Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

salut, j'ai chopé le virus PSGuard et a priori réussi a l'enlever (merci google). j'ai bien suivi la procédure pré-hijackthis, et psguard ne s'installe plus automatiquement, ma page d'accueil est redevenue normale, je n'ai plus l'icone rouge chiante dans le system tray, et y'a plus de papier peint rouge et noir (warning...). MAIS mon papier peint d'origine n'est pas reapparu et à la place il y a une alternance blanc/gris clignotante sur tout l'écran (...)

j'y comprends rien. pouvez vous m'aider?

 

voici mon log (plutôt court):

 

Logfile of HijackThis v1.99.1

Scan saved at 10:04:54, on 15/08/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\Sahara Hotnights\Mes documents\Autre\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

Invité Stonangel
Posté(e)

Bonjour et bienvenue sur Zeb' Sécu.

 

Télécharge le fix de S!Ri:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

 

Tu le décompresses tu double cliques dessus et tu choisis l’option 1

Cela va générer un rapport poste le

 

Redémarre en mode sans échec

 

Relance le et choisis cette fois l’option 2 et réponds oui à tout

Redémarre et communique le nouveau rapport

 

Dis ce qu'il en est

Posté(e)

stonangel:

rapport 1:

 

SmitFraudFix v1.6

 

Rapport fait à 15:07:42,49 le 15/08/2005

Executé à partir de C:\Documents and Settings\Sahara Hotnights\Mes documents\Autre\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Sahara Hotnights\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

 

 

C:\WINDOWS\system32\wininet.dll infecté !

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

 

Le volume dans le lecteur C s'appelle ACER

Le num‚ro de s‚rie du volume est 2629-16F0

 

R‚pertoire de C:\WINDOWS\system32

 

24/04/2003 12:00 603ÿ136 wininet.dll

1 fichier(s) 603ÿ136 octets

 

R‚pertoire de C:\WINDOWS\system32\dllcache

 

24/04/2003 13:00 603ÿ136 wininet.dll

1 fichier(s) 603ÿ136 octets

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Posté(e)

stonangel, voici le rapport 2, qui a l'air de dire que le fichier infecté a été remplacé, mais le probleme subsiste: toujours une sorte d'ecran blanc clignotant qui recouvre mon bureau. en cliquant droit dessus, un menu contextuel apparait avec : selectionner tout, afficher la source, codage, imprimer, actualiser, exporter, propriétés (le reste en grisé)

 

rapport 2:

 

SmitFraudFix v1.6

 

Rapport fait à 15:14:49,49 le 15/08/2005

Executé à partir de C:\Documents and Settings\Sahara Hotnights\Mes documents\Autre\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600]

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

 

C:\WINDOWS\system32\wininet.dll infecté !

 

Recherche d'une copie de secours (backup) de wininet.dll...

Le volume dans le lecteur C s'appelle ACER

Le num‚ro de s‚rie du volume est 2629-16F0

 

R‚pertoire de C:\WINDOWS\system32

 

24/04/2003 12:00 603ÿ136 wininet.dll

1 fichier(s) 603ÿ136 octets

 

R‚pertoire de C:\WINDOWS\system32\dllcache

 

24/04/2003 13:00 603ÿ136 wininet.dll

1 fichier(s) 603ÿ136 octets

 

Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll

Version System : 6.0.2800.1106

Version BackUp : 6.0.2800.1106

 

Remplacement wininet.dll (reboot necessaire)

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Invité Stonangel
Posté(e)

Re,

Démarrer > panneau de configuration > affichage

clic sur l'onglet bureau

clic sur Personnalisation du bureau

clic sur l'onglet Web

supprime tout ce qui se trouve ici, sauf "Ma page d'accueil" qui doit rester décochée

une fois fait, ça doit être comme sur cette image:

http://get.yourfile.net/ie52977.gif

 

Si le problème persiste, ouvre le Bloc-notes et copie colle le texte suivant entre tirets:

 

-----------------------------------------------

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoActiveDesktopChanges"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispAppearancePage"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"NoDispBackgroundPage"=-

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"Wallpaper"=-

 

------------------------------------------------------

 

Enregistre le sur le bureau. Nom du fichier: fix.reg; Type: Tous les fichiers

 

Double clique sur fix.reg et accepte lorsqu'il te demande de fusionner. Lorsque tu as reçu un message du bon déroulement, supprime le fichier fix.reg

 

Redémarre et dis ce qu'il en est

Invité Stonangel
Posté(e)

Quelques conseils de sécurité pour terminer :

 

-Windows Update parfaitement à jour (catégorie critique, Services Pack et Services Release )

- pare-feu bien paramétré- antivirus bien paramétré et mis à jour régulièrement(quotidiennement s'il le faut) avec un scan complet régulier( journalier s'il le faut).

- une attitude prudente vis à vis de la navigation (pas de sites douteux:cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scanné avant d'être ouvert)

- une attitude vigilante (être l'affût de fonctionnements inhabituels de ton système)

- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)

- scan hebdomadaire antispyware

.

Pour en savoir plus, consulte la page de ipl_001

http://gerard.melone.free.fr/IT/IT-AM0.html

 

Tu dois également installer les outils suivants:

 

-Un pare-feu

Kerio

Zone Alarm

 

-SpywareBlaster:

 

-Ad-awareSE

 

-SpyBot-Search & Destroy

 

-ZebProtect

 

Bon courage et bon surf!!!

 

Auteur: queruak

 

:P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...