Y'a un con k'a piqué mon Web

Y'a un con k'a piqué mon Web - Sécurité - Windows & Software

Marsh Posté le 24-09-2004 à 11:49:08    

J'espère que le titre attirera quelques lecteurs...
 
Je suis sur le PC de mon boulot sous Firefox. Oui, il rox. Je l'ai installé pour avoir accès à Internet.  :D  
 
Mais sous IE depuis ce matin, plus moyen de surfer. La page d'accueil est modifiée et il est impossible d'aller sur le moindre site web, à part ceux qui dépendent de la page d'accueil.  
Bien sûr, mon antivirus (AVG) est brusquement devenu aveugle et je suis même pas sûr qu'il y verrait une attaque si Blaster venait lui pisser sur la jambe... :kaola:  
 
Le titre de la page est :
Your Search Page
Son URL (n'y allez pas si vous êtes sous IE, svp) :
h_t_t_p_:_//%68%6F%6D%65%70%61%67%65%2E%63%6F%6D
(pensez à virer les "_", tout le reste est d'origine)
 
En ce moment même, Spybot, search and Destroy est en train de lister l'impressionante liste de malware qui nichent sur mon PC. Mais d'expérience, ça sufira pas. :sweat:  
 
Bon, pour résumer :
HEEEEEELP


Message édité par Volesprit le 24-09-2004 à 11:52:43

---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 11:49:08   

Reply

Marsh Posté le 24-09-2004 à 11:51:02    

J ai riennnnnnnnnnnn compris a ton probleme.
 
il est ou t on site WEB ? sur ton PC ? sur une machine a part ?
 

Reply

Marsh Posté le 24-09-2004 à 11:51:53    

PS : mon proxy me dit que ton URL n est pas valide

Reply

Marsh Posté le 24-09-2004 à 11:53:16    

Je crois que c'est un titre accrocheur mis juste pour attirer l'attention et qu'on s'occupe de ce petit monsieur.
Alors, en manque d'affection?

Reply

Marsh Posté le 24-09-2004 à 11:55:37    

réseau d'entreprise, le con est sans doute l'admin qui a voulu que les employés bossent au lieu de surfer :ange:

Reply

Marsh Posté le 24-09-2004 à 11:58:21    

Z_cool a écrit :

PS : mon proxy me dit que ton URL n est pas valide


 
L'URL c'est :
http://%68%6F%6D%65%70%61%67%65%2E [...] 63/%68%70/
T'avais raison j'avais pas tout. Mais le site résultat c'est bien un site Internet, style annuaire avec plein d'options sympa.
 
Le plus marrant c'est encore le message d'accueil quand j'essaie d'aller sous google, en blanc sur fond noir :

Citation :

Access to this site is not allowed!
This is because your PC infected by Spyware!!!
Click here for Spyware Remover



---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 12:00:25    

Surtout ne suis pas ces instructions.
 
Regarde dans ma signature, toutes les solutions y sont.


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-09-2004 à 12:00:50    

exceptionnalnain a écrit :

réseau d'entreprise, le con est sans doute l'admin qui a voulu que les employés bossent au lieu de surfer :ange:


 
Bien trouvé ;)
Mais même pas.  
1/ C'est une PME et y'a pas d'admin
2/ J'ai tous les accès sur toutes les machines, et y'a que ce poste qui plante.


---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 12:01:55    

Jer a écrit :

Je crois que c'est un titre accrocheur mis juste pour attirer l'attention et qu'on s'occupe de ce petit monsieur.
Alors, en manque d'affection?


 
Ouaich, mais t'es trop poilu à mon goût  :whistle:


---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 12:02:02    

Z_cool a écrit :

J ai riennnnnnnnnnnn compris a ton probleme.
 
il est ou t on site WEB ? sur ton PC ? sur une machine a part ?


ça se voit que t'as rien compris à son pblm, je tye rassure :D

Reply

Marsh Posté le 24-09-2004 à 12:02:02   

Reply

Marsh Posté le 24-09-2004 à 12:02:33    

sanpellegrino a écrit :

Regarde dans ma signature, toutes les solutions y sont.


 
:heink: bon ça avance ton problème ?


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-09-2004 à 12:02:59    

sanpellegrino a écrit :

Surtout ne suis pas ces instructions.
 
Regarde dans ma signature, toutes les solutions y sont.


 
Ok, je laisse ce topic en stand-bye tant que j'ai pas de nouiveautés à apporter. Merci sanpellegrino


---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 12:05:17    

sanpellegrino a écrit :

:heink: bon ça avance ton problème ?


 
Sanpellegrino le warlord de la desinfection en tous genres sur HFR [:roi]


Message édité par Profil supprimé le 24-09-2004 à 12:05:50
Reply

Marsh Posté le 24-09-2004 à 12:13:29    

sanpellegrino a écrit :

:heink: bon ça avance ton problème ?


 
Ouaich, ça donne rien avec SpyBot.

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 12:16:20, on 24/09/2004
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\lexbces.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\LEXPPS.EXE
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
D:\antivirus\Avsynmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mgabg.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
D:\antivirus\VsStat.exe
D:\antivirus\Webscanx.exe
D:\antivirus\Avconsol.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\Mixer.exe
D:\antivirus\alogserv.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINDOWS\System32\internat.exe
C:\WINDOWS\System\MSMSGSVC.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Program Files\Microsoft Office\Office\WINWORD.EXE
F:\Program Files\Photoshop 6\Photoshp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\totalcmd\TOTALCMD.EXE
L:\progs\outils\HijackThis_lister_malwares.exe
 
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:///
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http:\\SERVEUR_NT:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MGA_CD_Install] I:\mgasetup.exe /No_Welcome /Lang:Français
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Alogserv] D:\antivirus\alogserv.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Anti-keylogger 5.2] D:\alexandra\Maryan\home\outils\Anti-keylogger\ak5_load.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/?
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\uclhpcyh.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 96baabe1d6
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A48D0309-8DA3-41AA-98E4-89194D471890} (Pulse V5 ActiveX Control) - http://www.pulse3d.com/players/eng [...] 2AxWin.cab
 


 
Un coup de main sanpellegrino?


---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 12:17:28    

Volesprit a écrit :

Bien trouvé ;)
Mais même pas.  
1/ C'est une PME et y'a pas d'admin
2/ J'ai tous les accès sur toutes les machines, et y'a que ce poste qui plante.


 
 
g pas trouvé, je fais partie de ces cons d'admins :D

Reply

Marsh Posté le 24-09-2004 à 12:29:33    

Volesprit a écrit :

Ouaich, ça donne rien avec SpyBot.
 
Un coup de main sanpellegrino?


 
Please !!!!
 :bounce:  :bounce:


---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 12:43:54    

C est lourd hijack :/
 
Va sur le topic tuto de Sanpellegrino ou sur le site officiel pour voir ou en est ton systeme ;)

Reply

Marsh Posté le 24-09-2004 à 12:45:33    

Volesprit a écrit :

L'URL c'est :
http://%68%6F%6D%65%70%61%67%65%2E [...] 63/%68%70/
T'avais raison j'avais pas tout. Mais le site résultat c'est bien un site Internet, style annuaire avec plein d'options sympa.
 
Le plus marrant c'est encore le message d'accueil quand j'essaie d'aller sous google, en blanc sur fond noir :

Citation :

Access to this site is not allowed!
This is because your PC infected by Spyware!!!
Click here for Spyware Remover




 
kan on regarde l URL, tu t est fais avoir par un vieux Bug de IE.
 
j en conclu que toutes tes machines ne sont pas a jour.  
 
pensse a le fair sur les autres PC avant kil ne soit touché

Reply

Marsh Posté le 24-09-2004 à 13:03:32    

franck75 a écrit :

C est lourd hijack :/
 
Va sur le topic tuto de Sanpellegrino ou sur le site officiel pour voir ou en est ton systeme ;)


 
Ben j'ai reussi à définir qqes lignes à virer, mais y'a pas de progrès. Ca revient quand je lance Internet Explorer...


---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 13:10:58    

Volesprit a écrit :


Un coup de main sanpellegrino?


Analyse ton log en ligne: http://www.hijackthis.de/index.php?langselect=french
 
C'est expliqué dans le tuto, on se demande parfois si les gens le lisent autrement qu'en diagonale :sweat:... Si tu as des questions pose les ici.
 
Balance Adawre, Spybot (mets les à jour avant de faire ton scan !), CWShredder et HijackThis (avec tes fenêtres IE fermées).
 
Ensuite reboote et dis-nous ce qui se passe.


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-09-2004 à 14:13:58    

sanpellegrino a écrit :

Analyse ton log en ligne: http://www.hijackthis.de/index.php?langselect=french
 
C'est expliqué dans le tuto, on se demande parfois si les gens le lisent autrement qu'en diagonale :sweat:... Si tu as des questions pose les ici.
 
Balance Adawre, Spybot (mets les à jour avant de faire ton scan !), CWShredder et HijackThis (avec tes fenêtres IE fermées).
 
Ensuite reboote et dis-nous ce qui se passe.


 
IE Tourne, je suis en train de le mettre à jour avec Windows Update.
HijackThis ne détercte plus rien d'anormal, mais Spybot a refait un scan au démarage (rapport à une option lancée il y a longtemps), et a retrouvé 2 sources de problèmes avant de les virer.


---------------
Vie sociale en 1280x1024. C'est grave Dr ?
Reply

Marsh Posté le 24-09-2004 à 14:17:41    

Lance toujours un Adaware pour parfaire le travail.
 
Plus de problèmes à part ça ?


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed