|
|
|
paraglider$ paraglider 23/03 :: 12:53
Invité
| | Salut bon, je sais qu'il y a deja un sujet la-dessus, mais bon. Je n'arrive pas a enlever ce virus. J'ai essaye l'outil preconise par Symantec, mais Norton le trouve toujours. Ensuite, j'ai essaye d'enlever manuellement les cles qu'ils indiquent mais elles ne sont pas dans ma base de registre. Spybot ne trouve rien et voici le scan de mon PC avec HijackThis :
Logfile of HijackThis v1.98.2 Scan saved at 12:57:43, on 23/03/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe G:\WINDOWS\Explorer.EXE G:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\System32\RunDll32.exe G:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe G:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe G:\PROGRA~1\Wanadoo\CnxMon.exe G:\PROGRA~1\MESSAG~1\StartMessager.exe G:\PROGRA~1\Wanadoo\TaskbarIcon.exe G:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe G:\Program Files\HP\hpcoretech\hpcmpmgr.exe G:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe G:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe G:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe G:\WINDOWS\System32\ctfmon.exe G:\Program Files\Messenger\msmsgs.exe G:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe G:\Program Files\Microsoft Office\Office\OSA.EXE G:\Program Files\Microsoft Office\Office\FINDFAST.EXE G:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE G:\WINDOWS\System32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe G:\WINDOWS\System32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe G:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe G:\WINDOWS\System32\Hummingbird\Connectivity\7.10\Jconfig\hjavaw.exe G:\Program Files\Java\j2re1.4.2_06\bin\javaw.exe G:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE G:\Program Files\Kerio\Personal Firewall\persfw.exe G:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE G:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe G:\PROGRA~1\Wanadoo\EspaceWanadoo.exe G:\PROGRA~1\Wanadoo\ComComp.exe G:\PROGRA~1\Wanadoo\Watch.exe G:\Program Files\HijackThis\HijackThis.exe G:\Program Files\Internet Explorer\IEXPLORE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - G:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\program files\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ccApp] "G:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [WooCnxMon] G:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [MessagerStarter Wanadoo] G:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WOOWATCH] G:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] G:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [HP Software Update] "G:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "G:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] G:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SSC_UserPrompt] G:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] G:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "G:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = G:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Démarrage d'Office.lnk = G:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Microsoft Recherche accélérée.lnk = G:\Program Files\Microsoft Office\Office\FINDFAST.EXE O8 - Extra context menu item: &Google Search - res://g:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Pages liées - res://g:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Pages similaires - res://g:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://g:\program files\google\GoogleToolbar2.dll/cmcache.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\MSMSGS.EXE O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O12 - Plugin for .spop: G:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab O16 - DPF: {644E432F-49D3-41A1-D5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {F1835D04-7CCF-489E-8184-C08A1F682169} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/pt-BR/filesharingctrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6E03D645-C0E3-4E47-9B80-2552AD395F7C}: NameServer = 80.10.246.1 80.10.246.132 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - G:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
Si quelqu'un pouvait m'aider, merci d'avance a lui. | |
|
stin07bis$2004001 stin07bis 23/03 :: 13:02
Arrivant
| | Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
commence déjà à mettre ton pc à jour.......(windows update)...
Troj/Iefeat-A est un programme de logiciel publicitaire qui télécharge de nombreux autres composants depuis des sites Web prédéfinis, qui installe et désinstalle des Browser Helper Objects, et qui élimine et installe d’autres programmes de logiciels publicitaires et composeurs.
Troj/Iefeat-A change aussi les paramètres de la page de démarrage et de la page de recherche de Microsoft Internet Explorer.
Troj/Iefeat-A ajoute le nom de chemin d’un DLL installé dans l’une des nouvelles sous-clé d’une ou de plusieurs entrées de registre afin d’exécuter automatiquement une fonction exportée du DLL au démarrage :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Par exemple :
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\ Image = rundll32.exe <chemin>\Image.dll,Install
Troj/Iefeat-A injecte aussi un DLL puis paramètre la page de démarrage de Microsoft Internet Explorer sur une page HTML au sein de la section de ressources du DLL. Par exemple, la nouvelle page de démarrage pourrait être :
"res://C:\Windows\System32\Npats.dll/Index.html"
Troj/Iefeat-A peut généralement être désinstallé via la zone de dialogue Ajout ou Suppression de programmes du Panneau de configuration Windows (Démarrer Paramètres Panneau de configuration Ajout/Suppression de programmes) en sélectionnant l’entrée contenant la chaîne de caractères "IEFeat". | |
|
paraglider$ paraglider 23/03 :: 13:28
Invité
| | pour la mise a jour : il faut installer SP2? Je n'ai pas d'entrée avec IEfeat, je n'ai que des noms de programme que je connais | |
|
stin07bis$2004001 stin07bis 23/03 :: 14:24
Arrivant
| | O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - G:\PROGRA~1\Wanadoo\SEARCH~1.DLL
à suprimer en mode sans echec.....(deactivé la restosysteme avant) nettoyage complet de ton pc....fichiers "temp" et internet....passe spybot.... moi, j'ai sp2..et pas de probleme... laisse savoir si cela s'arrange @+ | |
|
paraglider$ paraglider 23/03 :: 14:35
Invité
| | ok merci je vais le faire et je te dirai ce qu'il en est. Juste une precision les 2 entree O15 n'apparaissent pas en mode sans echec et reviennent quand je les efface en mode normal. | |
|
stin07bis$2004001 stin07bis 23/03 :: 15:59
Arrivant
| | regarde dans "internet explorer"...outils (options..??,) tu dois pouvoir les retrouver la dedans.... @+ | |
|
paraglider$ paraglider 28/03 :: 14:20
Invité
| | Salut, bon, je n'ai toujours pas reussi a m'en debarasser. Norton Antivirus continue de trouver le soi-disant fichier open.exe.js dans le dossier windows\downloaded program files. Mais il n'apparait pas dans l'explorateur Windows. Si quelqu'un a une idee... | |
|
Nemix$2004226 Nemix 28/03 :: 14:25
Arrivante
| | Et en affichant fichier et dossier cachés ?
| |
|
Rodolphe$2004309 Rodolphe 28/03 :: 14:26
Arrivant
| | Salut! Affiche tous les fichiers et dossiers cachés et refais une recherche... Panneau de configuration > Option des dossiers > Affichage > Cocher "Afficher les fichiers et dossiers cachés" et Décocher "Masquer les fichiers protégés du système d' exploitation". Une fois trouvé ton fichier, tu le supprimes manuellement, en mode sans échec et restauration système désactivée! @+ | |
|
paraglider$ paraglider 28/03 :: 23:53
Invité
| | Merci les gars, mais en fait, je l'avais deja fait et meme comme ca, je n'ai pas tous les fichiers qui apparaissent dans ce repertoire puisque je ne vois que 11 objets qui apparaissent qui sont des objets de controle ActiveX qui ont tous l'air valide. Et quand je fais propriétés du dossier, il y a 51 fichiers de present normalement. Voici les identificateurs des 11 objets que j'ai dans ce repertoire, si ca dit quelque chose a quelqu'un... {33564D57-0000-0010-8000-00AA00389B71} {A4639D2F-774E-11D3-A490-00C04F6843FB} {45E83043-1F6F-4D22-A5E7-0138EA171B49} {F1835D04-7CCF-489E-8184-C08A1F682169} {8AD9C840-044E-11D1-B3E9-00805F499D93} {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} {D27CDB6E-AE6D-11CF-96B8-444553540000} {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} {644E432F-49D3-41A1-D5-E099162EEEC5} {6414512B-B978-451D-A0D8-FCFDF33E833C} | |
|
Nemix$2004226 Nemix 29/03 :: 13:30
Arrivante
| | On va attendre que Stin ou qq1 d'autre passe par là pour analyser ton log Hijackthis ^^
| |