popup qui viennent de nulle part : ex : x.html et staff.html - Sécurité - Windows & Software
Marsh Posté le 07-11-2004 à 13:46:18
regarde ma signature pour chercher les spywares : adaware et spybot mis à jour et siu ça continue jette un coup d'oeil à Hijack This (télécharge-le, mets-le dans un répertoire spécial pour lui afin de permetttre le backup des modifications, lance-le et fais un "scan log" ensuite copie/colle le résultat ici)
Marsh Posté le 07-11-2004 à 13:54:13
... et fais un scan Antivirus: www.secuser.com/antivirus
Marsh Posté le 07-11-2004 à 14:13:49
bat stuff.a virus ....
je vais essayer de trouver un av specifique....
Marsh Posté le 07-11-2004 à 14:34:22
Il aurait fallu voir un rapport HijackThis.
Pour savoir si on peut l'éliminer directement ou utiliser un autre outil.
Bon, tu postes le log de secuser.
Marsh Posté le 07-11-2004 à 14:52:28
je commence par ça car secuser je connais si c ok j'utiliserai d'autres progs que ce que je connais dejà....
merci en tout cas.
il en a fini avec mon c: .... c là qu'il y a le + de chances de voir des virus (par experience)
bad stuff.a dans x.bat (c:\documents and settings\Titi et Yoyo\x.bat et dans c:\windows\system32\x.bat) effacés tous les deux
et bad sasser.a dans c:\windows\system32\cmd.FTP pas .exe effacsé aussi.
on verra bien
Marsh Posté le 07-11-2004 à 23:59:04
bon ben ni secuser ni le scan online de symantec ne m'ont donné de soluce .... j'ai effacé un fichier sans nom à l'extension pif vérolé par un download.trojan mais visiblement je n'ai pas trouvé la SOURCE du probleme ....
help
spybot, adware, hijackthis ???? peuvent donc m'aider ?
Marsh Posté le 08-11-2004 à 09:50:31
oui adaware et spybot à jour (en mode sans échec peut-être aussi)
et après HijackThis
Marsh Posté le 08-11-2004 à 11:28:10
.... bon en scannant avec avp les dir où secuser et symmantec trouvaient des virus j'en ai trouvé un de plus qui a été viré ... on verra au prochain reboot.
thx again.
Marsh Posté le 09-11-2004 à 16:06:26
c'en était un autre .... minipouss HELP
log de hijackthis :
Logfile of HijackThis v1.98.2
Scan saved at 16:06:13, on 09/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winupdte.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\DVD Shrink\DVD Shrink 3.2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\imapi.exe
C:\Documents and Settings\Titi et Yoyo\Bureau\Hijack\HijackThis19802.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hardware.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DVD43] C:\Program Files\DVD Region+CSS Free\DVD43.exe /hidden
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Windows Update] lsass2.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D803204-3144-43A4-936C-3FF1AE07572E}: NameServer = 80.118.192.111 80.118.196.36
Marsh Posté le 09-11-2004 à 16:07:05
winupdte n'est-il pas sensé se nommer winupdAte ?
et ce fts.exe c koi ?
Marsh Posté le 09-11-2004 à 16:28:35
Yogohr a écrit : |
donc voila, avec HijackThis tu coches ces lignes là (les clés 04 et 09) et tu fais "Fix"
reboot en mode sans échec et va chercher C:\WINDOWS\System32\winupdte.exe si tu ne le vois pas affiche les fichiers cachés, il est là à coup sûr
vérifie aussi lsass2.exe et lssrv.exe mais je pense qu'il ne seront pas là car pas dans la liste de process, c'est juste les antivirus qui ne nettoyent pas la base de registre.
reboot en normal et reposte un log
Marsh Posté le 09-11-2004 à 16:58:22
bon j'ai coché et fixé avec hijackthis mais là j'ai un truc en cours ..... je reboote, je fais ce que tu m'indique et j'arrive ....
MERCI BCP.
Marsh Posté le 09-11-2004 à 16:59:47
sinon va dans le topic spyware. Si tu as Win2K, je serais curieux que tu appliques la méthodologie que j'ai testée sous Win 98 pour typiquement ce genre de prob: page d'accueil et popups qui viennent de nulle part et qui refusent de partir contre toute explication rationnelle, même avec antispyware etc... (Je ne la donne que par MP car pas validée pour WIn2K/Xp)
Marsh Posté le 09-11-2004 à 17:23:14
ok on en revient aux infos de minipouss
et ce fts.exe kkun sait ce que c'est ?
Marsh Posté le 09-11-2004 à 17:24:19
je t'ai dit ça doit être avec un réseau sans fil ou un truc du genre non?
Marsh Posté le 09-11-2004 à 17:44:51
j'ai rien de sans fil sur mon pc en tout cas mais il se peut que ce soit venu avec ma 9box.
Marsh Posté le 09-11-2004 à 18:00:08
oui je pense cf ce forum http://www.justneuf.com/offres-3345.html
Marsh Posté le 10-11-2004 à 09:50:11
bon... apparemment c bon. plus rien dans le log. j'attends avec des fenetres IE ouvertes et ma connexion aussi.
Marsh Posté le 07-11-2004 à 12:59:40
C:\Documents and Settings\Titi et Yoyo\staff.html
et C:\Documents and Settings\Titi et Yoyo\x.html
+des popup me demandant d'accepter un telechargement .....
si je les efface (x et staff.html) ça evient apres le reboot
ya aussi un x.bat ....
d'apres un scan de AVP ya rien .... yavait un truc sur mirc.exe mais il (AVP) a meme effacé l'.exe
je sais pas trop ce que c'est.