Accés impossible à 1 URL

Dans le message news:OXpBqOilFHA.1412@TK2MSFTNGP09.phx.gbl,
Jameson <chrolleyNOSPAM@free.fr>a écrit:

Bonjour
Je n'arrive pas à résoudre un problème sur le PC de mes parents.
Depuis quelques jours, pas moyen d'aller sur www.videoposte.net alors
que sur mon ordi, no problemo.
Ils sont redirigés systématiquement vers une page de recherche en
anglais (genre webcrawler) qui ne leur propose que du videopost et
ses variantes. J'ai joué avec l'antivirus, le firewall, l'anti spy,
rien à faire. Les autres pages fonctionnent.
L'accés par des biais détournés (google) ne donne rien de mieux.
Alors avant le bourre pif en règle (de l'ordi bien sur), je m'en
remets à vos lumières. En vous remerciant

Salut,
Une bestiole quelconque intercepte les requêtes. As-tu essayé d'analyser
avec hijackthis ? (http://www.spywareinfo.com/~merijn/) . Si tu as du mal
avec le résultat, poste le log ici.
--
Tsilefy

Merci pour l'info
j'ai testé sur mon pc, et je pense avoir saisi 2.3 trucs
je teste sur la bête incriminée dés que possible... (à l'heure de l'apéro,
quoi...)

--
Bonne journée
adresse anti spam

Bonjour
voilà le résultat du scan....
merci de m'apporter quelques précisions sur l'origine du problème.


Logfile of HijackThis v1.99.1
Scan saved at 19:02:17, on 01/08/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSSystem32svchost.exe
C:windowssystemhpsysdrv.exe
C:HPKBDKBD.EXE
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesMedia AccessMediaAccK.exe
C:Program FilesMSN AppsUpdater1.02.3000.1001frmsnappau.exe
C:DOCUME~1PROPRI~1LOCALS~1Temp200571911827_mcinfo.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesMedia AccessMediaAccess.exe
C:HijackThis1991.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://qfr9.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-qfr9.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.free.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://home.free.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-qfr9.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://srch-qfr9.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://srch-qfr9.hpwis.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://qfr9.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} -
(no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} -
C:PROGRA~1INSTAF~1INSTAF~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Program FilesMSN
AppsST1.03.0000.1005en-xustmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:Program FilesMSN AppsMSN Toolbar1.02.4000.1001frmsntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar1.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Program
FilesMSN AppsMSN Toolbar1.02.4000.1001frmsntb.dll
O4 - HKLM..Run: [hpsysdrv] c:windowssystemhpsysdrv.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSSystem32hkcmd.exe
O4 - HKLM..Run: [KBD] C:HPKBDKBD.EXE
O4 - HKLM..Run: [Recguard] C:WINDOWSSMINSTRECGUARD.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control
Panelatiptaxx.exe
O4 - HKLM..Run: [Reminder] "C:WindowsCreatorRemind_XP.exe"
O4 - HKLM..Run: [Media Access] C:Program FilesMedia AccessMediaAccK.exe
O4 - HKLM..Run: [Windows Service Pack Auto Update] C:Documents and
SettingsPropriétaireremoveme.exe
O4 - HKLM..Run: [MS Unix Binary] msmq2inst.exe
O4 - HKLM..Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKLM..Run: [msnappau] "C:Program FilesMSN
AppsUpdater1.02.3000.1001frmsnappau.exe"
O4 - HKLM..Run: [msci]
C:DOCUME~1PROPRI~1LOCALS~1Temp200571911827_mcinfo.exe /insfin
O4 - HKLM..RunServices: [*Microsoft Update] ytkcx.exe
O4 - HKLM..RunServices: [MS Unix Binary] msmq2inst.exe
O4 - HKCU..Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU..Run: [MicroSoft Window Updater] winsupdater.exe
O4 - HKCU..Run: [MS Unix Binary] msmq2inst.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe"
/background
O8 - Extra context menu item: &Google Search - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:Program
FilesGoogleGoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://C:Program FilesGoogleGoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:WINDOWSSystem32msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:WINDOWSSystem32msjava.dll
(file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengerMSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -
http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation -
c:Program FilesNorton Personal FirewallccPxySvc.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner -
C:WINDOWSSystem32hwclock.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe



--
Bonne journée
adresse anti spam

Dans le message news:%23d$5gmylFHA.420@TK2MSFTNGP09.phx.gbl,
Jameson <chrolleyNOSPAM@free.fr>a écrit:

Bonjour
voilà le résultat du scan....
merci de m'apporter quelques précisions sur l'origine du problème.

Salut, voici les process à virer (crée un point de restauration ou une
sauvegarde globale avec hijackthis avant au caz'où, ) :
C:Program FilesMedia AccessMediaAccK.exe (spyware+popupware)- virer tout
le dossier Media Access; en mode sans échec si impossible.
C:Program FilesMedia AccessMediaAccess.exe idem.
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} -
(no file) : intercepte les adresses web pour les rediriger.
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} -
C:PROGRA~1INSTAF~1INSTAF~1.DLL - encore un autre malware
O4 - HKLM..Run: [Media Access] C:Program FilesMedia AccessMediaAccK.exe
à cocher pour empêcher le lancement au dmarrage (ce qui rend le fichier
impossible à supprimer)
O4 - HKLM..Run: [Windows Service Pack Auto Update] C:Documents and
SettingsPropriétaireremoveme.exe : possible vers : W32/Forbot-BG. Décocher
puis virer le fichier.
O4 - HKLM..Run: [MS Unix Binary] msmq2inst.exe confirmé, c'est bien un
vers , permettant l'accès au PC pour ses créateurs depuis le net. Cocher,
fix et puis virer le fichier.
O4 - HKLM..Run: [MicroSoft Window Updater] winsupdater.exe idem. Virer.
O4 - HKLM..Run: [msci]
C:DOCUME~1PROPRI~1LOCALS~1Temp200571911827_mcinfo.exe /insfin. Connais
pas MacAfee, apparemment ce fichier lui appartient mais il n'est pas normal
que ce fichier se trouve dans un dossier temporaire (mauvaise install de
McAfee ?)
O4 - HKLM..RunServices: [*Microsoft Update] ytkcx.exe virer
O4 - HKLM..RunServices: [MS Unix Binary] msmq2inst.exe virer
O4 - HKCU..Run: [MicroSoft Window Updater] winsupdater.exe virer
O4 - HKCU..Run: [MS Unix Binary] msmq2inst.exe virer
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c6.cab -
spyware, reçu en visitant un site web (avec acceptation de l'install d'un
activeX).
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
Virer, spyware
(http://labs.paretologic.com/spyware.aspx?remove=Web%20P2P%20Installer )-
peut être reste d'une désinfection incomplète qui a viré les fichiers mais
laissé une référence dans le registre.

Ouf.
--
Tsilefy

Merci beaucoup pour le temps que tu as passé...

--
Bonne journée
adresse anti spam