Bonjour tout le monde !
Je rencontre le problème suivant depuis quelques temps :
Totalement aléatoirement de temps a autre firefox me redirige automatiquement sur la page web suivante : http://www.yeak.net/?29 sans que je ne demande rien !
Il lui arrive même de faire ca sans qu' aucune fenêtre de firefox ne soit ouverte, a ce moment là il m'en ouvre donc une tout seul vers ce lien.
comment faire pour me débarasser de ce problème ? qu'elqu' un a -il déjà eut ce problème ?
D'avance Merci
redirection non désirée, besoin d' aide svp
Modérateurs : nico@nc, Mori, jpj, myahoo
on dirait que ca pue !
http://www.geckozone.org/forum/viewtopi ... %2Ayeak%2A
http://www.geckozone.org/forum/viewtopi ... %2Ayeak%2A
-
jarod
merci bien ! pourtant j' avais fait une petite recherche rapide sur le forum en tapant le nom de la page sur laquel j' était renvoyé et ca avait rien donnéHumpfff a écrit :on dirait que ca pue !
http://www.geckozone.org/forum/viewtopi ... %2Ayeak%2A
en tout cas d' aprés ce que j'ai put voir sur l' autre topic c un spyware comme je le penssé pourtant microsoft anti-spyware n' y voit que du feu ! vraiment de la daube ce truc là...moi qui l' aimais bien parce qu' il était facile d' utilisation
sinon aussi ( défois que ca arriverais a quelqu' un d' autre ) la restauration système a une date antérieure ne change rien au problème non plus, voilà
sur ce je m'en vais instaler ad-ware en espérant que ca marche
@+
-
jarod
Dans le topic cité plus haut, il était aussi proposé a² free : http://www.emsisoft.net/fr/software/free/
Sinon, essaye avec Hijackthis : http://www.01net.com/telecharger/window ... 29061.html
Pour l"interprétation de la liste : http://www.zebulon.fr/articles/HijackThis.php , tu peux aussi poster la liste ici si tu veux qu'on jette un oeil à plusieurs.
@+
Sinon, essaye avec Hijackthis : http://www.01net.com/telecharger/window ... 29061.html
Pour l"interprétation de la liste : http://www.zebulon.fr/articles/HijackThis.php , tu peux aussi poster la liste ici si tu veux qu'on jette un oeil à plusieurs.
@+
-
jarod
voilà la liste de ce que hijackthis m'a trouvé :
Logfile of HijackThis v1.99.1
Scan saved at 13:34:08, on 11/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\rundll32.exe
D:\Program Files\Alcatel One Touch PC Suite 2\DesktopTool\DesktopTool.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Documents and Settings\seb\Application Data\sgrunt\IE4321.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
D:\Program files\jalcds\jalcds.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\System32\rundll32.exe
D:\Program files\Motherboard Monitor 5\MBM5.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Program files\Jasc Software Inc\Paint Shop Pro 7\psp.exe
D:\Program Files\StarOffice7\program\soffice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\seb\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-itnow.com/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-itnow.com/index.php
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Agent] C:\Program Files\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Desktop Tool] "D:\Program Files\Alcatel One Touch PC Suite 2\DesktopTool\DesktopTool.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\seb\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [jaLCDs] D:\Program files\jalcds\jalcds.exe wait
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CrystalControl] C:\Program Files\CrystalControl\CrystalControl.exe
O4 - Startup: MBM 5.lnk = D:\Program files\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program files\AIM 95\aim.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/
O15 - Trusted Zone: www.sgrunt.biz
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2837b1976976f86cc0 ... 601_fr.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www-01.zattevrienden.be/AxisCamControl.ocx
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/606969.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB69BE02-68C9-4D35-869E-103C8F26FC16}: NameServer = 213.36.80.1 213.36.80.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - D:\Program Files\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Logfile of HijackThis v1.99.1
Scan saved at 13:34:08, on 11/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\rundll32.exe
D:\Program Files\Alcatel One Touch PC Suite 2\DesktopTool\DesktopTool.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Documents and Settings\seb\Application Data\sgrunt\IE4321.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
D:\Program files\jalcds\jalcds.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\System32\rundll32.exe
D:\Program files\Motherboard Monitor 5\MBM5.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Program files\Jasc Software Inc\Paint Shop Pro 7\psp.exe
D:\Program Files\StarOffice7\program\soffice.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\seb\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-itnow.com/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-itnow.com/index.php
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Agent] C:\Program Files\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Program Files\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Desktop Tool] "D:\Program Files\Alcatel One Touch PC Suite 2\DesktopTool\DesktopTool.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\seb\Application Data\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [jaLCDs] D:\Program files\jalcds\jalcds.exe wait
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [CrystalControl] C:\Program Files\CrystalControl\CrystalControl.exe
O4 - Startup: MBM 5.lnk = D:\Program files\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Program files\AIM 95\aim.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.fr/
O15 - Trusted Zone: www.sgrunt.biz
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2837b1976976f86cc0 ... 601_fr.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www-01.zattevrienden.be/AxisCamControl.ocx
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/606969.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB69BE02-68C9-4D35-869E-103C8F26FC16}: NameServer = 213.36.80.1 213.36.80.1
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - D:\Program Files\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - D:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Bizarre ce truc ! Tu t'en sers ? Parce qu'un outil de recherche qui me parle de viagra dès la page d'accueil, je trouve ça plutôt louche.R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-itnow.com/index.php
-
Invité
non biensur ! j'en ai pas encore besoin , tout va bien de ce coté là ! lolHumpfff a écrit :Bizarre ce truc ! Tu t'en sers ? Parce qu'un outil de recherche qui me parle de viagra dès la page d'accueil, je trouve ça plutôt louche.R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-itnow.com/index.php
donc j'ai viré celui là mais c pas c' était pas ma redirection casse-bonbons
Bonjour à tous. Belle infection sur ce PC, après avoir appliqué la procédure suivante, poster le log sur le site :
http://forum.zebulon.fr/index.php?showforum=40
Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système :
lance l'Explorateur Windows et supprime le contenu de
--- C:\Temp
--- C:\Windows\Temp
suppression des fichiers inutiles par :
-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles.
nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent
recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html
examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve
examen antispyware par
------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve
----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.
Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel :
- télécharger HijackThis de Merijn Belekom
http://www.spywareinfo.com/~merijn/downloads.html
- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)
- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.
- cliquer sur 'Scan', l'affichage est instantané.
- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.
- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.
- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.
- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.
- attendre l'analyse et la réponse.
Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis
http://forum.zebulon.fr/index.php?showforum=40
Si tu penses que ton PC est infecté, commence par faire un peu de ménage dans le système :
lance l'Explorateur Windows et supprime le contenu de
--- C:\Temp
--- C:\Windows\Temp
suppression des fichiers inutiles par :
-----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles.
nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm
examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; (à faire avec Internet Explorer ou Firefox en java) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent
recherche d'hijack furieux avec CWShredder (ajouté par megataupe) à télécharger sur http://www.intermute.com/products/cwshredder.html
examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve
examen antispyware par
------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve
----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve.
Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel :
- télécharger HijackThis de Merijn Belekom
http://www.spywareinfo.com/~merijn/downloads.html
- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)
- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.
- cliquer sur 'Scan', l'affichage est instantané.
- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.
- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.
- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.
- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.
- attendre l'analyse et la réponse.
Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis
Le voilà ! je ne sais pas ou t'as chopé ce bazar mais ce lien renvoie direct sur la page ~yeaks~O15 - Trusted Zone: www.sgrunt.biz
Dialer = Malheur ?O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/606969.exe
Bonjour Humpfff. De plus, notre ami s'est amusé a utiliser des faux antispy comme celui-ci :
SpyKiller
Ne pas utiliser leur scanner en ligne. Ne pas aller sur leur site http://www.spykiller.com/. Pour eux, absolument tous les processus sont succeptibles d'être des spywares, y compris le moindre processus légitime du système, et il faut acheter leur truc pour s'en débarrasser. Ces tentatives d'intimidations relèvent de l'escroquerie.
On signale à plusieurs reprises l'apparition de parasites (hijack) dès l'installation de leur truc : 2 signalements sur ce seul thread.
"O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
Hum, en effet, la première fois que l'infection s'est déclenchée je suis allé bêtement cliquer".
Rechercher ce programme, spykiller.exe, et le détruire.
Ajouter, dans hosts, les lignes suivantes.
127.0.0.1 www.spykiller.com
127.0.0.1 spykiller.com
Va y avoir du taf
SpyKiller
Ne pas utiliser leur scanner en ligne. Ne pas aller sur leur site http://www.spykiller.com/. Pour eux, absolument tous les processus sont succeptibles d'être des spywares, y compris le moindre processus légitime du système, et il faut acheter leur truc pour s'en débarrasser. Ces tentatives d'intimidations relèvent de l'escroquerie.
On signale à plusieurs reprises l'apparition de parasites (hijack) dès l'installation de leur truc : 2 signalements sur ce seul thread.
"O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
Hum, en effet, la première fois que l'infection s'est déclenchée je suis allé bêtement cliquer".
Rechercher ce programme, spykiller.exe, et le détruire.
Ajouter, dans hosts, les lignes suivantes.
127.0.0.1 www.spykiller.com
127.0.0.1 spykiller.com
Va y avoir du taf
Ca aussi ça pue !O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
Je te laisse réfléchir sur cet avis à propos de Spykiller relevé sur le (très recommandable) site assiste.free.fr
C'est surtout ceci qui m'ennuye :
Tu devrais fixer aussi ces trucs (pas indispensables, ils servent pour aller vérifier si il y a des mises à jour sur le Net pour Java et Real) :
Enfin, fixe ça aussi, ça a l'air bizarre :
Plus aussi, les lignes O1 citées plus haut.
@+
Il semble que ce soit un dialer. Le salopard se planque dans le répertoire Application Data qui est un répertoire caché. Vu que le sous-répertoire s'appelle sgrunt et ce qu'a dit Humpfff avec l'URL sgrunt.biz, je crois que c'est la saleté en rapport avec yeaks. Essaie de le fixer via Hijackthis. Sinon, démarre le PC en mode sans échec (touche F8 au démarrage avant de voir le logo windows), affiche les fichiers cachés et vire-le.C:\Documents and Settings\seb\Application Data\sgrunt\IE4321.exe
Tu devrais fixer aussi ces trucs (pas indispensables, ils servent pour aller vérifier si il y a des mises à jour sur le Net pour Java et Real) :
Fixe aussi :C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-itnow.com/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-itnow.com/index.php
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
Enfin, fixe ça aussi, ça a l'air bizarre :
O15 - Trusted Zone: www.sgrunt.biz
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2837b1976976f86cc0 ... 601_fr.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www-01.zattevrienden.be/AxisCamControl.ocx
O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/606969.exe
Plus aussi, les lignes O1 citées plus haut.
@+
Qui est en ligne ?
Utilisateurs parcourant ce forum : Google [Bot], Semrush [Bot] et 11 invités