W32.Desktophijack

[Rafiot]

Voila le résultat des recherches :

Je n'ai trouvé qu'une seule ligne renvoyant à un parasite :

 

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

 

Elle correspond à un CoolWebSearch :

msconfig X msconfig.exe CoolWebSearch parasite related. **Note - this is not the legitimate msconfig.exe which should only appear in Msconfig/Startup if you leave the warning box unchecked after changing an Msconfig entry and rebooting

 

Pour l'éliminer télécharge CWShredder : http://www.intermute.com/spysubtract/cwshr...r_download.html

 

Exécute le et fixe tout ce qu'il trouve.

 

 

--- EDIT --- tu peux aussi fixer la ligne : O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

 

 

Quelques questions maintenant, à quoi correspondent ces lignes :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

 

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

(pour ces deux la, le @ me parrait bizarre)

 

 

Je serais d'avis de fixer aussi tout les DPF :

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab

O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/games/clients/y/mjst4_x.cab

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v45/yacscom.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game13.zylom.servicesalacarte.wanad...gamesplayer.cab

O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game13.zylom.servicesalacarte.wanad...zylomloader.cab

O16 - DPF: {DF4F4ED9-420B-4F40-AEE6-A620460306E7} (CantocheLivingActorInstaller2 Class) - http://ak.cdiscount.com/plug-ins/LivingActorInstaller2.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab

 

Comme signalé par IPL, il ne faut pas avoir plusieurs Antivirus en meme temps sur l'ordinateur : Il te faut conserver Norton OU AntiVir

 

megataupe > un courage assez limité quand meme : je sais que quelqu'un va revérifier ensuite

Modifié le 23 juin 2005 par Rafiot

[ipl_001]

Rebonsoir mattlou43, rebonsoir à tous,

ok donc taille est de 544Mo et taille sur disque est de 595mo

523070[/snapback]

544 Mo, çà commence a valoir le coup !

 

- ferme toutes tes fenêtres

- ouvre l'Explorateur Windows

- sélectionne le dossier Temporary Internet Files (C:\Documents and Settins\---ton ID---\Local Settings\Temporary Internet Files)

- supprime tout ce qui se trouve à l'intérieur

Tu ne laisses que Desktop.ini et index.dat

(attention, les sous répertoires sont masqués)

- patiente !

- si tu le peux, démarre sous un autre compte de manière à supprimer aussi index.dat

- redémarre !

[Invité tesgaz]

Comme signalé par IPL, il ne faut pas avoir plusieurs Antivirus en meme temps sur l'ordinateur : Il te faut conserver Norton OU AntiVir

 

salut,

 

c'est un peu normal de voir 2 antivirus puisque la méthode demande d'installer un antivirus avant de faire quoi que ce soit (donc, celui d'origine + la méthode = 2)

 

ensuite, apres le ménage, il sera temps pour nous de faire un point sur l'utilité des 2 et de faire garder le bon au membre

 

() sinon, merci rafiot de te joindre à l'analyse, cela fait toujours plaisir de voir quelques membres qui se lancent dans cette chasse aux gros gibiers

 

Quelques questions maintenant, à quoi correspondent ces lignes :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

 

on peut supprimer, rare sont les membres qui utilisent un proxy,

mais cette ligne peut être nefaste puisque elle ramene automatiquement sur la boucle locale 127.0.0.1 (donc le fichier hosts qui peut être lui aussi falsifié par des malwares

donc, pour moi, il faut toujours supprimer cette ligne, même dans le doute

Modifié le 23 juin 2005 par tesgaz

[Rafiot]

Bonsoir tesgaz, ipl_001, mattlou43, tous les autres,

 

tesgaz> pas faux, j'avais oublié ce "détail"

 

 

EDIT : Ok, je note

Modifié le 23 juin 2005 par Rafiot

[ipl_001]

Bonsoir Rafiot, bonsoir à tous,

 

Rafiot, merci pour ta participation !

 

Non, la ligne O4 ne correspond pas ici à un malware mais au programme légitime !

Mais de toute façon, une ligne msconfig.exe en O4 n'est jamais nécessaire !

Bien évidemment, il ne faut pas supprimer le programme MSconfig.exe (s'il est légitime)

 

Non, il ne faut pas fixer la ligne O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

ou, du moins (pour ne pas irriter tesgaz), elle n'est pas néfaste !

Il y a un bug relatif aux lignes O9 et il faut s'en méfier !

Un "file missing" indique que le programme spécifié dans la ligne n'est pas sur le disque... comment veux-tu que http://www.wanadoo.fr soit sur le disque puisque c'est une URL !

 

Perso, je ne touche une O9 que s'il y a le message "no file" ou si il s'agit d'un malware !

Mais les O9 ne sont jamais nécessaires !

 

Tu peux allègrement faire fixer les O16 DPF !

Les O16 ne sont jamais nécessaires !

 

Ces O9, O16 "non nécessaires" servent tout de même, parfois, à dénoter la présence ou le passage d'un malware (on voit beaucoup de chose dans les O16 !)

[Rafiot]

Rebonsoir ipl,

 

Je vais essayer de faire quelques autres analyses dans la journée

 

j'ai compris pourquoi je me suis planté sur le O4 : il faut faire gaffe aux majuscules

 

Pour résumer : "no file" pour les O9 et "file missing" (sauf en cas d'adresse connue) = fixer ?

 

O16 DPF : ca fait quelques jours que je regarde des logs, certains en sont bien remplis !

 

 

Pour en revenir au départ, fixer :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

et les DPF.

Mis à part ca, le rapport est clean.

 

mattlou43> tu peux donc dormir sur tes deux oreilles

[Invité tesgaz]

Mis à part ca, le rapport est clean.

 

mattlou43> tu peux donc dormir sur tes deux oreilles icon_wink.gif

 

oui,

juste une bonne optimisation à faire, et le tour est joué

 

 

Pour résumer : "no file" pour les O9 et "file missing" (sauf en cas d'adresse connue) = fixer ?

oui, puisque ne servent à rien, donc inutile, plus un log est propre, plus c'est facile de le vérifier pour l'internaute par la suite

les O9 correspondent à des plugins ou des boutons ou des options pour navigateur

il suffit de désinstaller un programme qui avait coller une option dans le navigateur IE pour retrouver ce genre de ligne qui va nul part

Modifié le 23 juin 2005 par tesgaz

[ipl_001]

Rebonsoir Rafiot, rebonsoir à tous,

Rebonsoir ipl,

 

Je vais essayer de faire quelques autres analyses dans la journée

Parcours l'article "Formation à l'analyse de rapports HijackThis" -> http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

ou

-> http://gerard.melone.free.fr/IT/IT-HJT3-Tr.html#HJT3-Tr

 

j'ai compris pourquoi je me suis planté sur le O4 : il faut faire gaffe aux majuscules

Non, pas un indice déterminant ! elle est légitime parce que l'adresse du fichier montre l'emplacement normal de MSconfig.exe !... il fallait lire la phrase qui suivait ce que tu as affiché... "**Note - this is not the legitimate msconfig.exe which should only appear in Msconfig/Startup if you leave the warning box unchecked after changing an Msconfig entry and rebooting"

 

Pour résumer : "no file" pour les O9 et "file missing" (sauf en cas d'adresse connue) = fixer ?

"no file" signifie que la ligne est incomplète car il manque l'indication du fichier et donc, on fixe !

"no file" dans le cas d'une O9, je ne touche pas (même chose, même bug pour les O23)

 

O16 DPF : ca fait quelques jours que je regarde des logs, certains en sont bien remplis !

Pour en revenir au départ, fixer :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

et les DPF.

Mis à part ca, le rapport est clean.

 

mattlou43> tu peux donc dormir sur tes deux oreilles

523100[/snapback]

[Invité tesgaz]

en regardant le log, on a juste oublier de fixer celle-ci :

O4 - HKCU\..\Run: [LDM] \Program\ <<< inconnue au bataillon

[ipl_001]

en regardant le log, on a juste oublier de fixer celle-ci :

O4 - HKCU\..\Run: [LDM] \Program\      <<< inconnue au bataillon

523112[/snapback]

Zut ! Honte à moi ! Je l'avais vue... puis complètement oubliée !