Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Virus Virus ? [ehttp.cc?] [IE6]

Virus ? [ehttp.cc?] [IE6]

10 réponses
Avatar
Cyril
Bonjour, et meilleurs voeux !

Depuis quelques temps, sous IE 6 j'ai ma page de démarrage qui a changé
(c'est un site porno).
Lorsque je saisis une adresse du type www.nomdesite.nd IE me le mets sous
cette forme
http://ehttp.cc/?www.nomdesite.nd



J'ai essayé avec Ad-aware 6, il a trouvé des problèmes que j'ai résolu, mais
celui qui est décrit ci-dessu persiste.



Si quelqu'un peut me dire ce que j'ai oublié de faire ou même a eu le même
problème et a pu le résoudre.



MERCI !
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
joke0
Salut,

Cyril:
Depuis quelques temps, sous IE 6 j'ai ma page de démarrage qui
a changé (c'est un site porno).


Faites un scan de votre machine avec Hijack This et publiez le
rapport ici:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Si vous ne comprenez pas l'anglais, lisez ce message:
<URL:news:
(Subject: Re: virus besoin d'aide, par crystal)

--
joke0

Avatar
Michel
après avoir nettoyé avec Ad-aware et spybot va voir ce site:
http://www.technicland.com/faqie.php3


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.563 / Virus Database: 355 - Release Date: 17/01/2004
Avatar
Cyril
Bonjour,

Voilà le résultat :

Logfile of HijackThis v1.97.7
Scan saved at 21:36:15, on 18/01/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSsystem32slserv.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelIntel(R) Active Monitorimonnt.exe
C:Program FilesAnalog DevicesSoundMAXSmtray.exe
C:Program FilesIntelIntel(R) Active Monitorimontray.exe
C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
C:Program FilesSlySoftCloneCDCloneCDTray.exe
C:WINDOWSSystem32mscvrt32.exe
C:WINDOWSSystem32Kernel32.exe
C:Program FilesHewlett-PackardHP PrecisionScanPrecisionScanhpppta.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmmtask.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32olehelp.exe
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSslrundll.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesMessengermsmsgs.exe
C:PROGRA~1WINZIPwinzip32.exe
C:Documents and SettingsCyrilLocal SettingsTempHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL http://66.250.130.200/main/sp.php
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://www.sharempeg.com/find/
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant http://66.250.130.200/main/sp.php
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page http://www.sharempeg.com/find/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL http://www.sharempeg.com/find/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName Liens
R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchAssistant http://www.sharempeg.com/find/
R1 - HKCUSoftwareMicrosoftInternet Explorer,CustomizeSearch http://www.sharempeg.com/find/
F0 - system.ini: Shell=Explorer.exe C:WINDOWSSystem32System32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:WINDOWSSystem32System32.exe
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program
FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [Smapp] C:Program FilesAnalog
DevicesSoundMAXSmtray.exe
O4 - HKLM..Run: [IMONTRAY] C:Program FilesIntelIntel(R) Active
Monitorimontray.exe
O4 - HKLM..Run: [HPDJ Taskbar Utility]
C:WINDOWSSystem32spooldriversw32x863hpztsb04.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [CloneCDTray] "C:Program
FilesSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [Microsoft Cvrt] mscvrt32.exe
O4 - HKLM..Run: [Kernel32] Kernel32.exe
O4 - HKLM..Run: [hpppta] C:Program FilesHewlett-PackardHP
PrecisionScanPrecisionScanhpppta.exe /ICON
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [host] C:WINDOWSsystem32hosts.vbs
O4 - HKLM..Run: [mmtask] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmmtask.exe
O4 - HKLM..RunServices: [Microsoft Cvrt] mscvrt32.exe
O4 - HKLM..RunServices: [Kernel32] Kernel32.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe"
/background
O4 - HKCU..Run: [iedll] c:WINDOWSiedll.exe
O4 - HKCU..Run: [XBDJVBNGYAKTTWJ] C:WINDOWSEXVQERYJBUOOPV.exe
O4 - HKCU..Run: [svchost] C:WINDOWSSystem32olehelp.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .spop: C:Program FilesInternet
ExplorerPluginsNPDocBox.dll
O16 - DPF: Interface Chat Wanadoo -
http://chat10.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37956.4150347222
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) -
http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 -
HKLMSystemCCSServicesTcpip..{89DC6A18-C5F4-4516-8D2E-4AE37EFB83EB}:
NameServer = 213.228.0.168 212.27.32.5
O19 - User stylesheet: C:WINDOWShh.htt (HKLM)
Avatar
joke0
Salut,

Analyse des fichiers suspects:
http://www.kaspersky.com/remoteviruschk.html

Tu dois avoir une bestiole sur ton pc. Passe donc un coup de nettoyeur:
ftp://updates3.kaspersky-labs.com/utils/clrav.zip

Cyril:
C:WINDOWSSystem32mscvrt32.exe


A cocher pour suppression. Faire analyser.

C:WINDOWSSystem32Kernel32.exe
O4 - HKLM..Run: [Kernel32] Kernel32.exe
O4 - HKLM..RunServices: [Kernel32] Kernel32.exe


A cocher pour suppression. Faire analyser.

C:WINDOWSslrundll.exe


A cocher pour suppression. Faire analyser.

F0 - system.ini: Shell=Explorer.exe
C:WINDOWSSystem32System32.exe

F2 - REG:system.ini: Shell=Explorer.exe
C:WINDOWSSystem32System32.exe


Pas bon ça, faites scanner ce fichier 'system32.exe'

O4 - HKLM..Run: [host] C:WINDOWSsystem32hosts.vbs


Pareil.

O4 - HKCU..Run: [iedll] c:WINDOWSiedll.exe


A cocher pour suppression. Fait analyser ce fichier.

O4 - HKCU..Run: [XBDJVBNGYAKTTWJ]
C:WINDOWSEXVQERYJBUOOPV.exe


A cocher pour suppression. Fait analyser ce fichier.

O4 - HKCU..Run: [svchost] C:WINDOWSSystem32olehelp.exe


A cocher pour suppression. Faire analyser.

O19 - User stylesheet: C:WINDOWShh.htt (HKLM)


Supprimer

--
joke0

Avatar
El Soudy
"Cyril" a écrit dans le message :

Depuis quelques temps, sous IE 6 j'ai ma page de démarrage qui a
changé

(c'est un site porno).
Lorsque je saisis une adresse du type www.nomdesite.nd IE me le mets
sous

cette forme
http://ehttp.cc/?www.nomdesite.nd



La réponse pour la bestiole "Variant 16: CWS.Addclass - Halloween
edition", dans la page suivante :

http://www.merijn.org/cwschronicles.html

Tu trouveras aussi l'outil pour t'en débarasser (je n'ai pas testé).



Si quelqu'un peut me dire ce que j'ai oublié de faire ou même a eu le
même

problème et a pu le résoudre.

MERCI !


De rien c'est gratos
@+
Éric

Avatar
joke0
Salut,

El Soudy:
http://www.merijn.org/cwschronicles.html


Mais on netrouve pourtant pas
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?

dans le log...

--
joke0

Avatar
joke0
Salut,

joke0:
O4 - HKCU..Run: [iedll] c:WINDOWSiedll.exe



Voir ' CWS.Aff.Iedll' sur cette page:
http://www.merijn.org/cwschronicles.html

--
joke0


Avatar
Cyril
Bonjour,

Je vous remercie beaucoup pour totues ces infos, mon pc va beaucoup mieux !

MERCI !
Avatar
Sebastianus
Slt,

Scan avec spybot, et si c'est autre chose qu'un spyware tente avec ceci:
http://www.secuser.com/outils/antivirus.htm
Avatar
joke0
Salut,

Cyril:
Je vous remercie beaucoup pour totues ces infos, mon pc va
beaucoup mieux !


Fait attention à ce qu'il ne rechute pas ;-)

Vire les ActiveX et pratique le 'safe hex':
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a3.5

--
joke0