Popup au lancement IE ou explorer windaube

[ipl_001]

Bonsoir froggie, tesgaz, castali, jameswest, stjacut, bonsoir à tous,

 

C:\DOCUME~1\TOM~1.FRO\LOCALS~1\Temp\HijackThis.exe

froggie, n'installe pas HijackThis dans le répertoire Temp car il génère plein de fichiers de backup et tu risque tu ne pas les trouver facilement !

1 antivirus à jour qui bloque les virus, les vers mais aussi les spywares, les adwares et autres logiciels publicitaires.

jameswest, merci pour tes explications détaillées ! parles-tu d'un antivirus avec toutes ces fonctions ???

Est-ce que çà fait longtemps que tu as eu cette aventure ? il me semble que Look2Me s'enlève plus facilement !!!

 

stjacut, je te souhaite la bienvenue sur Zebulon !

[jameswest]

Salut ipl_001,

 

Je te remercie.

 

 

Concernant l'antivirus, je pensais à Norton Anti virus 2004 qui possede des modules pour les cheveaux de troie, les spyware, les vers et les logiciels publicitaires. Connaissant les limites de cet outil, j'avais indiqué en plus Ad-Aware et Spybot qui me semblent un minimun vital pour espérer détecter à temps les menaces.

Cette aventure et il est vrai que c'en est une, a commencé fin avril et je ne l'ai résolu complètement que vers le 15 mai 2004. Après visite sur le site de Symantec pour obtenir le mode de suppression du virus, j'ai appliqué à la lettre la méthode (mode sans echec et remise à jour dans Internet Exploreur). Dès le redémarrage de l'ordinateur le problème survenait de nouveau j'en ai déduit que c'était là qu'il fallait cherché, aidé par ZoneAlarm j'ai compris le fonctionnement du virus.

Quand Norton faisait son scan en mode sans echec il ne parvenait pas à détruire le fichier reconnu par lui comme étant Look2Me. A chaque fois que je stoppais le processus Rundll32.exe avant le scan en mode sans echec, Norton effaçait le fichier sans aucun soucis. Les fichiers trouvés par Norton étaient intitulés : 3evxvfwcodec.dll ou 3nvxvfwcodec.dll. Après avoir désactivé la fonctions fichiers cachés et fichiers système cachés, j'ai remarqué ce fichier 3dvxvfwcodec.dll (fichier caché et système). Ce dll démarrait dans le processus Winlogon et était impossible à supprimer. Pour en avoir le coeur net, j'ai désinstallé tout les codecs et tout ce qui pouvait avoir trait au multimédia de mon Pc. Le dll était toujours là, après vérification de la date de création du fichier et plusieurs appel à des personnes de mon entourage disposant du même Os, j'ai decidé de supprimer celui-ci comme je l'ai indiqué dans le post.

Depuis mon problème est terminé, plus de fenêtre qui s'ouvre ou quoi que ce soit.

 

Mon avis sur tout ça est que les virus vers et compagnies sont de plus en plus furtif et que l'on est loin de savoir ce qui nous attends dans les semaines et mois à venir.

 

Voilà je suis à ta disposition si tu veux de plus amples détails.

[ipl_001]

Hello jameswest,

 

Merci pour ta réponse !

Si tu fréquentes Zebulon, tu verras que, en général, nous n'aimons pas beaucoup les produits Symantec !

... Mon avis sur tout ça est que les virus vers et compagnies sont de plus en plus furtif et que l'on est loin de savoir ce qui  nous attends dans les semaines et mois à venir...

Tiens, lis ce message : "Merijn lève le pied !"-> http://forum.zebulon.fr/index.php?showtopic=46384

 

... ce qui nous attend, si ! je l'écris depuis longtemps qu'on s'oriente vers les détournements de fonds !

Les virus, c'est de la rigolade par rapport aux spywares et chevaux de Troie !

[Invité tesgaz]

je suis d'accord avecle raisonement de ipl_001,

 

les antivrus ne servent plus qu'a 25% des problèmes que les internautes rencontrent aujourd'hui sur internet.

et encore !

[jameswest]

Bonsoir Tesgaz,

 

Il est certain que l'utilité du logiciel Anti virus est maintenant cantonné au seul service du traitement des méls. Et il faudra sûrement déchanter rapidement lorsque l'on subira des attaques en règle provenant des serveurs Smtp. Ce ne seront pas des virus mais des trojans et consorts de plus en plus sophistiqués.

 

Quand on voit que la délinquance informatique est quatre fois plus rentable que le trafic de drogue et que les milieux mafieux russe et ukrainien sont sur le pont pour mettre en place des stratégies pour le monde occidental, il y a des questions à se poser au plus haut de l'éxécutif européen.

 

Ce n'est d'ailleurs plus de la délinquance mais du Grand Banditisme.

 

Ou va le monde informatique...

 

 

JW

[stjacut]

Au secours ! Au secours !

 

Et d'abord, bonsoir, Tesgaz.

 

J'ai nettoyé mon disque comme indiqué. Malheureusement ma connexion qui est normalement de 1024 k est passée à + ou - 400 k ! (Je n'ai pourtant pas l'impression que Télé2 ait chuté à ce point !)

 

Et surprise, quand j'ai relancé internet ce soir, j'ai eu de nouveau une page de lancement "Search for..." et quelques pop-ups type "micro infesté par spyware" !

 

Alors, voici l'ordre des opérations faites ce soir :

 

nettoyage par Spybot (avant même de supprimer les fichiers temporaires internet)

voici le résultat :

DSO Exploit: Data source object exploit (Registry change, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Registry change, nothing done)

HKEY_USERS\S-1-5-21-823518204-2049760794-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Registry change, nothing done)

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Registry change, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Registry change, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

Puis a Squared 2 :Résultat :

 

A squared 2

Diagnose

C:\RECYCLER\S-1-5-21-823518204-2049760794-839522115-1004\Dc4.dll Trojan.Win32.StartPage.is

C:\WINDOWS\system32\gckm.dll Trojan.Win32.StartPage.is

 

Enfin, après élimination des fichiers temporaires, voici le résultat de HijackThis :

Logfile of HijackThis v1.97.7

Scan saved at 20:25:42, on 04/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\atiptaxx.exe

C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\WINDOWS\System32\SCVHOST.EXE

C:\Apps\ActivBoard\nhksrv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\PrintKey2000\Printkey2000.exe

C:\Palm\HOTSYNC.EXE

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\Program Files\DSB\DSB.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe

C:\Documents and Settings\Pierre\Mes documents\Mes fichiers reçus\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE

O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE

O4 - HKLM\..\Run: [DSB] C:\Program Files\DSB\DSB.exe

O4 - HKCU\..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE

O4 - Global Startup: Printkey2000.lnk = C:\Program Files\PrintKey2000\Printkey2000.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

 

Je suis quasi désespéré !

 

Si quelqu'un veut bien me donner un petit coup de main, merci d'avance.

[megataupe]

Tu as toujours ce ver qui démarre et qui est quasi invirable :

 

C:\WINDOWS\System32\SCVHOST.EXE

[SSkuLL]

Tu as toujours ce ver qui démarre et qui est quasi invirable :

 

C:\WINDOWS\System32\SCVHOST.EXE

je ne suis pas sur que cela soit un ver.

 

faqxp.com :

SVCHOST est un processus générique, qui sert à lancer des services contenus

dans des DLL.

 

Au démarrage, SVCHOST scrute le contenu de la clef :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

 

Des entrées de type REG_MULTI_SZ contiennent une énumération de services à

lancer.

 

 

Il est donc normal d'en avoir plusieurs.

 

 

 

Comment ça marche .com

Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent.

 

 

Avant de parler on se renseigne.

[megataupe]

Faut lire : SCVHOST et non SVCHOST !!!!

 

sinon, tu as raison

 

svchost - svchost.exe

 

Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent.

 

L'utilitaire tlist.exe fourni sur le CD-ROM de Windows 2000/XP permet de lister les applications utilisant ce service grâce à la commande suivante :

 

tlist -s

 

Le service svchost original possède une faille de sécurité qu'il est impératif de corriger en mettant à jour le système avec le service WindowsUpdate.

 

Il ne s'agit en aucun cas d'un Virus résident, d'un ver, d'un cheval de Troie, d'un spyware, ni d'un AdWare.

[jameswest]

Bonsoir à tous,

 

salut megataupe,

 

Bien sur que tu as raison, en voici d'ailleurs la confirmation trouvé sur le site http://www.answersthatwork.com/Tasklist_pages/tasklist_s.htm

 

Toutes mes excuses c'est en anglais.

 

SCVHOST.exe

 

You have the Backdoor.Sdbot.N virus, or one of the Gaobot viruses, or one of the many other viruses which drop SCVHOST.EXE (not to be confused with SVCHOST further down this page).

 

 

JW