Virus about:blank

Le
Romeo
Bonjour,

J'ai chopé un virus qui me remplace ma page de démarrage IE6 par
'about:blank' et me créé une dll dans C:WINDOWSsystem32, à chaque fois que
je la supprime elle revient sous un autre nom, j'ai essayer un patch qui
s'appelle 'CWShredder.exe' et rien n'y fait, j'ai Norton2004 à jour et il ne
trouve rien.

Quelqu'un pourrait-il me dépanner ?

Merci
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
joke0
Le #1468323
Salut,

Romeo:
J'ai chopé un virus qui me remplace ma page de démarrage IE6
par 'about:blank' et me créé une dll dans C:WINDOWSsystem32,
à chaque fois que je la supprime elle revient sous un autre
nom, j'ai essayer un patch qui s'appelle 'CWShredder.exe' et
rien n'y fait, j'ai Norton2004 à jour et il ne trouve rien.


Il faut que tu utilises HijackThis. Lis les instructions sur cette page:
et poste un rapport ici.

L'intrus se cache normalement sous cette forme:
O4 - HKCU..Run: [System Update] C:WINDOWSSystemexplorer.exe

Le vrai explorer.exe est dans le répertoire windows et pas ailleurs.

--
joke0

Romeo
Le #1468302
Tout d'abord merci pour ton aide, voila le rapport généré par HijackThis :

Logfile of HijackThis v1.97.7
Scan saved at 18:47:03, on 03/05/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesSensivaSensiva.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesFichiers communsSymantec SharedccProxy.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
c:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSSystem32tcpsvcs.exe
C:WINDOWSSystem32snmp.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
C:Program FilesNorton Internet SecurityNorton AntiVirusnavapsvc.exe
C:Program FilesNorton Internet SecurityNorton AntiVirusSAVScan.exe
C:Documents and SettingsJeromeBureauHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL http://aifind.info/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:Program
FilesDAPDAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {71F9D4F0-FE1C-4371-9AEE-173057182574} -
C:WINDOWSSystem32clo.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -
C:Program FilesFichiers communsSymantec SharedAdBlockingNISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program
FilesNorton Internet SecurityNorton AntiVirusNavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -
C:Program FilesFichiers communsSymantec SharedAdBlockingNISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton Internet SecurityNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:Program
FilesDAPDAPIEBar.dll
O4 - HKLM..Run: [WinampAgent] "C:Program FilesWinampWinampa.exe"
O4 - HKLM..Run: [WhenUSave] C:Program FilesSaveSave.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Sensiva] "C:Program FilesSensivaSensiva.exe"
O4 - HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program
FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 - HKLM..Run: [Online Service] C:WINDOWSsvchost.exe
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [Iomega Drive Icons] C:Program
FilesIomegaDriveIconsImgIcon.exe
O4 - HKLM..Run: [Deskup] C:Program FilesIomegaDriveIconsdeskup.exe
/IMGSTART
O4 - HKLM..Run: [msbb] C:Program FilesnCasemsbb.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O8 - Extra context menu item: &Download with &DAP -
C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP -
C:PROGRA~1DAPdapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Capturer ! (HKLM)
O9 - Extra 'Tools' menuitem: Capturer ce web (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .fpx: C:\Program Files\Internet
Explorer\PLUGINS\NPRVRT32.dll
O12 - Plugin for .ivr: C:\Program Files\Internet
Explorer\PLUGINS\NPRVRT32.dll
O16 - DPF: Interface Chat Wanadoo -
http://chat7.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -
http://encyclo.voila.fr/JS/tdserver.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags
Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) -
http://www.maisonfamiliale.com/AECVIZ/npaecviz.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
http://wanadoo.metaboli.fr/components/ExentCtl.ocx
O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702} (nCaseInstaller Class) -
http://infinity.n-case.com/captioncitymain/resources/nCaseInstaller.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 -
HKLMSystemCCSServicesTcpip..{059D4BCD-8A50-4A4C-B8D5-09B9BD7911C6}:
NameServer = 192.168.1.1
O17 -
HKLMSystemCS1ServicesTcpip..{059D4BCD-8A50-4A4C-B8D5-09B9BD7911C6}:
NameServer = 192.168.1.1
O17 -
HKLMSystemCS2ServicesTcpip..{059D4BCD-8A50-4A4C-B8D5-09B9BD7911C6}:
NameServer = 192.168.1.1
O19 - User stylesheet: C:WINDOWShh.htt (HKLM)
joke0
Le #1468292
Salut,

Romeo:
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Vraiment pas à jour :(

Télécharge le dernier patch cumulatif pour IE et pour OE
rapidement ou fais un tour par windowsupdate.

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL > http://aifind.info/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar > res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page > res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant > res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar > res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page > res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant > res://C:WINDOWSSystem32clo.dll/sp.html (obfuscated)


Cocher tout ça.

O2 - BHO: (no name) - {71F9D4F0-FE1C-4371-9AEE-173057182574} -
C:WINDOWSSystem32clo.dll


Celui-ci aussi.

O4 - HKLM..Run: [WhenUSave] C:Program FilesSaveSave.exe


Une saloperie. A cocher.

O4 - HKLM..Run: [Online Service] C:WINDOWSsvchost.exe


Ouh la! Ça ne sent pas très bon :(
Scanner d'urgence ce fichier (attention celui du répertoire
c:windowssystem32 est le seul qui appartient à windows).

Supprimer seulement ensuite (il faut connaître le nom de la
bestiole).

O4 - HKLM..Run: [msbb] C:Program FilesnCasemsbb.exe


Logiciel publicitaire. Cocher.

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf
Class) - http://wanadoo.metaboli.fr/components/ExentCtl.ocx


Cocher.

O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702}
(nCaseInstaller Class) -
http://infinity.n-case.com/captioncitymain/resources/nCaseInsta
ller.cab


Cocher!

O19 - User stylesheet: C:WINDOWShh.htt (HKLM)


Extrêmement louche. Faire scanner ici:

Et cocher.

Si l'un des 2 fichiers que je te demande de faire scanner par
KAV n'est pas détecté, envoie-m'en une copie à

Après avoir coché:
Ferme obligatoirement Internet Explorer et Outlook Express, puis
clique sur le bouton 'Fix checked'. Ensuite redémarre
l'ordinateur et vérifie que ce que tu as coché est bien parti.
Si ce n'est pas le cas, republie un rapport dans le fil que tu
as commencé.

--
joke0

Romeo
Le #1468279
J'ai fait tout ce que tu m'as dit, ça à l'air d'aller mieux.

Pour le fichier :
O4 - HKLM..Run: [Online Service] C:WINDOWSsvchost.exe
Je l'avais déjà supprimé il y a longtemps (peut-être un résidu dans la base

de registre)

Pour le fichier :
O19 - User stylesheet: C:WINDOWShh.htt (HKLM)
KAV n'as rien détécté je l'ai donc laissé.


Si l'un des 2 fichiers que je te demande de faire scanner par
KAV n'est pas détecté, envoie-m'en une copie à
Je t'ai envoyé un mail, le sujet c'est: " Romeo-HijackThis " (au cas où tu

penserai que ce serais un spam ;)

Encore merci pour ton aide.

Romeo
Le #1468278
Oui j'ai eu moi aussi des liens sur mon desktop et dans mes favoris. (avec
WinXP et IE6)
J'ai suivi les instructions de joke0 (dans les messages précédent) et
maintenant ça va mieux.
Je pense que tu devrais essayer de faire pareil.

"ursus polaris" c7695o$4ae$
mêmes trucs arrivés chez moi, par contre

- "il" a aussi installé des liens aux pages Explorer sur le desktop qui
ouvrent une fenêtre d'Explorer avec des pages (des sites de publicité ou
"anti-spyware");
- "il" a installé une barre de recherche (spyware, je pense) dans mon
Internet Explorer
- Chaque fois que je vire ces liens sur le desktop, ils reviennent la
prochaine fois. J'ai l'impression qu'"il" se cache dans c:_restoretemp
qui contient des milliers de fichiers. Windows ne permet pas de les
virer. Quand je démarre Windows avec son CD en mode DOS, il permet
d'effacer ledit répertoire, par contre ne le fait pas, il se plante.

C'est le WinME.

Romeo wrote:
Bonjour,

J'ai chopé un virus qui me remplace ma page de démarrage IE6 par
'about:blank' et me créé une dll dans C:WINDOWSsystem32, à chaque fois
que


je la supprime elle revient sous un autre nom, j'ai essayer un patch qui
s'appelle 'CWShredder.exe' et rien n'y fait, j'ai Norton2004 à jour et
il ne


trouve rien.

Quelqu'un pourrait-il me dépanner ?

Merci







ursus polaris
Le #1468271
mêmes trucs arrivés chez moi, par contre

- "il" a aussi installé des liens aux pages Explorer sur le desktop qui
ouvrent une fenêtre d'Explorer avec des pages (des sites de publicité ou
"anti-spyware");
- "il" a installé une barre de recherche (spyware, je pense) dans mon
Internet Explorer
- Chaque fois que je vire ces liens sur le desktop, ils reviennent la
prochaine fois. J'ai l'impression qu'"il" se cache dans c:_restoretemp
qui contient des milliers de fichiers. Windows ne permet pas de les
virer. Quand je démarre Windows avec son CD en mode DOS, il permet
d'effacer ledit répertoire, par contre ne le fait pas, il se plante.

C'est le WinME.

Romeo wrote:
Bonjour,

J'ai chopé un virus qui me remplace ma page de démarrage IE6 par
'about:blank' et me créé une dll dans C:WINDOWSsystem32, à chaque fois que
je la supprime elle revient sous un autre nom, j'ai essayer un patch qui
s'appelle 'CWShredder.exe' et rien n'y fait, j'ai Norton2004 à jour et il ne
trouve rien.

Quelqu'un pourrait-il me dépanner ?

Merci




joke0
Le #1468270
Salut,

Romeo:
O19 - User stylesheet: C:WINDOWShh.htt (HKLM)
KAV n'as rien détécté je l'ai donc laissé.



C'est une feuille de style qui place un lien vers un site porno
dans chacun de tes messages HTML.

A virer donc.

--
joke0


Romeo
Le #1468267
Ok, merci.

"joke0"
Salut,

Romeo:
O19 - User stylesheet: C:WINDOWShh.htt (HKLM)
KAV n'as rien détécté je l'ai donc laissé.



C'est une feuille de style qui place un lien vers un site porno
dans chacun de tes messages HTML.

A virer donc.

--
joke0




J. K.
Le #1136274
Bonjour/bonsoir Romeo,

Bonjour,

J'ai chopé un virus qui me remplace ma page de démarrage IE6 par
'about:blank' et me créé une dll dans C:WINDOWSsystem32, à chaque
fois que je la supprime elle revient sous un autre nom, j'ai essayer
un patch qui s'appelle 'CWShredder.exe' et rien n'y fait, j'ai
Norton2004 à jour et il ne trouve rien.
Quelqu'un pourrait-il me dépanner ?


Moi je me posais la question, comment avoir un virus/ver/troyen avec un
Nav à jour ?
J'ai Nis 2004 et SystemWorks 2004 et aucun souci, malgré toutes les
critiques qui sont émises ici et ailleurs.
Mais aussi, je vais au moins une fois par semaine sur le site de
WindowsUpdate, je suis abonné à la lettre de www.secuser.com. Et pour
toi, on s'aperçoit que tu n'es pas à jour, donc tu étais *bon* pour
toute attaque !
--
Salutations.
Jacques

Romeo
Le #1136125
Certes mon IE6 n'était pas à jour mais je pense que NAV aurait quand même dû
voir ce virus d'autant plus que je fais des LiveUpdate 2 fois par semaine.
Je commence donc à me poser des questions sur la fiabilité de NAV.

"J. K." news:c77fcm$9qu$
Bonjour/bonsoir Romeo,

Bonjour,

J'ai chopé un virus qui me remplace ma page de démarrage IE6 par
'about:blank' et me créé une dll dans C:WINDOWSsystem32, à chaque
fois que je la supprime elle revient sous un autre nom, j'ai essayer
un patch qui s'appelle 'CWShredder.exe' et rien n'y fait, j'ai
Norton2004 à jour et il ne trouve rien.
Quelqu'un pourrait-il me dépanner ?


Moi je me posais la question, comment avoir un virus/ver/troyen avec un
Nav à jour ?
J'ai Nis 2004 et SystemWorks 2004 et aucun souci, malgré toutes les
critiques qui sont émises ici et ailleurs.
Mais aussi, je vais au moins une fois par semaine sur le site de
WindowsUpdate, je suis abonné à la lettre de www.secuser.com. Et pour
toi, on s'aperçoit que tu n'es pas à jour, donc tu étais *bon* pour
toute attaque !
--
Salutations.
Jacques




Publicité
Poster une réponse
Anonyme