Se connecter / S'enregistrer
Votre question

******RESOLU *******Besoin d'aide

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
8 Décembre 2005 21:37:19

Un poste au bureau est infecté par un spyware ou un virus mais je n'arrive pas à l'identifier. Voici son comportement. Dans Windows Explorer, l'utilisateur voit apparaître des mots qui devraient être en texte en hyperlien. Si on déplace le curseur sur ce lien on voit en bas à gauche écrit "Sponsored Link". Si on clique dessus on est dirigé sur le web site du lien en question. Des fois des popup de publicités apparaient. Ça ne fait ça qu'avec Explorer ???

Pouvez-vous m'aider SVP. Je ne trouve aucune piste sur le poste...

Autres pages sur : resolu besoin aide

a b , Internet Explorer
9 Décembre 2005 10:57:36

Salut,

Poste un log HijackThis.

Télécharge le, puis met le dans un dossier dédié.
Ensuite, lance le, appuie sur Do a system scan a save a logfile, et donne nous le résultat du scan :-)
9 Décembre 2005 15:03:37

Ok voici le Hijackthis log :

Logfile of HijackThis v1.99.1
Scan saved at 08:45:57, on 2005-12-09
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\System32\CCM\CcmExec.exe
C:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe
C:\Program Files\Citrix\Client ICA\pnagent.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet1.bnquebec.ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet1.bnquebec.ca
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.netscape.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {18B2BC7C-FF75-193A-8493-273AAF9A4026} - C:\WINDOWS\innlnkiz.dll (file missing)
O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll (file missing)
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINDOWS\System32\nsl191.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - Startup: Internet Explorer.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Agent Program Neighborhood.lnk = C:\Program Files\Citrix\Client ICA\pnagent.bat
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://intranet1.bnquebec.ca
O16 - DPF: {00176330-7528-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - CNN World News (dfoWorld.dll)) - http://updates.pivotal.com/cab/DFOWORLD.CAB
O16 - DPF: {0D4CFEC0-75FA-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - Ticketmaster (dfoTickt.dll)) - http://updates.pivotal.com/cab/DFOTICKT.CAB
O16 - DPF: {0D795040-75D7-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - eMarketer (dfoEstat.dll)) - http://updates.pivotal.com/cab/DFOESTAT.CAB
O16 - DPF: {27C33380-751E-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - CNN News (dfoNews.dll)) - http://updates.pivotal.com/cab/DFONEWS.CAB
O16 - DPF: {2A6B6CF8-7B49-46BC-89FE-35988CD10585} (Pivotal eRelationship Active Access (Version 5.0) - Charting Class (rdachart.dll)) - http://10.9.35.32/epower/cab/RDACHART.CAB
O16 - DPF: {2A92E670-75F0-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - MSNBC Local News (dfoLocal.dll)) - http://updates.pivotal.com/cab/DFOLOCAL.CAB
O16 - DPF: {2C7EEADF-02A9-4393-9105-51E66D9465FF} (Pivotal eRelationship Active Access (Version 5.0) - Report Interface (rdaRprt.dll)) - http://10.9.35.32/epower/cab/RDARPRT.CAB
O16 - DPF: {31968650-75CE-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - CNNfn Economic News (dfoEcon.dll)) - http://updates.pivotal.com/cab/DFOECON.CAB
O16 - DPF: {37B759DF-6D21-11D3-9FB3-005004A79108} (Pivotal SmartPortal Plug-in - CNNfn Financial News (dfoFincl.dll)) - http://updates.pivotal.com/cab/DFOFINCL.CAB
O16 - DPF: {380994D8-9E15-432A-B9FA-3FDF5AA2FD45} (Pivotal eRelationship Active Access (Version 5.0) - Static list Support (rdauistaticlists.dll)) - http://10.9.35.32/epower/cab/RDAUISTATICLISTS.CAB
O16 - DPF: {59745E40-75E4-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - Yahoo!/Travelocity (dfoTravl.dll)) - http://updates.pivotal.com/cab/DFOTRAVL.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {73AE1030-7501-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - InfoSpace White Pages (dfoPeopl.dll)) - http://updates.pivotal.com/cab/DFOPEOPL.CAB
O16 - DPF: {756F55C0-75DF-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - Pivotal Corporation News (dfoPivtl.dll)) - http://updates.pivotal.com/cab/DFOPIVTL.CAB
O16 - DPF: {762026EC-32F6-4614-AA53-3DE28C023382} (Pivotal eRelationship Active Access (Version 5.0) - Colour Scheme Details (rdashare.dll)) - http://10.9.35.32/epower/cab/RDASHARE.CAB
O16 - DPF: {7F543947-8BCA-4104-AAF2-2340B494B9DA} (Pivotal eRelationship Active Access (Version 5.0) - Smart Portal (rdaprtl.dll)) - http://10.9.35.32/epower/cab/RDAPRTL.CAB
O16 - DPF: {83890755-7337-4926-9646-1A04E29AA780} (Pivotal ePower Lifecycle Engine (Version 5.0) - Component Catalog (rdaobjcreate.dll)) - http://10.9.35.32/epower/cab/RDAOBJCREATE.CAB
O16 - DPF: {881FDA4B-4656-4501-B5EA-C8C24AE331F3} (Pivotal ePower Lifecycle Engine (Version 5.0) - Platform Access (rdaclnt.dll)) - http://10.9.35.32/epower/cab/RDACLNT.CAB
O16 - DPF: {97D70380-7523-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - CNN Technology News (dfoTech.dll)) - http://updates.pivotal.com/cab/DFOTECH.CAB
O16 - DPF: {9BF905F1-8F4D-4371-8B97-D1C9A48C9888} (Pivotal eRelationship Active Access (Version 5.0) - Portal Preferences Page (rprefs.dll)) - http://10.9.35.32/epower/cab/RDAPREFS.CAB
O16 - DPF: {9C080730-72A4-11D3-9FB6-005004A79108} (Pivotal SmartPortal Plug-in - Yahoo! Maps (dfoMaps.dll)) - http://updates.pivotal.com/cab/DFOMAPS.CAB
O16 - DPF: {9C973BD7-5583-4879-A9AF-06A757673BD1} (Pivotal eRelationship Active Access (Version 5.0) - Letter Express Options (RdaUI.dll)) - http://10.9.35.32/epower/cab/RDAUI.CAB
O16 - DPF: {9FB41C30-E6E4-11D4-8378-0050DA19EB7F} (Calendar Control) - http://bordereau.bnquebec.ca/Active-x/CalendarProj1.cab
O16 - DPF: {A4BD9732-328D-11D4-BB89-00A0C9843488} (Pivotal ePower Lifecycle Engine (Version 5.0) - eMailer Class (rn1sendx.dll)) - http://10.9.35.32/epower/cab/RN1SENDX.CAB
O16 - DPF: {AE4F48D0-6A0A-11D3-9FB0-005004A79108} (Pivotal eRelationship Active Access (Version 5.0) - Plug-in Result Return Collection (dfoutils.dll)) - http://10.9.35.32/epower/cab/DFOUTILS.CAB
O16 - DPF: {B037E980-7B43-11D3-9FBD-005004A79108} (Pivotal SmartPortal Plug-in - NewsAlert (dfoAlert.dll)) - http://updates.pivotal.com/cab/DFOALERT.CAB
O16 - DPF: {B3154370-75D3-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - American Marketing Association (dfoAma.dll)) - http://updates.pivotal.com/cab/DFOAMA.CAB
O16 - DPF: {B6656F10-AE21-470F-8435-4030A8C05C9E} (Pivotal eRelationship Active Access (version 5.0) - Shortcut Menu Handler) - http://10.9.35.32/epower/cab/RSHORTCUT.CAB
O16 - DPF: {C1B5A120-778C-11D3-9FBB-005004A79108} (Pivotal SmartPortal Plug-in - Company Headlines (dfoCmpny.dll)) - http://updates.pivotal.com/cab/DFOCMPNY.CAB
O16 - DPF: {CAFECAFE-0013-0001-0008-ABCDEFABCDEF} (JInitiator 1.3.1.8) - http://ps9ia.bnquebec.ca:7778/discoverer/plus_files/plu...
O16 - DPF: {CF2BC2B0-74FC-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - Yahoo! Stock Quote (dfoQuote.dll)) - http://updates.pivotal.com/cab/DFOQUOTE.CAB
O16 - DPF: {CF99FC20-76B1-11D3-9FB8-005004A79108} (Pivotal SmartPortal Plug-in - MapQuest Maps (dfoMpqst.dll)) - http://updates.pivotal.com/cab/DFOMPQST.CAB
O16 - DPF: {D3DBC190-7754-11D3-9FBA-005004A79108} (Pivotal SmartPortal Plug-in - Accuweather Weather (dfoWethr.dll)) - http://updates.pivotal.com/cab/DFOWETHR.CAB
O16 - DPF: {D84E4855-DBDE-4D51-95BE-CF008F4E0AD2} (Pivotal eRelationship Active Access (Version 5.0) - Letter Express (rdaletex.dll)) - http://10.9.35.32/epower/cab/RDALETEX.CAB
O16 - DPF: {F04A1320-72C4-11D3-9FB7-005004A79108} (Pivotal SmartPortal Plug-in - Aggregation (dfoGenrl.dll)) - http://updates.pivotal.com/cab/DFOGENRL.CAB
O16 - DPF: {F1222CCA-D09B-42B6-B0FC-FD65213A9E38} (Pivotal eRelationship Active Access (Version 5.0) - Resources (rdares.dll)) - http://10.9.35.32/epower/cab/RDARES.CAB
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = biblio.bnquebec.ca
O17 - HKLM\Software\..\Telephony: DomainName = biblio.bnquebec.ca
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDD62632-5DC7-497B-A5E7-35899FDFE207}: Domain = biblio.bnquebec.ca
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = biblio.bnquebec.ca
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Contenus similaires
a b , Internet Explorer
9 Décembre 2005 17:17:38

Salut,

Relance HijackTHis et fix ces lignes :

R3 - URLSearchHook: (no name) - {02EE5B04-F144-47BB-83FB-A60BD91B74A9} - (no file)

O2 - BHO: (no name) - {18B2BC7C-FF75-193A-8493-273AAF9A4026} - C:\WINDOWS\innlnkiz.dll (file missing)
O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll (file missing)
O2 - BHO: wb - {55BE9F0D-6CAF-4c3e-B125-5A13A8C9D0EC} - C:\WINDOWS\System32\nsl191.dll

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)


Et fix toutes les lignes O16 que tu connais pas.

Et supprime ces dossiers / fichiers :

C:\WINDOWS\System32\nsl191.dll
C:\PROGRA~1\FREEPR~1\
C:\WINDOWS\innlnkiz.dll

Reposte un log pour vérifications
11 Décembre 2005 01:51:48

Ok je vais essayer ça lundi au bureau.

Tks !
13 Décembre 2005 16:27:23

Merci pour les infos. Ça a réglé le problème.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS