freednshost

[inconn12]

Bjr ,

 

J'ai un spy dont je n'arrive pas à ma débarrasser {freednshost} . J'ai utilisé Hijack qui supprime effectivement les entrées correspondantes à ce spy mais elles réapparaissent au premier redémarrage de la machine .

Quelqu'un a-t-il une solution ?

 

WIN 98SE IE6

 

Merci d'avance .

[Florent]

J'ai tendane a utiliser plusieurs anti-spy, un seul n'étant pas suffisant...

récupères Spybot S&D dans la section téléchargements (sécurité) de zebulon.fr sans oublier de le mettre a jours et ça devrait le faire un peu mieux

[ipl_001]

Bonjour inconn12, Florent, bonjour à tous,

 

Windows 98SE, je te conseille :

- Delindex

- vide ta corbeille

- va dans les clés de démarrage :

HKCR\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices ou RunServicesOnce

HKLM\Software\CLASSES\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Run ou RunOnce ou RunOnceEx

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices ou RunServicesOnce

pour y trouver la valeur qui réinfecte ton système

[inconn12]

J'ai essayé tout ça sans résultats : après un reboot je retrouve toujours dans les registres une cinquantaine d'entrées correspondantes à ce @?%"& de freednshost .

Je ne peux meme pas entrer dans le menu télecharger de zebulon . Cette saloperie m'envoie sur une page à lui .

 

Donc toujours help

 

Merci de bien vouloir m'aider .

[ipl_001]

Bonjour inconn12, Florent, bonjour à tous,

 

Oula, c'est plus sérieux là !

 

Voici quelques pages que je connais bien :

- "Lutte AntiSpyware -nettoyage" http://gerard.melone.free.fr/IT/IT-AVS0.html

- "Lutte AntiMalware -nettoyage" http://gerard.melone.free.fr/IT/IT-AV0.html

- "Programmes au démarrage de l'ordi" http://gerard.melone.free.fr/IT/IT-Startup.html

 

Je te donne ces liens au cas où tu serais disponible pour attaquer dur ! si tu vaux du détail, pas de problème je te répondrai sans tarder !

 

Bonne chance !

[ipl_001]

Bonjour inconn12, Florent, bonjour à tous,

 

Il faut que tu nettoies partout avant de rebooter pour éviter la réinfection !

 

- réinfection : regarde mon 3ème lien ci-dessus sans oublier le dossier "Démarrage", les fichiers Windows.ini et System.ini (et qq autres) qui ne sont pas dans la base de registre !

 

- recherche "freednshost" dans la base de registre

- recherche "freednshost" sur le disque dur

[inconn12]

Bjr à tous ,

 

Tout d'abord merci à IPL 001 pour les 3 adresses qui m'ont permis de débroussailler un peu le problème . Ces trois sites sont d'un très grand interet .

 

Ceci dit , mon problème a un peu évolué : je me suis rendu compte ( avec la date ) que cette merde avait modifié mon fichier svchost.exe . J'ai donc renommé ce fichier en svchost.exe_bug , lancé HijackThis pour éliminer toutes les entrées qui m'ont parues suspectes , regedit pour suprimer les trois entrées qui restaient malgrès tout et rebooté la machine . Et miracle , tout marche jusqu'à ce que je n'essaie de rentrer dans donwload de zebulon et je me retrouve à nouveau sur cette putain de merde de page de Worth A Visit .

 

J'ai donc quelques questions :

 

1-A quoi sert svchost.exe qui ne tourne plus sur ma machine alors que tout à l'air de fonctionner ?

2-Ou puis-je trouver le fichier svchost.exe d'origine ? J'ai bien trouvé sous /windows/system/svchost.old mais , à moins que freednshost n'ai eu la gentillesse de créer cette sauvegarde avant de faire sa modif , j'hésite à l'utiliser .

3-Et surtout comment puis-je résoudre le pb qui reste ????

 

Pour info , j'ai utilisé Spy Sweeper , Ad Aware , Spy Bot et HijackThis et seul ce dernier a trouvé ce qui concernait freednshost . Par contre d'autres spy ont été vus par les autres softs et pas par Hijack . Ce qui confirme qu'il vaut mieux en utiliser plusieurs .

 

Ci-joint un extrait du log de Hijack avant nettoyage Il faut bien sur supprimer tout ce qui concerne freednshost mais aussi tout ce qui indique des adresses en dur ( 213.etc...et 81.etc)

 

Logfile of HijackThis v1.97.7

Scan saved at 19:41:34, on 20/04/2004

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://freednshost.info/page/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://freednshost.info/page/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://freednshost.info/page/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freednshost.info

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freednshost.info

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://freednshost.info/page/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://213.159.118.226/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://213.159.118.226/sp.php

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://freednshost.info/page/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://freednshost.info

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://freednshost.info/page/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://freednshost.info/page/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freednshost.info

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://freednshost.info/page/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://213.159.118.226/sp.php

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (C:\Program Files\Netscape\Users\default\prefs.js)

O1 - Hosts: 213.159.118.226 collections.inhost.info

O1 - Hosts: 213.159.118.226 collections.inhost2.info

O1 - Hosts: 213.159.118.226 1-se.com

O1 - Hosts: 213.159.118.226 58q.com

O1 - Hosts: 213.159.118.226 aifind.cc

O1 - Hosts: 213.159.118.226 aifind.info

O1 - Hosts: 213.159.118.226 allneedsearch.com

O1 - Hosts: 213.159.118.226 approvedlinks.com

O1 - Hosts: 213.159.118.226 auto.ie.searchforge.com

O1 - Hosts: 213.159.118.226 awebfind.biz

O1 - Hosts: 213.159.118.226 best.royalsearch.net

O1 - Hosts: 213.159.118.226 cracks.am

O1 - Hosts: 213.159.118.226 default-homepage-network.com

O1 - Hosts: 213.159.118.226 find.microgirls.com

O1 - Hosts: 213.159.118.226 find4u.net

O1 - Hosts: 213.159.118.226 freshvideogals.com

O1 - Hosts: 213.159.118.226 i-lookup.com

O1 - Hosts: 213.159.118.226 ie-search.com

O1 - Hosts: 213.159.118.226 in.webcounter.cc

O1 - Hosts: 213.159.118.226 itseasy.us

O1 - Hosts: 213.159.118.226 just.find-itnow.com

O1 - Hosts: 213.159.118.226 link.startmake.com

O1 - Hosts: 213.159.118.226 mysearchnow.com

O1 - Hosts: 213.159.118.226 nativehardcore.com

O1 - Hosts: 213.159.118.226 qwertysearch123.biz

O1 - Hosts: 213.159.118.226 search.ieplugin.com

O1 - Hosts: 213.159.118.226 search.psn.cn

O1 - Hosts: 213.159.118.226 searchbar.findthewebsiteyouneed.com

O1 - Hosts: 213.159.118.226 searchcentrix.com

O1 - Hosts: 213.159.118.226 searchmyrequest.com

O1 - Hosts: 213.159.118.226 super-spider.com

O1 - Hosts: 81.211.105.49 greatsearch.biz

O1 - Hosts: 81.211.105.49 www.greatsearch.biz

O1 - Hosts: 81.211.105.49 cashsearch.biz

O1 - Hosts: 81.211.105.49 www.cashsearch.biz

O1 - Hosts: 213.159.118.226 t.rack.cc

O1 - Hosts: 213.159.118.226 teen-biz.com

O1 - Hosts: 213.159.118.226 teenhqpics.com

O1 - Hosts: 213.159.118.226 tits.hardcore4ever.net

O1 - Hosts: 213.159.118.226 webcoolsearch.com

O1 - Hosts: 213.159.118.226 wmmse.com

O1 - Hosts: 213.159.118.226 www.008i.com

O1 - Hosts: 213.159.118.226 www.2fastsearch.net

O1 - Hosts: 213.159.118.226 www.8095.com

O1 - Hosts: 213.159.118.226 www.alfa-search.com

O1 - Hosts: 213.159.118.226 www.boredlife.com

O1 - Hosts: 213.159.118.226 www.couldnotfind.com

O1 - Hosts: 213.159.118.226 www.cracks.am

O1 - Hosts: 213.159.118.226 www.daum.net

O1 - Hosts: 213.159.118.226 www.dreamwiz.com

O1 - Hosts: 213.159.118.226 www.find-itnow.com

O1 - Hosts: 213.159.118.226 www.find-itnow.com

O1 - Hosts: 213.159.118.226 www.find4u.net

O1 - Hosts: 213.159.118.226 www.firstbookmark.com

O1 - Hosts: 213.159.118.226 www.gajai.com

O1 - Hosts: 213.159.118.226 www.hand-book.com

O1 - Hosts: 213.159.118.226 www.hao123.com

O1 - Hosts: 213.159.118.226 www.hotsearchbox.com

O1 - Hosts: 213.159.118.226 www.hotwebsearch.com

O1 - Hosts: 213.159.118.226 www.hugesearch.net

O1 - Hosts: 213.159.118.226 www.iquicksearch.com

O1 - Hosts: 213.159.118.226 www.lookfor.cc

O1 - Hosts: 213.159.118.226 www.maxxxhosters.com

O1 - Hosts: 213.159.118.226 www.naver.com

O1 - Hosts: 213.159.118.226 www.nkvd.us

O1 - Hosts: 213.159.118.226 www.novafuck.com

O1 - Hosts: 213.159.118.226 www.ohcorea.com

O1 - Hosts: 213.159.118.226 www.omega-search.com

O1 - Hosts: 213.159.118.226 www.onet.pl

O1 - Hosts: 213.159.118.226 www.power-search.info

O1 - Hosts: 213.159.118.226 www.rightfinder.net

O1 - Hosts: 213.159.118.226 www.search-1.net

O1 - Hosts: 213.159.118.226 www.search-and-go.com

O1 - Hosts: 213.159.118.226 www.search-dot.com

O1 - Hosts: 213.159.118.226 www.search-space.com

O1 - Hosts: 213.159.118.226 www.searchforge.com

O1 - Hosts: 213.159.118.226 www.searching-the-net.com

O1 - Hosts: 213.159.118.226 www.searchv.com

O1 - Hosts: 213.159.118.226 www.searchxl.com

O1 - Hosts: 213.159.118.226 www.seznam.cz

O1 - Hosts: 213.159.118.226 www.slotch.com

O1 - Hosts: 213.159.118.226 www.spidersearch.com

O1 - Hosts: 213.159.118.226 www.startium.com

O1 - Hosts: 213.159.118.226 www.therealsearch.com

O1 - Hosts: 213.159.118.226 www.ttjj.com

O1 - Hosts: 213.159.118.226 www.viewpornkey.com

O1 - Hosts: 213.159.118.226 www.wazzupnet.com

O1 - Hosts: 213.159.118.226 www.websearch.com

O1 - Hosts: 213.159.118.226 www.windowws.cc

O1 - Hosts: 213.159.118.226 www.xgmm.com

O1 - Hosts: 213.159.118.226 xwebsearch.biz

O1 - Hosts: 213.159.118.226 yourbookmarks.ws

O2 - BHO: (no name) - {4178A354-348B-11D3-9AB2-00805F1A0ADB} - C:\CPQS\QUICKSR\HTMLS\QRSCRIPT.DLL

O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\SYSTEM\DREPLACE.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll

O4 - HKLM\..\Run: [scanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe

O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN

O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE

O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\cpqeadm.exe

O4 - HKLM\..\Run: [EACLEAN] C:\Program Files\Compaq\Easy Access Button Support\eaclean.exe

O4 - HKLM\..\Run: [service Connection] c:\cpqs\bwtools\sccenter.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"

O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"

O4 - HKLM\..\Run: [CreateCD50] "c:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM\..\Run: [AdaptecDirectCD] "c:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\SVCHOST.EXE -sr -0

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [HC Reminder] hc.exe

O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\cpqdiag\CpqDfwAg.exe

O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"

O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe

O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\SVCHOST.EXE -sr -0

O4 - HKCU\..\RunServices: [Network Service] C:\WINDOWS\SVCHOST.EXE -sr -0

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: Gestionnaire Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\MSOFFICE.EXE

O4 - Startup: naviscope.lnk = C:\Program Files\Naviscope\naviscope.exe

O4 - Startup: Ask Harrap's Shorter.lnk = ?

O4 - Startup: Petit Larousse 2002.lnk = C:\Program Files\Larousse\Petit Larousse 2002\bin\HIPL2002Popup.exe

O8 - Extra context menu item: Chercher avec Copernic - file://C:\Program Files\Copernic 2000\Search Extension.htm

O8 - Extra context menu item: Chercher avec Copernic Agent - C:\Program Files\Copernic Agent\Web\SearchExt.htm

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Real.com (HKLM)

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)

O9 - Extra button: Copernic Agent (HKLM)

O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O12 - Plugin for .avi: C:\PROGRAM FILES\LIBERTYSURF\COMSTD32\PROGRAM\PLUGINS\NPAVI32.DLL

O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

O13 - DefaultPrefix: http://freednshost.info/page/

O13 - WWW Prefix: http://freednshost.info/page/

O16 - DPF: {11111111-1111-1111-1111-111111111111} - http://fr4-download.instant-access2.com/do...3320/dialer.exe

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...7955.0886805556

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} (loader Class) - http://dload.ipbill.com/del/loader.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab

O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab

O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/Dial...GDHTML_pack.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab

O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://download3.payoutpal.com/download/dialer/cax.cab

O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} (preload control) - http://www.thepaymentcentre.com/build/preload2.cab

O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://xbs.sea.mtree.com/mt/dialers/fc/UniDist.CAB

O16 - DPF: {11111111-1111-1111-1111-111111111147} - file://C:\Program Files\Internet Explorer\4114.exe

O19 - User stylesheet: C:\WINDOWS\system\i7.3kj

[Invité tesgaz]

hum,

inconn12,

 

il est grand ton log de hijack this

 

la y a un sacré nettoyage à faire,

 

penses à supprimer ton fichier hosts dans C:\Wimdow\System32\Drivers\etc\hosts

 

et recréer le avec spybot

[inconn12]

Pour Tesgaz

 

1-Comme indiqué sur mon mail il s'agit d'un log avant nettoyage . J'hésite pour le reste .

 

2- je ne suis pas sur que nous parlions du meme OS , je suis en win98SE et C:\Wimdow\System32\Drivers\etc\hosts n'existe pas sur ma machine .

 

3-Je souhaite des réponses à mes questions (si possible ...)

 

A+

[ipl_001]

Bonjour inconn12, tesgaz, bonjour à tous,

 

Svchost.exe n'existe pas sous Windows 98SE ! voilà qui t'explique que svchost.exe_bug soit inutile !

 

Le fichier Hosts dont parle tesgaz est dans C:\Windows (dans le cas de Ws9x)