> Tous les forums > Forum Windows XP
 Sequelles de virus
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
drareg44
  Posté le 30/08/2003 @ 11:17 
Aller en bas de la page 
Nouvel astucien
Bonjour, J'ai été infecté par le virus Lovsan, et je l'ai supprimé grace à) un anti-virus. Par contre depuis mon fichier hosts est régulièrement remplacé par un autre contenant des adresses IP inconnues. Que puis-je faire pour que cela ne se reprosuide pas? Merci de votre aide. [timide]
Publicité
bay
 Posté le 30/08/2003 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
Utilise tu Kazaa ou spybot ?
pgriffet
 Posté le 30/08/2003 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien
Salut Gérard. Je crois que c'est Kazaa ou un autre P2P qui fait ça. tu peux lire mon sujet : https://forum.pcastuces.com/sujet.asp?SUJET_ID=8269 copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
drareg44
 Posté le 01/09/2003 à 08:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Bonjour Pierre Merci de ta réponse et voici le contenu du fichier log : Logfile of HijackThis v1.96.0 Scan saved at 08:26:16, on 01/09/2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Patrick\pcastuces\antivirus\AVPersonal\AVGUARD.EXE C:\Patrick\pcastuces\antivirus\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\ActivityDisk.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\s3hotkey.exe C:\WINDOWS\System32\S3Tray2.exe C:\WINDOWS\System32\\00THotkey.exe C:\WINDOWS\System32\TPWRTRAY.EXE C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe C:\Program Files\TOSHIBA\TouchED\TouchED.Exe C:\WINDOWS\System32\TFNF5.exe C:\Program Files\Iomega\DriveIcons\ImgIcon.exe C:\Winamp\Winampa.exe C:\Program Files\Save\Save.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\lookupsys.exe C:\Program Files\Apoint2K\Apntex.exe C:\Patrick\pcastuces\antivirus\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\windows\winlogon.exe C:\WINDOWS\iedll.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\efhbtzoy.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Patrick\pcastuces\nettoyeurs\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?351418 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?351418 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.searchforge.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://new-incest.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.searchforge.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://itseasy.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://itseasy.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.ewebsearch.net/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Use Custom Search URL =  R3 - URLSearchHook: MailTo Class - {01A9EB7D-69BC-11D2-AB2F-204C4F4F5020} - C:\WINDOWS\System32\dnsrelay.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_20.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20 O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [WhenUSave] C:\Program Files\Save\Save.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [Lookup_Sys] C:\WINDOWS\lookupsys.exe O4 - HKLM\..\Run: [Internat Conf] \bootconf.exe O4 - HKLM\..\Run: [SysPnP] rundll32 setupapi,InstallHinfSection OemAudioPnP 128 oemsyspnp.inf O4 - HKLM\..\Run: [AVGCtrl] C:\Patrick\pcastuces\antivirus\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe O4 - HKCU\..\Run: [iedll] C:\WINDOWS\iedll.exe O4 - HKCU\..\Run: [loader] C:\WINDOWS\loader.exe O4 - HKCU\..\Run: [Lookup_Sys] C:\WINDOWS\lookupsys.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O15 - Trusted Zone: *.coolwwwsearch.com O15 - Trusted Zone: *.msn.com O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/france/TemplateGallery/msotd.cab O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) - http://prd-oracle.defontaine.com:8099/jinitiator/oajinit.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E292EFB0-EE32-11D1-8C74-0000C0B0E2E9} (RptViewerAX Class) - http://nt4sbo/wi/ActiveX/RptViewerFR.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7EA9C519-C6D0-4209-BC48-9040A7B89605}: NameServer = 62.210.79.1,194.51.3.65,194.51.3.49 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B1350B-EF0F-444F-B6C7-CE81ADD558F2}: NameServer = 194.2.0.20,194.2.0.50 O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp
bay
 Posté le 01/09/2003 à 08:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
Attention ! winlogon.exe Hijacker - file is located in C:\Windows or Winnt, and not in it's System or System32 subdirectory, as is the case with the legitimate winlogon.exe file above CAD que suivant le chemin de ce winlogon.exe ici "C:\windows\winlogon.exe" Verifier également l'utilisation de new.net , utilisé par certains FAI !

Modifié par bay le 01/09/2003 10:40
pgriffet
 Posté le 01/09/2003 à 11:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien
C:\WINDOWS\lookupsys.exe C:\WINDOWS\iedll.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\efhbtzoy.exe Ces 3-là me paraissent bizarre Cette entrée-ci aussi O4 - HKCU\..\Run: [loader] C:\WINDOWS\loader.exe Ce qui m'inquiète, c'est le nom efhbtzoy qui ressemble à un truc aléatoire généré par un virus. Fais un scan en ligne sur http://www.secuser.com Passe aussi Spybot et AdAware
drareg44
 Posté le 01/09/2003 à 15:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Merci beaucoup pour vos réponses. A+ Patrick[timide]
Jean-Luc
 Posté le 01/09/2003 à 21:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Message original par drareg44
Bonjour, J'ai été infecté par le virus Lovsan, et je l'ai supprimé grace à) un anti-virus. Par contre depuis mon fichier hosts est régulièrement remplacé par un autre contenant des adresses IP inconnues. Que puis-je faire pour que cela ne se reprosuide pas? Merci de votre aide. [timide]
Supprimé : OK. As-tu installé le correctif Microsoft ?
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
389 €Aspirateur robot laveur Roborock S7 avec pack serpillère (entrepôt européen) à 389 €
Valable jusqu'au 28 Mai

Geekbuying fait une belle promotion sur l'aspirateur robot laveur Roborock S7 avec 2 serpillères offertes à 389 € avec le code NNNDBFRS7NOIR au lieu de 600 €. En plus de l'aspiration puissante de 2500 PA et la reconnaissance automatique des pièces, ce robot dispose d'un nouveau système de serpillière (réservoir d'eau de 300 mL) avec vibration sonique qui optimise la performance de lavage. Elle frotte jusqu’à 3 000 fois par minute pour déloger les salissures.

Le Roborock S7 sera expédié d'un entrepôt polonais ce qui vous garantit une livraison rapide et sans douane.


> Voir l'offre
59,99 €Montre connectée Xiaomi Redmi Watch 2 Lite à 59,99 €
Valable jusqu'au 27 Mai

Amazon fait une promotion sur la montre connectée Xiaomi Redmi Watch 2 Lite qui passe à à 59,99 € au lieu de 69,99 €. Elle dispose d'écran couleur de 1,55 pouce affichant une définition de 320 x 320 pixels et ne pèse que 35 g. Cinq cadrans sont proposés par défaut, pour varier le style en fonction de votre envie. Du côté des fonctionnalités, vous trouverez le suivi du sommeil, l'analyse de la fréquence cardiaque, des exercices de respiration et un GPS précis capable d'indiquer l’altitude et la pression atmosphérique de votre environnement. 

Elle fait également office de coach sportif en traquant le nombre de pas, la distance parcourue ou encore les calories brûlées et reconnait jusqu'à 11 activités sportives : la course en extérieur, le tapis roulant, le cyclisme extérieur et intérieur, le trekking, la natation, le yoga, etc. D'autres informations sont disponibles sur la Mi Watch Lite, comme l’affichage des notifications avec les emojis, la météo ou encore l'alarme de votre réveil. Il est également possible de prendre des appels entrants, contrôler sa musique et rechercher son téléphone.

Côté autonomie, comptez 10 jours en utilisation standard et 14 heures en mode sport avec le GPS activé en continu. 


> Voir l'offre
47,99 €Lego Star wars Casque Boba Fett n°75277 à 47,99 €
Valable jusqu'au 28 Mai

Amazon fait une promotion sur le Lego Star wars Casque Boba Fett n°75277 qui passe à 47,99 €. On le trouve ailleurs autour de 60 €. Ce formidable casque de Boba Fett (75277) à collectionner rend hommage à l’un des chasseurs de primes les plus terribles de l’univers Star Wars. Il met au défi tous les constructeurs LEGO.


> Voir l'offre

Sujets relatifs
Quel Anti Virus efficace à ce jour pour XP
Multi Virus Cleaner 2015
Quel ANTI VIRUS pour XP SP3 Gratos fiable
anti virus portable gratuit
virus"sweet-page
Suspicion de virus, mode sans echec avec reseau
PC XP qui raaaaame. Virus ?
Ecran bleu sous XP + virus?
virus AppRider
Virus Pub resistant
Plus de sujets relatifs à Sequelles de virus
 > Tous les forums > Forum Windows XP