Sequelles de virus

drareg44

Posté le 30/08/2003 @ 11:17

Bonjour, J'ai été infecté par le virus Lovsan, et je l'ai supprimé grace à) un anti-virus. Par contre depuis mon fichier hosts est régulièrement remplacé par un autre contenant des adresses IP inconnues. Que puis-je faire pour que cela ne se reprosuide pas? Merci de votre aide. [timide]

bay

Posté le 30/08/2003 à 11:21

Utilise tu Kazaa ou spybot ?

pgriffet

Posté le 30/08/2003 à 11:21

Salut Gérard. Je crois que c'est Kazaa ou un autre P2P qui fait ça. tu peux lire mon sujet : https://forum.pcastuces.com/sujet.asp?SUJET_ID=8269 copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.

drareg44

Posté le 01/09/2003 à 08:32

Bonjour Pierre Merci de ta réponse et voici le contenu du fichier log : Logfile of HijackThis v1.96.0 Scan saved at 08:26:16, on 01/09/2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Patrick\pcastuces\antivirus\AVPersonal\AVGUARD.EXE C:\Patrick\pcastuces\antivirus\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\ActivityDisk.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\s3hotkey.exe C:\WINDOWS\System32\S3Tray2.exe C:\WINDOWS\System32\\00THotkey.exe C:\WINDOWS\System32\TPWRTRAY.EXE C:\Program Files\Apoint2K\Apoint.exe C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe C:\Program Files\TOSHIBA\TouchED\TouchED.Exe C:\WINDOWS\System32\TFNF5.exe C:\Program Files\Iomega\DriveIcons\ImgIcon.exe C:\Winamp\Winampa.exe C:\Program Files\Save\Save.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\lookupsys.exe C:\Program Files\Apoint2K\Apntex.exe C:\Patrick\pcastuces\antivirus\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\windows\winlogon.exe C:\WINDOWS\iedll.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\efhbtzoy.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Patrick\pcastuces\nettoyeurs\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?351418 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?351418 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.searchforge.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://new-incest.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.searchforge.com/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://itseasy.us/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://itseasy.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://itseasy.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://itseasy.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.ewebsearch.net/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Use Custom Search URL = R3 - URLSearchHook: MailTo Class - {01A9EB7D-69BC-11D2-AB2F-204C4F4F5020} - C:\WINDOWS\System32\dnsrelay.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_20.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20 O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Winamp\Winampa.exe" O4 - HKLM\..\Run: [WhenUSave] C:\Program Files\Save\Save.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [Lookup_Sys] C:\WINDOWS\lookupsys.exe O4 - HKLM\..\Run: [Internat Conf] \bootconf.exe O4 - HKLM\..\Run: [SysPnP] rundll32 setupapi,InstallHinfSection OemAudioPnP 128 oemsyspnp.inf O4 - HKLM\..\Run: [AVGCtrl] C:\Patrick\pcastuces\antivirus\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\winupdate.exe O4 - HKCU\..\Run: [iedll] C:\WINDOWS\iedll.exe O4 - HKCU\..\Run: [loader] C:\WINDOWS\loader.exe O4 - HKCU\..\Run: [Lookup_Sys] C:\WINDOWS\lookupsys.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Voir les cookies - C:\WINDOWS\web\cookies.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O15 - Trusted Zone: *.coolwwwsearch.com O15 - Trusted Zone: *.msn.com O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - http://office.microsoft.com/france/TemplateGallery/msotd.cab O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) - http://prd-oracle.defontaine.com:8099/jinitiator/oajinit.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E292EFB0-EE32-11D1-8C74-0000C0B0E2E9} (RptViewerAX Class) - http://nt4sbo/wi/ActiveX/RptViewerFR.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7EA9C519-C6D0-4209-BC48-9040A7B89605}: NameServer = 62.210.79.1,194.51.3.65,194.51.3.49 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B1350B-EF0F-444F-B6C7-CE81ADD558F2}: NameServer = 194.2.0.20,194.2.0.50 O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp

bay

Posté le 01/09/2003 à 08:46

Attention ! winlogon.exe Hijacker - file is located in C:\Windows or Winnt, and not in it's System or System32 subdirectory, as is the case with the legitimate winlogon.exe file above CAD que suivant le chemin de ce winlogon.exe ici "C:\windows\winlogon.exe" Verifier également l'utilisation de new.net , utilisé par certains FAI !

Modifié par bay le 01/09/2003 10:40

pgriffet

Posté le 01/09/2003 à 11:11

C:\WINDOWS\lookupsys.exe C:\WINDOWS\iedll.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\efhbtzoy.exe Ces 3-là me paraissent bizarre Cette entrée-ci aussi O4 - HKCU\..\Run: [loader] C:\WINDOWS\loader.exe Ce qui m'inquiète, c'est le nom efhbtzoy qui ressemble à un truc aléatoire généré par un virus. Fais un scan en ligne sur http://www.secuser.com Passe aussi Spybot et AdAware

drareg44

Posté le 01/09/2003 à 15:35

Merci beaucoup pour vos réponses. A+ Patrick[timide]

Jean-Luc

Posté le 01/09/2003 à 21:22

Message original par drareg44
Bonjour, J'ai été infecté par le virus Lovsan, et je l'ai supprimé grace à) un anti-virus. Par contre depuis mon fichier hosts est régulièrement remplacé par un autre contenant des adresses IP inconnues. Que puis-je faire pour que cela ne se reprosuide pas? Merci de votre aide. [timide]

Supprimé : OK. As-tu installé le correctif Microsoft ?

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

Les bons plans du moment PC Astuces

Tous les Bons Plans

389 €

Aspirateur robot laveur Roborock S7 avec pack serpillère (entrepôt européen) à 389 €
Valable jusqu'au 28 Mai

Geekbuying fait une belle promotion sur l'aspirateur robot laveur Roborock S7 avec 2 serpillères offertes à 389 € avec le code NNNDBFRS7NOIR au lieu de 600 €. En plus de l'aspiration puissante de 2500 PA et la reconnaissance automatique des pièces, ce robot dispose d'un nouveau système de serpillière (réservoir d'eau de 300 mL) avec vibration sonique qui optimise la performance de lavage. Elle frotte jusqu’à 3 000 fois par minute pour déloger les salissures.

Le Roborock S7 sera expédié d'un entrepôt polonais ce qui vous garantit une livraison rapide et sans douane.

> Voir l'offre

59,99 €

Montre connectée Xiaomi Redmi Watch 2 Lite à 59,99 €
Valable jusqu'au 27 Mai

Amazon fait une promotion sur la montre connectée Xiaomi Redmi Watch 2 Lite qui passe à à 59,99 € au lieu de 69,99 €. Elle dispose d'écran couleur de 1,55 pouce affichant une définition de 320 x 320 pixels et ne pèse que 35 g. Cinq cadrans sont proposés par défaut, pour varier le style en fonction de votre envie. Du côté des fonctionnalités, vous trouverez le suivi du sommeil, l'analyse de la fréquence cardiaque, des exercices de respiration et un GPS précis capable d'indiquer l’altitude et la pression atmosphérique de votre environnement.

Elle fait également office de coach sportif en traquant le nombre de pas, la distance parcourue ou encore les calories brûlées et reconnait jusqu'à 11 activités sportives : la course en extérieur, le tapis roulant, le cyclisme extérieur et intérieur, le trekking, la natation, le yoga, etc. D'autres informations sont disponibles sur la Mi Watch Lite, comme l’affichage des notifications avec les emojis, la météo ou encore l'alarme de votre réveil. Il est également possible de prendre des appels entrants, contrôler sa musique et rechercher son téléphone.

Côté autonomie, comptez 10 jours en utilisation standard et 14 heures en mode sport avec le GPS activé en continu.

> Voir l'offre

47,99 €

Lego Star wars Casque Boba Fett n°75277 à 47,99 €
Valable jusqu'au 28 Mai

Amazon fait une promotion sur le Lego Star wars Casque Boba Fett n°75277 qui passe à 47,99 €. On le trouve ailleurs autour de 60 €. Ce formidable casque de Boba Fett (75277) à collectionner rend hommage à l’un des chasseurs de primes les plus terribles de l’univers Star Wars. Il met au défi tous les constructeurs LEGO.

> Voir l'offre