauration système auparavant pour XP ou ME, ne la remettre que toutes les opérations de nettoyage effectuée

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  2. Couliss Messages postés 70 Statut Membre 7
     
    Pareil que sylvain j vois pas l'exe ou la dll douteuse dans mon log.

    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
    C:\ATI-CPanel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\iRiver\iHP100\iHPDetect.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\SCVHOST.EXE
    C:\Program Files\DSB\DSB.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Propriétaire.COUDE-2KBD0PVM4\Bureau\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\ADSL Olitec\CnxDslTb.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\iHP100\iHPDetect.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
    O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
    O4 - HKLM\..\Run: [DSB] C:\Program Files\DSB\DSB.exe
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F471AAF3-C1D5-4F5C-8AD0-19A93A608FB8}: NameServer = 213.228.0.23 212.27.32.176
    0
  3. Utilisateur anonyme
     
    hello couliss,
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    fix-it!

    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime <--- tu pourrais le désactiver dans *msconfig* plus tard, ça ralentit ton pc au démarrage et ça sert à rien ce programme (attention! pas le virer avec Hijack juste le désactiver l'onglet dans le programme Démarrage ;) )

    O4 - HKLM\..\Run: [iHP-100] C:\Program Files\iRiver\iHP100\iHPDetect.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe <-- tu reconnais ces programmes? sinon regarde dans le post plus haut pour la *PacMan's Startup List* vérifie les autres 04, si tu reconnais tous les programmes comme installés par toi c'est bon.

    Même manipulation que le post plus haut - note que ton Hijack d'1 on ne voit pas la version que tu as utilisé et 2) il est pas si mauvais que ça - quel est le problème? 1 page non désirée dans IE?

    @+ :)

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Couliss Messages postés 70 Statut Membre 7
     
    OKi Dagger Mci bcp j vais tenter tout ca.
    Ma version : Logfile of HijackThis v1.98.0

    le ctfmon j sais pas ce que c'est mais il me semble que c'est antérieur au probleme.

    Le fameux probleme c'est que norton auto protect détecte un virus non nettoyable et non quarantinable dans system32\msnme.dll, fichier qui est introuvable meme en décachant tout et en éxecutant en mode sans echec. Le virus est le backdoor.trojan et n'est pas detecté par une analyse de norton normale (bizarre). Je ne peut pas afficher le site secuser.com qui a du etre freezé par ce trojan.

    Bon j continue ma chasse à la sale bete virtuelle.
    Merci pour tout
    @+
    Couliss
    0
  6. Couliss Messages postés 70 Statut Membre 7
     
    arg en hijjackant ca marche pas, les R1 avec about::blank restent.
    Ca va etre plus cho que prévu ...
    0
  7. Utilisateur anonyme
     
    re-couliss - passe en mode sans échec (mm avec Hijack le fix-it doit être fait sous ce mode) et scanne ton pc avec des anti-spys, normalement tout se fait en *mode sans échec* sinon les procédures de désinfection échouent - essaye de voir dans Démarrer/msconfig si tu n'as pas des programmes vérolés cochés
    scanne avec : (scans gratuits)
    http://www.kasperskylabs.com/remoteviruschk.html <- 1 seul fichier! peut être scanné à la fois - attention! ;)
    http://www.bitdefender.com/scan/licence.php
    voilà! commence par scanner avec ces 2 là - si tu as un anti-virus désactive-le pour le moment pour ne pas créer de conflit
    Vide ton cache internet et ta corbeille et DESACTIVE la restauration système sinon à chaque redémarrage c'est retour case départ
    @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  8. Couliss Messages postés 70 Statut Membre 7
     
    ok j vais tenter tout ca, mais j voudrais m'assurer 2/3 ptites choses vu que j suis pas un pro du clavier:
    -vider le cache, c'est en gros tuer les cookies et les fichiers temp?
    -C'est pas problématique que j'arrive pas à visualiser le fichier .dll soit disant infecté? Y'a pas un .exe derriere tout ca??

    Sur ce merci encore, j vais me la jouer à la "Victor , nettoyeur" et tenter d'éradiquer la sale bete.
    0
  9. Utilisateur anonyme
     
    vider le cache c'est effectivement les fichiers temp., les cookies etc...
    si ton anti-virus t'indique que le fichier est impossible à supprimer, vérifier les processus et tue- le processus concerné (ALT + CRTL + SUPPR)
    et supprime le fichier manuellement ainsi que les clés de registre que tu auras repéré en effectuant une recherche préalable -
    le registre : Démarrer/Exécuter*taper : msconfig/ok - Edition/rechercher
    Kaspersky peut scanner un fichier en particulier (un seul) c'est ton cas donc..essaye de voir par là déjà.
    N'oublie pas le scan en mode sans échec - de désactiver et de surtout réactiver la restau système une fois le processus de désinfection finit - @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  10. Couliss Messages postés 70 Statut Membre 7
     
    J'ai fait le scan bitdefender qui m'a detect un tojan dans system32\scvhost.exe qui a ete delete et un autre ds media player , effacé aussi.

    Par contre Norton detecte tjrs un fichier msnme.dll qui reste introuvable. Donc le kaspersky , bah je peut pas l'utiliser.
    IE6 refuse tjrs d'afficher www.secuser.com\antivirus, la racine du probleme est tjrs la........

    Je sens que la nuit va etre longue.........
    @+
    0
  11. Utilisateur anonyme
     
    msnme.dll <-- je ne vois qu'un rapport c'est MSN ?? essaye de scanner le fichier avec kaspersky - sinon fait une recherche dans le regedit.
    Met à jour Norton si ce n'est déjà fait et fait un Update chez Microsoft là!
    Tu veux dire quoi qu'IE refuse d'afficher Secuser? dans ta page IE ou tu ne peux pas scanner ton pc avec Secuser?

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  12. Couliss Messages postés 70 Statut Membre 7
     
    Je peut pas scanner le pc avec secuser, il me balance un rapport d'erreur et ferme la fenetre.

    J'ai tout updaté, j'ai tenté le mode sans echec, j'ai désactivé le scvhost.exe dans msconfig au demarrage, mais norton s'excite tjrs sur la dll.

    Impossible de visualiser cette foutue dll et le scvhost.exe dans le rep system32 .

    J'lai trouvée ds le registre, ds hkey_users\s-1-5-21~\software\microsoft\search assistant\ACMRu\msnme.dll

    Maintenant faut que j la delete la clé? ou utilisation d'ou outil plus "soft"??
    0
  13. Utilisateur anonyme
     
    je viens de faire une recherche dans mon Regedit j'ai cette dll aussi :
    ab.....msnme.dll
    ab..MRU List..."ba"
    donc m'est avis qu'il ne faut pas la supprimer
    De tte manière tu peux scanner avec autre chose que Secuser ; tente kaspersky et analyse le dossier incriminé - je vois pas autre chose :-[[.....
    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  14. Couliss Messages postés 70 Statut Membre 7
     
    j'ai retenté un analyse.

    Encore deux trojans, dans des .exe de system32 que j'ai supprimé.

    J'ai toujours l'alerte msnms.dll de norton, mais elle ne se déclenche que lorsque que je lance IE, au meme moment ou la fenetre internet apparait, meme hors connexion.

    J'ai analysé le dossier avec kaspersky, panda et rien à signaler.
    0
  15. Utilisateur anonyme
     
    re - essaye de désactiver l'alerte Norton, il bugue peut être même le réinstaller (hors connexion), si tu as supprimé les virus avec un autre utilitaire, Norton lui la toujours dans son rapport. Les scans que tu as fait sont avec de très bons utilitaires, tu devrais être débarassé là, si tu les as fait en mode sans échec+désactiver la restau system+vider le cache+la corbeille+éventuellement supprimer toutes les dates de restauration et re-scanner - faut tenter @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  16. Couliss Messages postés 70 Statut Membre 7
     
    Bon j'ai tenté de réinstall norton, ca change rien.

    Toujours le trojan vu que je ne peut pas scanner avec secuser.com et le trojan "backdoor.trojan" bloque le site parait-il.

    J vais arreter de m'exciter et j formaterai sous peu, la c'est pas trop génant encore.
    0
  17. Couliss Messages postés 70 Statut Membre 7
     
    Chaque fois que j fais adaware maintenant j'ai le droit à ca :
    Mes pages sont pas modifiées parceque j'ai lockées les clés donc le malware réécrit pas dessus.

    Started deep registry scan
    ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
    Possible browser hijack attempt : Software\Microsoft\Internet Explorer\SearchSearchAssistanttemp\sp.html

    Possible Browser Hijack attempt Object recognized!
    Type : RegData
    Data : "file://C:\DOCUME~1\PROPRI~1.COU\LOCALS~1\Temp\sp.html"
    Rootkey : HKEY_LOCAL_MACHINE
    Object : Software\Microsoft\Internet Explorer\Search
    Value : SearchAssistant
    Data : "file://C:\DOCUME~1\PROPRI~1.COU\LOCALS~1\Temp\sp.html"

    CoolWebSearch Object recognized!
    Type : RegKey
    Data :
    Rootkey : HKEY_CLASSES_ROOT
    Object : CLSID\{633C0572-9782-4FB4-ABEC-C00FFD8955B9}

    CoolWebSearch Object recognized!
    Type : File
    Data : aihecia.dll
    Object : c:\windows\system32\
    FileSize : 30 KB
    Created on : 19/07/2004 14:38:29
    Last accessed : 19/07/2004 14:38:29
    Last modified : 19/07/2004 14:38:29

    CoolWebSearch Object recognized!
    Type : RegKey
    Data :
    Rootkey : HKEY_CLASSES_ROOT
    Object : CLSID\{B279FFED-4308-45F8-8F36-9F18C7127E09}

    CoolWebSearch Object recognized!
    Type : RegKey
    Data :
    Rootkey : HKEY_CLASSES_ROOT
    Object : PROTOCOLS\Filter\text/html

    CoolWebSearch Object recognized!
    Type : RegKey
    Data :
    Rootkey : HKEY_CLASSES_ROOT
    Object : PROTOCOLS\Filter\text/plain

    CoolWebSearch Object recognized!
    Type : RegKey
    Data :
    Rootkey : HKEY_LOCAL_MACHINE
    Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B279FFED-4308-45F8-8F36-9F18C7127E09}
    0
  18. Utilisateur anonyme
     
    :-(] ralalaaa! il te manquait plus que * CoolWebSearch * pour peaufiner le tableau - normalement ad-aware 6.0 delete les variantes CWS, met a-a à jour si ce n'est déjà fait et attend les nouvelles mises à jour, CWS va plus vite à muter qu'a-aw. à suivre cette bande de truands de CWS, sinon tu as l'utilitaire spécial http://assiste.free.fr/p/frameset/12.php
    tu vas sur le bouton "attaquants"/tu cherches "coolwebsearch" une foultitude d'infos sur ce merd**r - ;-)
    Spybot 1.3 aussi intégre les variantes CWS si tu ne l'as pas téléch-le ce sont 2 bons outils complémentaires avec ad-aware
    http://www.clubic.com/t/logiciel/fiche/telecharger/10965.html - le lien pour télécharger sp.s&d 1.3 - (il doit être aussi sur CCM mais j'ai cette url en stock)
    le tuto : http://www.cestfacile.org/spybot.htm

    Note que tu as le chemin de ta BdR tout tracé par A-A 6.0 - tu peux aussi voir par là et le virer - bonne chance!
    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  19. Utilisateur anonyme
     
    oups! je me demandais si mon message était bien parti, CCM est devenu inaccessible en plein envoi de mon message - ayé! c'est reparti ! :-]]]]

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  • 1
  • 2
  • 3