|
|
|
 |
paraglider$ paraglider
23/03 :: 12:53
Invité
| | Salut
bon, je sais qu'il y a deja un sujet la-dessus, mais bon. Je n'arrive pas a enlever ce virus. J'ai essaye l'outil preconise par Symantec, mais Norton le trouve toujours. Ensuite, j'ai essaye d'enlever manuellement les cles qu'ils indiquent mais elles ne sont pas dans ma base de registre. Spybot ne trouve rien et voici le scan de mon PC avec HijackThis :
Logfile of HijackThis v1.98.2
Scan saved at 12:57:43, on 23/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
G:\WINDOWS\Explorer.EXE
G:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\RunDll32.exe
G:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
G:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
G:\PROGRA~1\Wanadoo\CnxMon.exe
G:\PROGRA~1\MESSAG~1\StartMessager.exe
G:\PROGRA~1\Wanadoo\TaskbarIcon.exe
G:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
G:\Program Files\HP\hpcoretech\hpcmpmgr.exe
G:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
G:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
G:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
G:\WINDOWS\System32\ctfmon.exe
G:\Program Files\Messenger\msmsgs.exe
G:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
G:\Program Files\Microsoft Office\Office\OSA.EXE
G:\Program Files\Microsoft Office\Office\FINDFAST.EXE
G:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
G:\WINDOWS\System32\Hummingbird\Connectivity\7.10\Inetd\inetd32.exe
G:\WINDOWS\System32\Hummingbird\Connectivity\7.10\Jconfig\jconfigdnt.exe
G:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
G:\WINDOWS\System32\Hummingbird\Connectivity\7.10\Jconfig\hjavaw.exe
G:\Program Files\Java\j2re1.4.2_06\bin\javaw.exe
G:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
G:\Program Files\Kerio\Personal Firewall\persfw.exe
G:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
G:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
G:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
G:\PROGRA~1\Wanadoo\ComComp.exe
G:\PROGRA~1\Wanadoo\Watch.exe
G:\Program Files\HijackThis\HijackThis.exe
G:\Program Files\Internet Explorer\IEXPLORE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - G:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C 7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\program files\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "G:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WooCnxMon] G:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] G:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] G:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] G:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [HP Software Update] "G:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "G:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] G:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SSC_UserPrompt] G:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] G:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "G:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = G:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Démarrage d'Office.lnk = G:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = G:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://g:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://g:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://g:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://g:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .spop: G:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {644E432F-49D3-41A1-D5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F1835D04-7CCF-489E-8184-C08A1F682169} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/pt-BR/filesharingctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E03D645-C0E3-4E47-9B80-2552AD395F7C}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - G:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
Si quelqu'un pouvait m'aider, merci d'avance a lui. | |
|
stin07bis$2004001 stin07bis
23/03 :: 13:02
Arrivant
| | Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
commence déjà à mettre ton pc à jour.......(windows update)...
Troj/Iefeat-A est un programme de logiciel publicitaire qui télécharge de nombreux autres composants depuis des sites Web prédéfinis, qui installe et désinstalle des Browser Helper Objects, et qui élimine et installe d’autres programmes de logiciels publicitaires et composeurs.
Troj/Iefeat-A change aussi les paramètres de la page de démarrage et de la page de recherche de Microsoft Internet Explorer.
Troj/Iefeat-A ajoute le nom de chemin d’un DLL installé dans l’une des nouvelles sous-clé d’une ou de plusieurs entrées de registre afin d’exécuter automatiquement une fonction exportée du DLL au démarrage :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Par exemple :
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
Image = rundll32.exe <chemin>\Image.dll,Install
Troj/Iefeat-A injecte aussi un DLL puis paramètre la page de démarrage de Microsoft Internet Explorer sur une page HTML au sein de la section de ressources du DLL. Par exemple, la nouvelle page de démarrage pourrait être :
"res://C:\Windows\System32\Npats.dll/Index.html"
Troj/Iefeat-A peut généralement être désinstallé via la zone de dialogue Ajout ou Suppression de programmes du Panneau de configuration Windows (Démarrer  Paramètres Panneau de configuration Ajout/Suppression de programmes) en sélectionnant l’entrée contenant la chaîne de caractères "IEFeat". | |
|
paraglider$ paraglider
23/03 :: 13:28
Invité
| | pour la mise a jour : il faut installer SP2?
Je n'ai pas d'entrée avec IEfeat, je n'ai que des noms de programme que je connais | |
|
stin07bis$2004001 stin07bis
23/03 :: 14:24
Arrivant
| | O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - G:\PROGRA~1\Wanadoo\SEARCH~1.DLL
à suprimer en mode sans echec.....(deactivé la restosysteme avant) nettoyage complet de ton pc....fichiers "temp" et internet....passe spybot....
moi, j'ai sp2..et pas de probleme...
laisse savoir si cela s'arrange
@+ | |
|
paraglider$ paraglider
23/03 :: 14:35
Invité
| | ok merci je vais le faire et je te dirai ce qu'il en est. Juste une precision les 2 entree O15 n'apparaissent pas en mode sans echec et reviennent quand je les efface en mode normal. | |
|
stin07bis$2004001 stin07bis
23/03 :: 15:59
Arrivant
| | regarde dans "internet explorer"...outils (options..??,) tu dois pouvoir les retrouver la dedans....
@+ | |
|
paraglider$ paraglider
28/03 :: 14:20
Invité
| | Salut,
bon, je n'ai toujours pas reussi a m'en debarasser. Norton Antivirus continue de trouver le soi-disant fichier open.exe.js dans le dossier windows\downloaded program files. Mais il n'apparait pas dans l'explorateur Windows. Si quelqu'un a une idee... | |
|
Nemix$2004226 Nemix
28/03 :: 14:25
Arrivante
| | Et en affichant fichier et dossier cachés ?
| |
|
Rodolphe$2004309 Rodolphe
28/03 :: 14:26
Arrivant
| | Salut!
Affiche tous les fichiers et dossiers cachés et refais une recherche...
Panneau de configuration > Option des dossiers > Affichage > Cocher "Afficher les fichiers et dossiers cachés" et Décocher "Masquer les fichiers protégés du système d' exploitation".
Une fois trouvé ton fichier, tu le supprimes manuellement, en mode sans échec et restauration système désactivée!
@+ | |
|
paraglider$ paraglider
28/03 :: 23:53
Invité
| | Merci les gars, mais en fait, je l'avais deja fait et meme comme ca, je n'ai pas tous les fichiers qui apparaissent dans ce repertoire puisque je ne vois que 11 objets qui apparaissent qui sont des objets de controle ActiveX qui ont tous l'air valide. Et quand je fais propriétés du dossier, il y a 51 fichiers de present normalement.
Voici les identificateurs des 11 objets que j'ai dans ce repertoire, si ca dit quelque chose a quelqu'un...
{33564D57-0000-0010-8000-00AA00389B71}
{A4639D2F-774E-11D3-A490-00C04F6843FB}
{45E83043-1F6F-4D22-A5E7-0138EA171B49}
{F1835D04-7CCF-489E-8184-C08A1F682169}
{8AD9C840-044E-11D1-B3E9-00805F499D93}
{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}
{D27CDB6E-AE6D-11CF-96B8-444553540000}
{2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}
{644E432F-49D3-41A1-D5-E099162EEEC5}
{6414512B-B978-451D-A0D8-FCFDF33E833C} | |
|
Nemix$2004226 Nemix
29/03 :: 13:30
Arrivante
| | On va attendre que Stin ou qq1 d'autre passe par là pour analyser ton log Hijackthis ^^
| |
