lcp
-
Compteur de contenus
3 -
Inscription
-
Dernière visite
Messages posté(e)s par lcp
-
-
Salut,
dans un 1er temps, il faut demarer en mode sans echec et supprimer ces fichiers :
C:\winnt\system32\msdmxm.exe
C:\winnt\system32\evthtm.exe
C:\WINNT\SYSTEM32\services\msxmidi.exe
C:\Documents and Settings\volatron\Application Data\aboe.exe
C:\WINNT\system32\w?wexec.exe
C:\WINNT\dsrve.dll/
C:\WINNT\d3wc32.dll
C:\WINNT\system32\mfcvw.exe
c:\winnt\system32\msdmxm.exe
c:\winnt\system32\glwjmgeb.exe
C:\documents and settings\volatron\local settings\temp\Tk5A6EH.exe
C:\WINNT\system32\apiyr32.exe
C:\WINNT\system32\addoj32.exe
C:\WINNT\atlke.exe
C:\Program Files\Win Comm\WinComm.exe
ensuite tu supprimes les fichiers temporaires d'internet et tu supprimes toutes les entrées :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\dsrve.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dsrve.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\dsrve.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dsrve.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\dsrve.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=cache.u-psud.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *lcp.u-psud.fr
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINNT\SYSTEM32\services\msxmidi.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {68DD4E3B-5519-FB1E-E7F1-6735C490589A} - C:\WINNT\d3wc32.dll (file missing)
O4 - HKLM\..\Run: [mfcvw.exe] C:\WINNT\system32\mfcvw.exe
O4 - HKLM\..\Run: [Msdmxm] c:\winnt\system32\msdmxm.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] c:\winnt\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [glwjmgeb] c:\winnt\system32\glwjmgeb.exe /install
O4 - HKLM\..\Run: [Tk5A6EH] C:\documents and settings\volatron\local settings\temp\Tk5A6EH.exe
O4 - HKLM\..\Run: [apiyr32.exe] C:\WINNT\system32\apiyr32.exe
O4 - HKLM\..\Run: [addoj32.exe] C:\WINNT\system32\addoj32.exe
O4 - HKLM\..\Run: [Tk5A6EH.exe] C:\documents and settings\volatron\local settings\temp\Tk5A6EH.exe
O4 - HKLM\..\Run: [atlke.exe] C:\WINNT\atlke.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\SYSTEM32\services\msxmidi.exe
O4 - HKCU\..\Run: [spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Nacl] C:\Documents and Settings\volatron\Application Data\aboe.exe
O4 - HKCU\..\Run: [Vemgwu] C:\WINNT\system32\w?wexec.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\SYSTEM32\services\msxmidi.exe
O16 - DPF: {02EC65B0-CF4F-359D-B5A0-0A8842BA4C80} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {175F6F99-6011-4F49-9847-6B1234B956AE} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {2F8D774C-2EE8-7E58-329F-177910CECA7C} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {4BAE378A-D4F9-0CE2-AA42-072D775A0B81} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/Live...ervice_5_FR.cab
O16 - DPF: {7A002F1D-8F83-05CE-02E3-2B907C062DC8} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {93829908-07C2-44A2-95DB-F78F201A9B48} - http://adblock.linkz.com/APHelper.dll
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundl...ArcadeRdxIE.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{176E68D0-677E-4BCF-A9FE-E8DCEF184603}: NameServer = 129.175.100.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{176E68D0-677E-4BCF-A9FE-E8DCEF184603}: NameServer = 129.175.100.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{176E68D0-677E-4BCF-A9FE-E8DCEF184603}: NameServer = 129.175.100.5
O21 - SSODL: System - {21CCE6BF-8D53-4A73-BCCC-9B00B014D2DF} - (no file)
Reponse de LCP :
Je remercie tous les internautes qui ont repondu a mon probleme de piratage de
page d'accueil, en particulier Coolman, Richard1 et Tesgaz, ce qui m'a permis de
resoudre mon probleme.
La solution que j'ai retenu est celle de Coolman, j'ai en effet fait une evaluation de
mon log en cliquant sur le lien ICI, comme me le precisait Coolman, j'ai ainsi obtenu
une reponse sous forme de fichier Html qui m'a indiqué pour chaque entrée de mon log (sous forme d'icone - de description et de conseil) ce qu'il etait recommande de faire.
On peut dire que ces recommandations sont presque totalement identiques a ce que me recommandait Tesgaz.
Je n'ai pas travaillé en mode sans echecs, j'ai supprime les processus et ensuite
ces fichiers :
C:\winnt\system32\msdmxm.exe
C:\winnt\system32\evthtm.exe
C:\WINNT\SYSTEM32\services\msxmidi.exe
C:\Documents and Settings\volatron\Application Data\aboe.exe
C:\WINNT\system32\w?wexec.exe
C:\WINNT\dsrve.dll/
C:\WINNT\d3wc32.dll
C:\WINNT\system32\mfcvw.exe
c:\winnt\system32\msdmxm.exe
c:\winnt\system32\glwjmgeb.exe
C:\documents and settings\volatron\local settings\temp\Tk5A6EH.exe
C:\WINNT\system32\apiyr32.exe
C:\WINNT\system32\addoj32.exe
C:\WINNT\atlke.exe
sauf : C:\Program Files\Win Comm\WinComm.exe
j'ai egalement supprime toutes les entreés R1 - R0 - R3 - F3 - O2 - O4 - O16 - O21
sauf O17 qui est l'adresse de notre serveur DNS.
J'ai egalement supprimer tous les petits programmes executables en .exe se
trouvant dans le repertoire : C:\winnt\system32\services\ la plupart
contenaient des lettres relatives au sexe (environ une vingtaine).
L'ordinateur se comporte maintenant normalement, il ne rame plus,
l'occupation de l'UC est entre 0 et 5% et non pas au dela de 80% comme avant, et le parametrage de ma page d'accueil par default est prise en compte.
Un grand merci a vous tous, je recommande se site que je viens de decouvrir
avec succes.
Jacques (LCP)
-
POur essayer de resoudre ce probleme, j'ai lancer le logiciel HijackThis
voici le fichier log.
Merci de me dire les lignes suspects :
Logfile of HijackThis v1.98.2
Scan saved at 10:02:26, on 27/10/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Intel\ASF Agent\ASFAgent.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\DSentry.exe
C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\winnt\system32\msdmxm.exe
C:\winnt\system32\evthtm.exe
C:\WINNT\SYSTEM32\services\msxmidi.exe
C:\Program Files\mozilla.org\Mozilla\Mozilla.exe
C:\Documents and Settings\volatron\Application Data\aboe.exe
C:\WINNT\system32\w?wexec.exe
C:\Documents and Settings\volatron\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\dsrve.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dsrve.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\dsrve.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\dsrve.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\dsrve.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=cache.u-psud.fr:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *lcp.u-psud.fr
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINNT\SYSTEM32\services\msxmidi.exe
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {68DD4E3B-5519-FB1E-E7F1-6735C490589A} - C:\WINNT\d3wc32.dll (file missing)
O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [CreateCD50] "C:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mfcvw.exe] C:\WINNT\system32\mfcvw.exe
O4 - HKLM\..\Run: [Msdmxm] c:\winnt\system32\msdmxm.exe /nocomm
O4 - HKLM\..\Run: [EvtHtm] c:\winnt\system32\evthtm.exe /nocomm
O4 - HKLM\..\Run: [glwjmgeb] c:\winnt\system32\glwjmgeb.exe /install
O4 - HKLM\..\Run: [Tk5A6EH] C:\documents and settings\volatron\local settings\temp\Tk5A6EH.exe
O4 - HKLM\..\Run: [apiyr32.exe] C:\WINNT\system32\apiyr32.exe
O4 - HKLM\..\Run: [addoj32.exe] C:\WINNT\system32\addoj32.exe
O4 - HKLM\..\Run: [Tk5A6EH.exe] C:\documents and settings\volatron\local settings\temp\Tk5A6EH.exe
O4 - HKLM\..\Run: [atlke.exe] C:\WINNT\atlke.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\SYSTEM32\services\msxmidi.exe
O4 - HKCU\..\Run: [spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [Nacl] C:\Documents and Settings\volatron\Application Data\aboe.exe
O4 - HKCU\..\Run: [Vemgwu] C:\WINNT\system32\w?wexec.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\SYSTEM32\services\msxmidi.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {02EC65B0-CF4F-359D-B5A0-0A8842BA4C80} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {175F6F99-6011-4F49-9847-6B1234B956AE} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {2F8D774C-2EE8-7E58-329F-177910CECA7C} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {4BAE378A-D4F9-0CE2-AA42-072D775A0B81} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/Live...ervice_5_FR.cab
O16 - DPF: {7A002F1D-8F83-05CE-02E3-2B907C062DC8} - http://69.50.188.54/1/gdnFR208.exe
O16 - DPF: {93829908-07C2-44A2-95DB-F78F201A9B48} - http://adblock.linkz.com/APHelper.dll
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundl...ArcadeRdxIE.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{176E68D0-677E-4BCF-A9FE-E8DCEF184603}: NameServer = 129.175.100.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{176E68D0-677E-4BCF-A9FE-E8DCEF184603}: NameServer = 129.175.100.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{176E68D0-677E-4BCF-A9FE-E8DCEF184603}: NameServer = 129.175.100.5
O21 - SSODL: System - {21CCE6BF-8D53-4A73-BCCC-9B00B014D2DF} - (no file)
DEMARRAGE INTEMPESTIF
dans Software
Posté(e)
Bonjour,
Un PC equipe de windows 2000 SP2, reboote sans arret, je n'ai donc pas
la possibilite de lancer WIndows Update n'y de lancer les corectifs afin d'eradiquer
les virus (Blaster ou Sasser) .
Que puis-je faire pour eviter de reinstaller le systeme ?
Merci pour votre reponse.
Jacques (LCP)