Mise à jour problématique de Internet Explorer

[tritium]

Tout d'abord Salutations !

 

Je vous soumets mon problème :

Aprés un surf soutenu et inconcient de ma femme (et oui ...) , je retrouve mon pc infecté par qqs spywares.

M'en etant aperçu, je lance Adawre , un scan antivirus et pense que tout va rentrer dans l'ordre ...

Sauf que le lendemain, je me rends compte que IE5 se lance trés lentement ...

J'installe Spybot 1.3 qui me retrouve qqs entrées suspectes ... mais toujours un lancement lent pour IE.

Je lance Regclean, qui me trouve des entrés du style "180Solutions" , que je m'empresse d'eliminer.

Puis je me rends compte que sur certaines pages, en tout petit , en haut et sur 1 ou 2 mm à droite de l'écran apparait un lien avec de la pub ... ... puis une fois sur deux malgré mon antipopup, une fenetre sur "www.connections-internet" s'affiche ...

Je décide d'installer IE6....

Je passe par www.microsoft , j'installe IE6 ... puis ,vous savez, il demande de rebooter ... donc reboot et là au premier ecran de Windows avec sa barre bleue qui défile ... PLANTAGE !

Donc reboot ,là il va jusqu'au bout ... je clique sur l'icone et .... rien ! Nada !

je reclique ... et rien . Je regarde dans le gestionnaire des taches ... là je vois ds les processus et non dans les applis, "IEXPLORE.exe" autant de fois que j'ai cliqué !

Donc IE est bien lancé , mais l'interface graphique n'y est pas !

 

Alors me vient une idée: passer par l'Explorateur Windows ... et là ça fonctionne !

Solution non viable .

 

NE pouvant rester comme ça, je desinstalle IE6 et reviens à IE5 ... pas cool !

Mais toujours avec ses lenteurs inexpliquées !

 

Alors ................ AIDEZ-MOI !

 

J'espere que j'ai été suffisamment détaillé pour eclairer vos lumieres !

 

PS: j'utilise Norton AntiVirus que je dévalide en faisant click droit et "désactiver autoprotect" ...

 

Merci à tous !

[megataupe]

Bonjour. Pour être certain que ton PC n'est pas encore infecté, je te conseille de repasser Spybot et Ad-Aware en mode sans échec (touche F8 au démarrage) et restauration système désactivée. Ensuite, tu récupéres la dernière version d'Hijathis ici :

 

http://hijackthis.de/index.php?langselect=french

 

tu fais le scan puis, tu colles ton log dans la fenêtre d'évaluation et tu fixes les clés suspectes (celles marquées en rouge, sauf si tu connais le programme en cause).

 

Tiens nous au courant

[tritium]

Dés ce soir , je m'y mets ... et je compte sur votre aide pour m'aider à analyser son log !

 

Merci MegaTaupe !

[megataupe]

Bon nettoyage et vérifie aussi dans connexions réseau que tu n'as pas un dialer qui s'est installé à ton insu, vu les symptomes décrits.

[tritium]

Bon , alors voilà ce qui a été fait:

Selon tes conseils, Mode sans echec , Spybot + Ad aware, hijackthis me donne ça:Logfile of HijackThis v1.98.2

Scan saved at 18:38:19, on 06/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\PROGRA~1\WinZip\winzip32.exe

D:\TEMP_S~1\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Pop-Up Stopper Pro\CCHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - d:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Program Files\Panicware\Pop-Up Stopper Pro\popuppro.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Ad-watch] "D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = H:\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\msvrl.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com

O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...3e11a32ab8e2e83

O16 - DPF: {1B3E3251-658E-4F03-8881-68302FE3CE9E} - file://D:\Temp_syst\FCabtmp1214.xms

O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.e-fiat.com/Components/Ocx/SurVid/MSSurVid.cab

O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.e-fiat.com/components/ocx/autop...uratoreauto.cab

O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.nomatica.com/XUpload.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{12CBD33B-62E8-4E3D-862E-ABC0B7FC35CD}: NameServer = 212.27.32.176,212.27.32.177

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A06705F-E13C-4B68-B44C-CEB942513486}: NameServer = 212.27.32.176,212.27.32.177

 

 

je selectionne l'ensemble et me rend a ton url et je reçois une claque ... !

 

Donc j'enleve tout ce qui est en rouge mais les 010 ne s'en vont pas.

Donc je telecharge Lspfix.exe, je selectionne le msvrl et hop !

 

Je reboote ... et ça va mieux !

Je n'ai plus les liens en petits en haut et IE5 se lance comme avant !

Un seul mot HEU-REUX ... jusqu'à quand

 

Merci Megataupe, si t'as d'autres conseils n'hesite pas!

 

PS: je vous mets le log apres "desinfection" :

 

Logfile of HijackThis v1.98.2

Scan saved at 19:14:02, on 06/12/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINNT\system32\sstray.exe

C:\WINNT\system32\RUNDLL32.EXE

D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\rundll32.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

D:\Program Files\SpywareGuard\sgmain.exe

C:\WINNT\system32\wuauclt.exe

D:\Program Files\SpywareGuard\sgbhp.exe

C:\PROGRA~1\WinZip\winzip32.exe

D:\TEMP_S~1\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Program Files\Panicware\Pop-Up Stopper Pro\CCHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - d:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Program Files\Panicware\Pop-Up Stopper Pro\popuppro.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [Ad-watch] "D:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: SpywareGuard.lnk = D:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = H:\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{12CBD33B-62E8-4E3D-862E-ABC0B7FC35CD}: NameServer = 212.27.32.176,212.27.32.177

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A06705F-E13C-4B68-B44C-CEB942513486}: NameServer = 212.27.32.176,212.27.32.177

 

[megataupe]

Ben, ça à l'air plus propre maintenant. Ceci dit, il faudrait quand même passer à IE 6 pour des raisons de sécurité ou choisir carrément Firefox qui n'est pas très sensible aux cafards qui circulent sur le net, IE pouvant être conservé pour les MAJ dont Win à besoin.