Indésirable

Rickyclean · Post by **Rickyclean** » 31 Oct 2006, 19:58

J'ai clicqué sur votre lien Hijackthis et j'ai obtenu cet avis. Je fais quoi avec mainenant?

Lord · Post by **Lord** » 31 Oct 2006, 20:04

Suivez les instructions, on vous dit quoi faire.

Copiez "HijackThis" dans un autre répertoire qu'un répertoire temporaire.

Rickyclean · Post by **Rickyclean** » 31 Oct 2006, 20:22

Lord, il faudrait que je sache dabord la différence entre un "répertoire" et un "répertoire temporaire".

1) Est-ce qu'ils veulent dire Enregistrer dabord et Exécuter ensuite? Si oui, on inscrit quoi exemple?

2) J'ai essayé Enregistrer avec l'exemple qu'ils donnent et ça ne marche pas:
C:\ProgramFiles\HijackThis

zztop · Post by **zztop** » 31 Oct 2006, 20:27

Bonsoir

Cliquez droit dans un espace vide sur votre bureau,ouvrez un nouveau dossier,et nommez le Hijackthis.Déposez le Hijackthis dedans.À partir de là,vous pouvez le faire fonctionner.

Lord · Post by **Lord** » 31 Oct 2006, 20:34

Ouvrez l'explorateur Windows et cliquez sur "Fichier/Nouveau ->Nouveau dossier" et renommer ce nouveau dossier "HijackThis". Retéléchargez "HijackThis" et l'enregistrer dans ce dossier.

Rickyclean · Post by **Rickyclean** » 31 Oct 2006, 20:42

Merci bien, voilà:

Logfile of HijackThis v1.99.1
Scan saved at 20:37:14, on 2006-10-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\SpamPal\spampal.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\gt\Local Settings\Temporary Internet Files\Content.IE5\EJKBK58D\HijackThis[1].exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {A2106783-A146-98FF-F63B-228A7D9D3CD5} - C:\WINDOWS\llbxc1.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: SnagIt 7.lnk = C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /service (file missing)
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Lord · Post by **Lord** » 31 Oct 2006, 21:06

Les lignes ci-dessous seront à corriger:

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A2106783-A146-98FF-F63B-228A7D9D3CD5} - C:\WINDOWS\llbxc1.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

Refaites un scan avec "HijackThis" et à la fin cochez toutes ces lignes. Puis, avec le gestionnaire des tâches (CTRL+ALT+DEL) fermez le maximun de processus possibles, excluant évidemment "HijackThis" et explorer.exe mais incluant iexplore.exe (toutes les fenêtres de internet explorer). Ensuite seulement cliquez sur le bouton "Fix checked".

Redémarrez votre ordinateur.

Rickyclean · Post by **Rickyclean** » 31 Oct 2006, 21:48

Bon, j'ai mis des crochets dans les 4 lignes à enlever. Fix Checked. Redémarrer.

Depuis le peu de temps écoulé je n'ai pas revu mon Indésirable. ça me parait normal mais non encore significatif. Je me croise les doigts.

Ça restera à voir d'ici un jour ou deux, car comme je l'ai mentionné déjà il n'apparait pas souvent, ni à des périodes régulières, mais à des moments inattendues au cours de travail régulier sur une longueur X de temps.

Surprise négative cependant (la seule) du côté du dossier nouveau sur le Bureau dont le nom "HijackThis Nouveau" que j'avais inscrit, il ne fonctionne pas.

Je ne peux retirer rien en clicquant dessus ni de la gauche ni de la droite.
Il m'apparait nul au point qu'il me semble que je devrais télécharger au complet HijackThis à nouveau, afin de sortir un nouveau rapport.
Si c'est cela quel est l'adresse pour aller le télécharger?

Qu'en pensez-vous?

Rickyclean · Post by **Rickyclean** » 01 Nov 2006, 11:05

Oups, l'Indésirable est réapparu, la première fois que je le vois depuis la correction hier à l'aide de HijackThis du retrait des 4 lignes. Le voici:

Et immédiatement à sa suite est apparu un site non demandé dont le nom est autour de: Monster Market Place. J'ai essayé de transmettre son image ici mais je l'ai manqué.

Dois-je refaire une autre lecture par HijackThis?

Lord · Post by **Lord** » 01 Nov 2006, 11:51

Bon, avec "HijackThis", essayez de supprimer les deux (2) lignes 09 où c'est écrit "file missing" au bout de la ligne.

Si ça ne règle pas le problème, téléchargez et exécutez en suivant les instructions LookToMe Remover (Anglais) .

Ou à partir de ce lien.

Rickyclean · Post by **Rickyclean** » 01 Nov 2006, 13:32

Lord, j'ai téléchargé Look To Me, fait le scan et le résultat a été ceci: NO VIRUS/TROJAN FOUND.

Comme je l'ai déjà mentionné, l'Indésirable me semble revenir moins souvent. Ces apparitions sont plus distancées. Se peut-il qu'après nos tentatives pour l'abattre, il soit juste blessé temporairement? (joke).

Sérieusement, ce genre d'indésirable est tenace. J'en ai déjà eu un auparavant (cependant il se présentait différemment uniquement sur le Bureau) dont ça avait été long à se débarrasser finalement grâce à votre aide SOS Mon Ordi.

Lord · Post by **Lord** » 01 Nov 2006, 14:07

Oui, je me rappelle.

Il s'agissait alors de: http://img213.imageshack.us/my.php?imag ... on15bb.jpg

Avez-vous supprimé les deux lignes 09 identifiées, avec à la fin "file missing"?

Rickyclean · Post by **Rickyclean** » 01 Nov 2006, 14:35

Rickyclean · Post by **Rickyclean** » 02 Nov 2006, 00:00

Je viens de recevoir à nouveau la visite de mon Indésirable. C'est celui-ci. A remarquer que comme tous les autres, il contient à chacune de ses apparitions cette adresse: monstermarketplace.com

J'ai clicqué dessus cette image avec Afficher La Source et ça m'a donné ceci. Est-ce qu¸'on peut le coincer avec ça? C'est le visage de mon Indésirable en quelque sorte.

Le texte complet de cette Image-Source (texte en effet très abondant)

<HTML><HEAD><TITLE>Shop VIRUS</TITLE>
<STYLE>
A:visited {color: #000000; font-size: 11px; TEXT-DECORATION: none}
A:active {color: #000000; font-size: 11px; TEXT-DECORATION: none}
A:link {color: #000000; font-size: 11px; TEXT-DECORATION:none}
A:hover {color: #000000; font-size: 11px; TEXT-DECORATION:none}
A.link:hover {color: #000000; font-size: 11px; TEXT-DECORATION:underline}
</STYLE>

<META content=300 name=height>
<META content=470 name=width></HEAD>
<BODY bgColor=#ffffff leftMargin=0 topMargin=0 rightMargin=0>
<TABLE cellSpacing=0 cellPadding=10 width=450 align=center border=0>
<TBODY>
<TR>
<TD align=middle><A href="http://wsoon.com/gg.php?ht=1081071258&s ... 9294A743DA&" target=_blank><FONT face=Tahoma size=4>Looking for <B>virus</B> ?</FONT></A></TD></TR>
<TR>
<TD align=middle bgColor=#ffffff><A class=link href="http://wsoon.com/gg.php?ht=1081071258&s ... 9294A743DA&" target=_blank><FONT color=blue size=+1>Shop VIRUS</FONT></A><BR>
<P><A href="http://wsoon.com/gg.php?ht=1081071258&s ... 9294A743DA&" target=_blank><FONT face=Tahoma size=2><B>Browse and compare a great selection of virus.</B></FONT></A>
<P><A href="http://wsoon.com/gg.php?ht=1081071258&s ... 9294A743DA&" target=_blank><FONT color=#008000 size=+1>monstermarketplace.com</FONT> <FONT size=+1>is the place that has what you want.</FONT></A> </P></TD></TR>
<TR>
<TD align=middle><A class=link href="http://wsoon.com/gg.php?ht=1081071258&s ... 9294A743DA&" target=_blank><FONT face=Tahoma color=blue size=5>CLICK HERE TO ENTER</FONT></A></TD></TR></TBODY></TABLE></BODY></HTML>

Lord · Post by **Lord** » 02 Nov 2006, 10:07

WOW

! Ça se corse.

D'après ce que je peut voir, il pourrait s'agir d'un "script" qui s'est installé dans internet explorer mais où? Là ça prendrait quelqu'un familier avec les scripts HTM pour vous aider?

Pour vérifier, essayez temporairement ceci: dans internet explorer, cliquer sur "Outils/Options internet" et sous l'onglet "Sécurité" dans la zone internet, cliquer sur le bouton "Personnaliser", rechercher la rubrique "Script" et cochez la case appropriée pour désactiver le "Active scripting". Faites la même manipulation sous l'icône "Intranet local".

Avec l'explorateur Windows, si vous regardez dans le dossier C:\Windows\web est-ce qu'il contient des fichiers *.htm ?