Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

A l'aide ... SVP


f0eeb

Messages recommandés

Bonjour à tous, tout d'abord, permettez moi de vous souhaiter mes meilleurs voeux en cette nouvelle année.

Paix, santé et prospérité dans tous les foyers.

Bon, place à mon problème.

 

J'ai été infecté par un trojan que j'ai réussi à virer. Il m'avait mis une barre de recherche en dessous de la mienne.

Maintenant, quand je fais une recherche sur google et que je clique sur le lien recherché, IE m'envoi sur un autre lien avec genre comme adresse un adresse IP, avec une page d'erreur à l'affichage. Je suis obnligé de cliquer 2 à 3 fois pour avoir le vrai lien demanndé.

Autrement, quand je clique dans la fenetre IE, sur Affichage et barre d'outils, je ne peux plus liquer sur "boutons standard, boutons d'adresses, liens". Je peux seulement cliquer sur personnaliser.

Serait ce dû aussi à une infection ?

 

J'ai suivi un peu les instructions et donc je vous joins mon log hijackthis:

Je vous remercie d'avance.

 

Logfile of HijackThis v1.99.1

Scan saved at 07:29:06, on 02/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Programmes\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.velo101.com/liens/redirection.asp?Numero=3098

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [br0ken] InpriseMon.exe

O4 - HKLM\..\Run: [ParisM] XTermInit.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [backorif] MON76234.exe

O4 - HKCU\..\Run: [10010] ssweeper.exe

O4 - HKCU\..\Run: [MONITER] scanSYS.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab40641.cab

O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.cab

O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab32846.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab34246.cab

O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab41227.cab

O16 - DPF: {FF3C5A9F-5A91-4930-80E8-4709194C2AD3} (CheckersZPA Object) - http://zone.msn.com/bingame/zpagames/Check...PA.cab40641.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCBDC52F-0A33-450E-92E6-592DCFEE786B}: NameServer = 85.255.115.61,85.255.112.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{FAB55620-D965-4600-AEFF-DB01D75A2517}: NameServer = 85.255.115.61,85.255.112.6

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

tout d'abort meilleur voeux de bonheur à tous,

 

pour moi il doit rester des bebetes sur ta machine, attends qu'un spécialiste du HJT se connecte et il se fera un plaisir de t'aider :P

 

mais en attendant, fais un scan en ligne sur Kaspersky il va deja te passer un bon coup de balai ^^

Modifié par Gothic_Ted
Lien vers le commentaire
Partager sur d’autres sites

bonjour et bonne année.effectivement il reste quelques bestioles.

 

demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

lance hijackthis en cliquant sur Do a system scan only coche et clique sur Fix checked

 

O4 - HKLM\..\Run: [br0ken] InpriseMon.exe

O4 - HKLM\..\Run: [ParisM] XTermInit.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [backorif] MON76234.exe

O4 - HKCU\..\Run: [10010] ssweeper.exe

O4 - HKCU\..\Run: [MONITER] scanSYS.exe

 

recherche et supprime:

InpriseMon.exe

XTermInit.exe

MON76234.exe

ssweeper.exe

scanSYS.exe

 

redemarre en mode normal et repost un log a titre de verification.

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites

Invité Stonangel

Bonjour, c'est bien ton fournisseur d'accès?

 

Information related to '85.255.112.0 - 85.255.127.255'

 

inetnum: 85.255.112.0 - 85.255.127.255

netname: inhoster

descr: Inhoster hosting company

descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Lien vers le commentaire
Partager sur d’autres sites

Bonjour a tous, bonjour Stonangel et bonne année :P

 

Je ne pense pas que cela soit son FAI!

Cela s apparente a Wareout

Il faudrait fixer ces lignes 017 puis passer le FixWareout et recréér une connexion manuelle!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

C est bien ce que je pensais :P

 

Voila ce que tu vas faire :

 

Télécharge le FixWareout d'un de ces deux sites:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Sur le bureau puis lance le. Clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer; suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur; fais le. Ton système mettra un peu plus de temps au démarrage; c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clic Scan, et coche les lignes suivantes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCBDC52F-0A33-450E-92E6-592DCFEE786B}: NameServer = 85.255.115.61,85.255.112.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{FAB55620-D965-4600-AEFF-DB01D75A2517}: NameServer = 85.255.115.61,85.255.112.6

 

 

Clique sur Fix Checked. Ferme HijackThis, et clique OK pour procéder.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

A la fin poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

Lien vers le commentaire
Partager sur d’autres sites

C est bien ce que je pensais :P

 

Voila ce que tu vas faire :

 

Télécharge le FixWareout d'un de ces deux sites:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Sur le bureau puis lance le. Clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer; suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur; fais le. Ton système mettra un peu plus de temps au démarrage; c'est normal.

 

Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clic Scan, et coche les lignes suivantes:

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCBDC52F-0A33-450E-92E6-592DCFEE786B}: NameServer = 85.255.115.61,85.255.112.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{FAB55620-D965-4600-AEFF-DB01D75A2517}: NameServer = 85.255.115.61,85.255.112.6

Clique sur Fix Checked. Ferme HijackThis, et clique OK pour procéder.

 

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

 

A la fin poste le contenu de C:\fixwareout\report.txt avec un nouveau rapport HijackThis.

 

VOICI CE QUI EST DIT:

 

 

Fixwareout ver 1.003

Last edited 12/5/2005

Post this report in the forums please

 

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\gwzmd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd

 

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

 

»»»»» Search by size and names...

C:\WINDOWS\SYSTEM32\CSJXE.EXE

C:\WINDOWS\SYSTEM32\DMZWG.EXE

 

»»»»» Misc files

* thequicklink C:\WINDOWS\System32\ZMIGP.DLL

 

»»»»» Checking for older varients covered by the Rem3 tool

Lien vers le commentaire
Partager sur d’autres sites

Il me faut aussi un nouveau rapport hijackthis comme c est demandé sur la procédure! Merci!

Lien vers le commentaire
Partager sur d’autres sites

Il me faut aussi un nouveau rapport hijackthis comme c est demandé sur la procédure! Merci!

 

Logfile of HijackThis v1.99.1

Scan saved at 14:37:55, on 02/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Programmes\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.velo101.com/liens/redirection.asp?Numero=3059

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [br0ken] InpriseMon.exe

O4 - HKLM\..\Run: [ParisM] XTermInit.exe

O4 - HKLM\..\Run: [dmodf.exe] C:\WINDOWS\system32\dmodf.exe

O4 - HKCU\..\Run: [backorif] MON76234.exe

O4 - HKCU\..\Run: [10010] ssweeper.exe

O4 - HKCU\..\Run: [MONITER] scanSYS.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab40641.cab

O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.cab

O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab32846.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/...ro.cab34246.cab

O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab41227.cab

O16 - DPF: {FF3C5A9F-5A91-4930-80E8-4709194C2AD3} (CheckersZPA Object) - http://zone.msn.com/bingame/zpagames/Check...PA.cab40641.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...