Informatique Pratique

Toute l'aide dont vous avez besoin !!!
http://forums.infoprat.fr/

Comment m'en débarasser ?

http://forums.infoprat.fr/viewtopic.php?f=4&t=28531

Page 1 sur 2

Posté : 07 févr. 2005, 16:18:00
par alienigena13
Je ne sais trop comment, un de ces sites pour adultes sest installé sur mon PC. Non seulement s'est devenu à¡ la force ma page de démarrage mais en plus, il fait ouvrir automatiquemet plusieurs sites du même genre, l'un après l'autre.

Cette peste que je ne sais si je peux la dénomer comme programme s'appelle ENTER ONE .J'ai tout essayé, mais sans resultat. Avec JV16 Power Tools, je l'ai effacé de la liste de démarrage, ensuite je l'ai effacé de la liste des programmes, elle avait une entrée dans HKEY_LOCAL_MACHINEsoftwareEnterOne.

J'ai été ensuite au dossier C:Program Files , et j'ai effacé le dossier <B>EnterOne</B> et j’ai aussi mis une page vierge comme page de démarrage de IE.

Résultat : cette peste revient en quelques min comme si je n’avais absolument rien fait.

Que dois-je faire ?

Posté : 07 févr. 2005, 16:49:00
par alain51
Salut,

HijackThis devrait t'en débarrasser.( <a href="viewtopic.php?topic=27951&forum=41" target="_blank">viewtopic.php?topic=27951&forum=41</a> )

Si tu n'y arrives pas, tu copies ton log et tu le colles ici.

Posté : 07 févr. 2005, 17:14:00
par yves64
Salut alienigena13,

Si tu n'y parviens pas avec la solution Hijack d'Alain51, essaie avec "A Squared 2" que tu peux télécharger ici: <a href="http://www.zdnet.fr/telecharger/windows/fiche/0" target="_blank">http://www.zdnet.fr/telecharger/windows ... 89s,00.htm

Bonne chance & @ +


Posté : 07 févr. 2005, 19:23:00
par maxell
salut , vas voir dans msconfig pour decocher son option de demarrage, puis regarde dans les processus actifs pour le tué , apres rapasse un coup de balai dans ta base de registre en effacant toutes les alliteration ayant un rapport avec EnterOne. tu peux faire une sauvegarde de ta base de registre en cas de fausse manoeuvre .


a plus

Posté : 08 févr. 2005, 10:23:00
par alienigena13
Alain51, HijackThis détecte bien cette peste, l'efface mais elle revient quand même au boud de quelques minutes seulemet.

yves64, A Squared 2 ne la detecte même pas.


maxell, tu ne pourrais pas être un peu plus explicite dans ton explication stp ?

Posté : 08 févr. 2005, 15:39:00
par alain51
Salut,

Il y a certainement un autre dossier à  supprimer ; refais un scan et colle le ici.

Posté : 08 févr. 2005, 16:08:00
par alienigena13
La voici Alain51,


<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1><b>Citation :</b></font></TD></TR></TABLE><TABLE BORDER=1 CELLPADDING=10 BORDERCOLOR=#FF0000 ALIGN=CENTER WIDTH=85%><TR BGCOLOR=#F3F2F4><TD><FONT SIZE=-1>Logfile of HijackThis v1.99.0
Scan saved at 16:04:47, on 08/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ntopengl.exe
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesSkypePhoneSkype.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCrazy BrowserCrazy Browser.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesMicrosoft OfficeOffice10WINWORD.EXE
C:WINDOWSmsagentAgentSvr.exe
C:WINDOWSSystem32adservernow.exe
C:Program FilesYahoo!Messengerymsgr_tray.exe
C:WINDOWSSystem32msiexec.exe
C:Documents and SettingsHAKIMLocal SettingsTempRépertoire temporaire 2 pour hijackthis_199.zipHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = <a href="http://g.msn.fr/0SEFRFR/SAOS02" target="_blank">http://g.msn.fr/0SEFRFR/SAOS02</a>
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = <a href="file:///C:/Program%20Files/EnterOne/Portal/portal.html" target="_blank">file:///C:/Program%20Files/EnterOne/Portal/portal.html</a>
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Startpagina = <a href="file:///C:/Program%20Files/EnterOne/Portal/portal.html" target="_blank">file:///C:/Program%20Files/EnterOne/Portal/portal.html</a>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:WINDOWSsystem32IEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:Program FilesCanonEasy-WebPrintToolband.dll
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [Easy-PrintToolBox] C:Program FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE /logon
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_01binjusched.exe
O4 - HKLM..Run: [NvCplD] C:WINDOWSSystem32ntopengl.exe
O4 - HKLM..Run: [Updater] C:WINDOWSSystem32adservernow.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [Yahoo! Pager] C:Program FilesYahoo!Messengerypager.exe -quiet
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - <a href="res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000" target="_blank">res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000</a>
O8 - Extra context menu item: Easy-WebPrint Ajouter à  la liste d'impressions - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_01binnpjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_01binnpjpi150_01.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - <a href="https://www.p3.postbank.nl/sesam/CAX.cab" target="_blank">https://www.p3.postbank.nl/sesam/CAX.cab</a>
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - <a href="http://www.pandasoftware.com/activescan/as5/asinst.cab" target="_blank">http://www.pandasoftware.com/activescan ... nst.cab</a>
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - <a href="http://messenger.msn.com/download/msnme ... loader.cab" target="_blank">http://messenger.msn.com/download/msnme ... der.cab</a>
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:WINDOWSSystem32imapi.exe
O23 - Service: Partage de Bureau à  distance NetMeeting - Unknown - C:WINDOWSSystem32mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à  distance - Unknown - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Prise en charge des cartes à  puces - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Carte à  puce - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:WINDOWSSystem32vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:WINDOWSSystem32wbemwmiapsrv.exe</FONT></TD></TR></TABLE>

Posté : 08 févr. 2005, 17:35:00
par yves64
Salut alienigena13,

As-tu essayé d'éliminer cet intrus à  l'aide de la fonction "rechercher" de Windows,

Une fois trouvés tous les fichiers ayant un rapport avec "EnterOne", tu les supprimes directement dans ta page de résultat puis, tu effectues un nettoyage de la BdR à  l'aide de JV 16 Power Tools par exemple ou un autre prog si tu en possèdes un.

Posté : 08 févr. 2005, 17:36:00
par Titus
Salut,

Le log fait ressortir deux ou trois choses :

Pas d'antivirus
Pas de firewall
Tu n'es pas à  jour (WindowsUpdate)

Passons à  la suite :

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1><b>Citation :</b></font></TD></TR></TABLE><TABLE BORDER=1 CELLPADDING=10 BORDERCOLOR=#FF0000 ALIGN=CENTER WIDTH=85%><TR BGCOLOR=#F3F2F4><TD><FONT SIZE=-1>Logfile of HijackThis v1.99.0
Scan saved at 16:04:47, on 08/02/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
<B>C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ntopengl.exe</B>
C:Program FilesMSN MessengerMsnMsgr.Exe
C:Program FilesSkypePhoneSkype.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCrazy BrowserCrazy Browser.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesMicrosoft OfficeOffice10WINWORD.EXE
<B>C:WINDOWSmsagentAgentSvr.exe
C:WINDOWSSystem32adservernow.exe</B>
C:Program FilesYahoo!Messengerymsgr_tray.exe
C:WINDOWSSystem32msiexec.exe
C:Documents and SettingsHAKIMLocal SettingsTempRépertoire temporaire 2 pour hijackthis_199.zipHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = <a href="http://g.msn.fr/0SEFRFR/SAOS02" target="_blank">http://g.msn.fr/0SEFRFR/SAOS02</a>
<B>R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = <a href="file:///C:/Program%20Files/EnterOne/Portal/portal.html" target="_blank">file:///C:/Program%20Files/EnterOne/Portal/portal.html</a>
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Startpagina = <a href="file:///C:/Program%20Files/EnterOne/Portal/portal.html</B>" target="_blank">file:///C:/Program%20Files/EnterOne/Portal/portal.html</B></a>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {49E0E0F0-5C30-11D4-945D-000000000000} - C:WINDOWSsystem32IEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:Program FilesCanonEasy-WebPrintToolband.dll
<B>O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OBrealsched.exe" -osboot</B>
O4 - HKLM..Run: [Easy-PrintToolBox] C:Program FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE /logon
O4 - HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavajre1.5.0_01binjusched.exe
<B>O4 - HKLM..Run: [NvCplD] C:WINDOWSSystem32ntopengl.exe
O4 - HKLM..Run: [Updater] C:WINDOWSSystem32adservernow.exe</B>
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [Yahoo! Pager] C:Program FilesYahoo!Messengerypager.exe -quiet
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
<B>O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE</B>
O8 - Extra context menu item: E&xporter vers Microsoft Excel - <a href="res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000" target="_blank">res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000</a>
O8 - Extra context menu item: Easy-WebPrint Ajouter à  la liste d'impressions - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - <a href="res://C:Program" target="_blank">res://C:Program</a> FilesCanonEasy-WebPrintResource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_01binnpjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_01binnpjpi150_01.dll
O16 - DPF: {003FADA5-8FEE-11D6-AFB7-0004768F6183} (CryptoRSA Control) - <a href="https://www.p3.postbank.nl/sesam/CAX.cab" target="_blank">https://www.p3.postbank.nl/sesam/CAX.cab</a>
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - <a href="http://www.pandasoftware.com/activescan/as5/asinst.cab" target="_blank">http://www.pandasoftware.com/activescan ... nst.cab</a>
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - <a href="http://messenger.msn.com/download/msnme ... loader.cab" target="_blank">http://messenger.msn.com/download/msnme ... der.cab</a>
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:WINDOWSSystem32imapi.exe
O23 - Service: Partage de Bureau à  distance NetMeeting - Unknown - C:WINDOWSSystem32mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à  distance - Unknown - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Prise en charge des cartes à  puces - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Carte à  puce - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:WINDOWSSystem32vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:WINDOWSSystem32wbemwmiapsrv.exe</FONT></TD></TR></TABLE>

Enlève ce qui est en gras.

<font color="blue">Ca veut dire quoi à§a: Platform: Windows XP (WinNT 5.01.2600)? Tu es sous XP?! Note que cela ne me dérange pas, mais ta fiche de config mentionne 98. Ce serait une bonne idée de la mettre à  jour, ce serait plus facile pour nous.</font>

Posté : 08 févr. 2005, 18:19:00
par Danthv
salut

peut-être désactiver la restauration système avant tout....


ne quid nimis

Posté : 09 févr. 2005, 16:10:00
par alienigena13
Salut Titus, j'ai éffacé comme tu me l'as dit tout ce qui est en gras et le problème a pour l'instant disparu. Ceci dit, je préfère attendre un jour ou deux pour être sà»r que cette peste ne reviendra pas comme elle fait par le passé et s'elle ne revient pas, je marquerai le post comme '''Résolu'.

D'autre part j'ai une question relative à  ta solution. Comment as-tu sà» que les fichiers que tu as marqué en gras étaient en relation avec ''EnterOne'', la peste qui me causait ces problèmes ? pour les fichiers o๠le nom ''EnterOne'' apparait c'est évident (il y en a 2) mais pour les autres ?

P.S. : j'aimerais comprendre pour ne pas avoir à  redemander si un cas similaire se presentait et aussi pour apprendre. Merci à  toi Titus et à  tous les autres.

Posté : 09 févr. 2005, 16:14:00
par cemp
Salut,

c'est simple, tu fais un copier / coller de ton log créé par HitjackThis ici :

<a href="http://www.hijackthis.de/fr" target="_blank">http://www.hijackthis.de/fr</a>

tu cliques sur <font color="green"><B>évaluer</B></font> et tu agis ensuite en fonction de la réponse !

<IMG SRC="/images/smiles/wink_smile46.gif">

Posté : 09 févr. 2005, 16:26:00
par alienigena13
cemp, comme tu l'as dit, la réponse était bien simple. Merci

Le problème est résolu est uen fois pour toute. Aucune trace de la peste 24 heure après. Encore un grand MERCI à¡ tous.

Posté : 16 mai 2005, 09:28:00
par alienigena13
Encore une petite question. Régulièrement j'utilise Hijackthis pour me débarasser des spywares et aujourd'hui je dois justement m'en débarasser d'un, seulement j'obtiens à§a :

O4 - HKLM..Run: [VVSN] C:Program FilesVVSNVVSN.exe

Je suppose que le chemin de l'emplacement est trop long et que c'est pour à§a qu'on mis les points ... avant le "Run" et du coup je me suis perdu, je sais plus ou trouver ce Run, je sais que c'est dans Local Machine mais après à§a c'est o๠?

Posté : 16 mai 2005, 16:22:00
par patheticcockroach
salut,

c'est HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun <IMG SRC="/images/smiles/regular_smile46.gif">

@+
Heures au format UTC+01:00
Page 1 sur 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/