changement automatique de la page d'accueil - Sécurité - Windows & Software
Marsh Posté le 14-06-2004 à 23:33:26
Clic droit sur internet explorer, propriété internet, onglet général, dans le cadre page par défaut, tu met l'adresse que tu veux !
Si c pas ça bah je crois que t'es bon pour nettoyer ta base de registre
Marsh Posté le 14-06-2004 à 23:40:38
un coup de spybot puis un coup de adaware
tu devrai enlever cette merde
Marsh Posté le 15-06-2004 à 08:40:45
Gatsu35>J'ai déjà essayé mais cela ne marche pas
PneumoFoirax> je suis assez nouvelle en informatique, comment faut-il faire pour nettoyer la base de registre???
Marsh Posté le 15-06-2004 à 09:21:30
recherche google en mettant le nom de la page qui s'affiche ou un mot clé qui est sur la page, tu devrait également trouver comment la désinstaller (par le registre justement) en mettant (c'est un exemple) "désinstaller uudyj.dll"
Marsh Posté le 15-06-2004 à 09:23:11
p'tite correction, y a rien sur google, alors dsl s'que j'ai dit ne marche pas
sinon vu que c'est un fichier .dll essaye de le rechercher dans windows et si tu le trouve, supprime le!
Marsh Posté le 15-06-2004 à 09:27:08
j'ai la meme chose avec une autre page, et en + sa me rajoute des favorie de ***. c'est assez embetant, j'croi que C icanfit ou un truc du genre la page
Marsh Posté le 15-06-2004 à 09:31:45
vous avez désactivé la restauration system avant de scanner? sinon y scanne pas la mémoire donc sa peut aussi venir de sa, le fait que vous ayez rien trouvé...
Marsh Posté le 15-06-2004 à 09:42:07
Moi j'avais le meme probleme que vous la semaine derniere
et je ne savais pas comment supprimer cette page.. EH BEN LE GROS
PROBLEME c'etait 3 virus qui foutait le bordel (winfi3.exe ISasse.exe et un autre) bref le gros bordel voir meme tres gros car un 1er formatage na rien fait le probleme etait toujours la, et un 2ieme formatage mais apres de grosse difficulter genre impossible de formater
sous xp j'ai du faire des p'tit partition (5go)pour que ca puisse passer
bon maintenant tout est niquel... Mais jamais vu ca.. saloperie de Virus
Bon je dit pas que c'est egalement votre probleme mais a mon avis ca y ressemble
Marsh Posté le 15-06-2004 à 09:51:39
Apres un formattage je vois pas comment sa peut revenir, a moin que tu soit un reseau et qu'un autre post soit infecter, ou que tu es garder ta partition donnée et que le virus y etais.
C'est embetant quand meme, mais j'aimerais savoir comment l'enlever, meme si j'vais formattez mon OS et qu'apres l'installe je fais un gosht
Marsh Posté le 15-06-2004 à 09:56:19
Ben ci dans ma deuxieme partition
et ensuite je lancais win xp du cd choix de formater ntfs et la dique qui ce bloque
bon a mon donner ce lien essaye
http://www.trendmicro.com/vinfo/vi [...] JH&VSect=T
Marsh Posté le 15-06-2004 à 10:04:30
wai, on te propose le nettoyage de ta base de registre c'est tout...
Marsh Posté le 15-06-2004 à 10:09:09
ecoute je te dit ce qui a regler mes problemes mais bon tu fais comme tu veux
1)le mieux c'est de trouver a supprimer ton virus
2) supprimer de la base de registre ce qui fou la merde sur ton pc
cherche si tu a pas un fichier winfix3.exe
Marsh Posté le 15-06-2004 à 10:23:52
Tite_Kikoo>Je l'ai trouvé le fichier .dll mais il revient à chaque fois et il faut que je vérifie la restauration system avant de scanner (avec adaware)
Merci pour vos solutions je vais essayer ce soir.
Marsh Posté le 15-06-2004 à 11:03:34
sa m'a l'air d'être un beau trojan sa... essaie aussi un scan avec the cleaner (version d'évaluation 30 jours)
Marsh Posté le 15-06-2004 à 11:19:03
salut,
Analyse ton PC avec cet antivirus en ligne : http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC".
A la fin de l'analyse, copier/coller le rapport ici.
Marsh Posté le 15-06-2004 à 11:22:56
SGGK>merci je le fais ce soir et je mettrais le rapport ici
Marsh Posté le 15-06-2004 à 20:44:29
SGGK>Voici le rapport, Merci
Scan started at 15/06/2004 19:24:20
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\tony carlino\Local Settings\Temporary Internet Files\Content.IE5\C1EB8PYB\Ah_le_sexe[1].exe - Joke:Howannoy.A -> Infected
C:\Documents and Settings\tony carlino\Local Settings\Temporary Internet Files\Content.IE5\C1EB8PYB\UniDist[1].CAB->UniDist.ocx - TrojanDownloader:Win32/Dyfica.T -> Infected
C:\Documents and Settings\tony carlino\Local Settings\Temporary Internet Files\Content.IE5\JOITCA01\0006[1].cab->ISTactivex.dll - TrojanDownloader:Win32/IstBar.P -> Infected
C:\Documents and Settings\tony carlino\Local Settings\Temporary Internet Files\Content.IE5\OL67WL2F\0006[1].cab->ISTactivex.dll - TrojanDownloader:Win32/IstBar.P -> Infected
C:\System Volume Information\_restore{2B12FACB-0235-45B2-B29E-125F40896912}\RP171\A0011998.exe - TrojanDownloader:Win32/Keenval.C -> Infected
C:\System Volume Information\_restore{2B12FACB-0235-45B2-B29E-125F40896912}\RP172\A0012017.exe - TrojanDownloader:Win32/Keenval.C -> Infected
C:\System Volume Information\_restore{2B12FACB-0235-45B2-B29E-125F40896912}\RP174\A0012042.exe - TrojanDownloader:Win32/Keenval.A -> Infected
C:\System Volume Information\_restore{2B12FACB-0235-45B2-B29E-125F40896912}\RP174\A0012044.exe - TrojanDownloader:Win32/Keenval.C -> Infected
C:\System Volume Information\_restore{2B12FACB-0235-45B2-B29E-125F40896912}\RP261\A0016178.exe - Tool:PornDialer.EA -> Infected
C:\System Volume Information\_restore{2B12FACB-0235-45B2-B29E-125F40896912}\RP336\A0018696.exe->(UPXW) - Tool:PornDialer.gen! -> Infected
C:\System Volume Information\_restore{2B12FACB-0235-45B2-B29E-125F40896912}\RP336\A0018697.exe->(UPXW) - Tool:PornDialer.gen! -> Infected
Scanned
============================
Objects: 70029
Directories: 2859
Archives: 6837
Size(Kb): 1702583
Infected files: 11
Found
============================
Viruses found: 7
Suspicious files: 0
Disinfected files: 0
Mail files: 356
Marsh Posté le 15-06-2004 à 20:48:06
dialers, trojan et autres virus, faudrait arreter de trainer sur des sites X ^^
Marsh Posté le 15-06-2004 à 20:50:04
Tite_Kikoo>Merci du conseil j'ai compris maintenant mais je dois faire comment pour supprimer???
Marsh Posté le 15-06-2004 à 20:52:34
ben si t'as scanné ton pc en activant l'option "autoclean" normalement il l'a fait tout seul...
sinon ben tu suis les chemins indiqués dans le log, tu suppr tout ce que tu trouves, tu vide la corbeille, et tu reboot...
apres tu refait un tit scann et normalement c'est clean (du moins pour sa)
Marsh Posté le 16-06-2004 à 15:15:51
même avec l'option autoclean activé, ils sont toujours là. Il n'y a pas une autre solution???
Marsh Posté le 16-06-2004 à 15:21:59
C:\System Volume Information\_restore <---- desactive le systeme de restauration de windows XP
Marsh Posté le 16-06-2004 à 16:09:51
lorsque j'essaie de le faire il met: "une exception s'est produite lors de la tentative d'exécution deshel
Marsh Posté le 16-06-2004 à 16:11:23
de shell32.dll,control_runDLL.
Com21>Cela veut dire quoi???
Marsh Posté le 16-06-2004 à 16:12:11
que t'es dans la merde ?
j'en sais rien...
Marsh Posté le 16-06-2004 à 18:30:22
as-tu désactiver ta restauration système ?
Désactives la restauration système :
Démarrer/Tous les programmes/Accessoires/Outils systèmes/Restauration du système
Cliques sur Paramètres de la restauration système (à droite)
une fenêtre s'ouvre coches désactiver la restauration du système.
Fais appliquer
Redémarre
Si tu ne m'a compris jette un oeil ICI
puis reactive la
Ensuite vides les fichiers temporaires de IE :
Tu ouvre Internet Explorer
Outils/options internet
Cliques sur supprimer les fichiers en ayant coché supprimer le contenu dispo hors connexion
Ensuite refais un scan RAvantivirus et colle le rapport ici
Marsh Posté le 16-06-2004 à 18:45:28
SGGK>cela commence mal pour la restauration du système il me met "le fichier Rstui.exe a rencontré un problème" et l'onglet se referme.
Marsh Posté le 16-06-2004 à 21:23:54
As tu pu au moins supprimer les autres virus?
Redemarre ton PC et retente de desactiver la restauration:
http://www.libellules.ch/desactiver_restauration.php
Ensuite refais un RAV pour voir ce qui reste sur ton PC.
Utilise Hijack This:
http://www.spywareinfo.com/~merijn [...] ckthis.zip
Une fois telecharge lance le, clique sur "scan", fais "save log" puis copie
et colle nous le contenu du rapport sur le forum sans rien faire d'autre.
Marsh Posté le 16-06-2004 à 22:27:22
non j'ai passé aussi l'anti virus de SGGK avec l'autoclean mais il n'efface rien. j'ai également fait un "sfc /scannow" mais sans résultat.
Voici le rapport:
Logfile of HijackThis v1.97.7
Scan saved at 22:16:58, on 16/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addve.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\WINDOWS\System32\PROMon.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\PopUp Killer\PopUpKiller.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\ntlp32.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\PROGRA~1\Altnet\DOWNLO~1\ASM.exe
C:\Program Files\Common files\updmgr\updmgr.exe
C:\Program Files\Fichiers communs\GMT\GMT.exe
C:\Program Files\Fichiers communs\CMEII\CMESys.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\tony carlino\Mes documents\programme\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uudyj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://uudyj.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://uudyj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uudyj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://uudyj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uudyj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C18EDABC-4307-5DCC-0E67-AEA4B63EAE88} - C:\WINDOWS\system32\ipjf32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\COMPAQ\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ntlp32.exe] C:\WINDOWS\ntlp32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [updmgr] C:\Program Files\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Fichiers communs\CMEII\CMESys.exe"
O4 - HKLM\..\RunOnce: [atlvx.exe] C:\WINDOWS\atlvx.exe
O4 - HKLM\..\RunOnce: [atluz32.exe] C:\WINDOWS\system32\atluz32.exe
O4 - HKLM\..\RunOnce: [ntex.exe] C:\WINDOWS\ntex.exe
O4 - HKLM\..\RunOnce: [netxk32.exe] C:\WINDOWS\netxk32.exe
O4 - HKLM\..\RunOnce: [sdkxd32.exe] C:\WINDOWS\system32\sdkxd32.exe
O4 - HKLM\..\RunOnce: [msrx32.exe] C:\WINDOWS\system32\msrx32.exe
O4 - HKLM\..\RunOnce: [iexu32.exe] C:\WINDOWS\system32\iexu32.exe
O4 - HKCU\..\RunOnce: [BullguardoptIn] C:\WINDOWS\Temp\BullGuard\bulldownload.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/down [...] mv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/17ff7d224edb6 [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
Merci pour votre aide
Marsh Posté le 16-06-2004 à 23:11:23
Spybot 1.3: http://kujoe.com/freeware/spybotsd13.exe
Met le a jour.
Passe Spybot
choisir Mode avançé ( à côté de Fichiers tout en haut > Mode)
> dans Outils > cocher toutes les cases :
Dans la colonne de gauche les cases cochées apparaissent sous forme de menu
Aller dans :
Outils > BHOs > supprimer ceux qui ne sont pas cochés en vert
Outils ActiveX > idem
Outils > pages navigateur > cocher les lignes inconnues, cliquer sur changer
et choisir dans le menu déroulant About:blank (ceci va bloquer les pages IE
anormales)
Outils > effaceur de sécurité > aller dans "Modèles" > choisir : "ajouter
fichiers du cache internet" > cliquer sur
déchiqueter la liste qui apparaît
choisir ensuite toujours dans modèles : "ajouter les fichiers du dossier
temp > cliquer à nouveau sur déchiqueter > tout se met avec un V en vert
dans fichiers Hosts > sélectionner "ajouter fichiers Hosts (ceci va protéger
contre des sites malveillants)
dans "Ajustements IE" > cocher la case devant : verrouiller le fichier
Hosts.
Toujours dans Outils, choisir "Résident" > cocher la case devant SDhelper
dans Réglages > modules additionnels > cocher les deux cases tout en
bas > Traceurs d'activité
Dans Vaccination > vacciner
Maintenant Lance le scan de spybot!
cocher tout ce qu'il trouve, y compris les cases en vert et clic sur "corriger problèmes" .
Le PC va ensuite redemarrer.
Ensuite reposte nous un Hijack This.
Puis va faire un scan en ligne ici:
http://www.pandasoftware.com/activ [...] ncipal.htm
Marsh Posté le 17-06-2004 à 20:08:04
trojan> Voici le nouveau rapport, merci
Logfile of HijackThis v1.97.7
Scan saved at 19:59:54, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addve.exe
C:\WINDOWS\ntlp32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\WINDOWS\System32\PROMon.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Program Files\PopUp Killer\PopUpKiller.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\tony carlino\Mes documents\programme\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C18EDABC-4307-5DCC-0E67-AEA4B63EAE88} - C:\WINDOWS\system32\ipjf32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\COMPAQ\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ntlp32.exe] C:\WINDOWS\ntlp32.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\RunOnce: [atlvx.exe] C:\WINDOWS\atlvx.exe
O4 - HKLM\..\RunOnce: [atluz32.exe] C:\WINDOWS\system32\atluz32.exe
O4 - HKLM\..\RunOnce: [ntex.exe] C:\WINDOWS\ntex.exe
O4 - HKLM\..\RunOnce: [netxk32.exe] C:\WINDOWS\netxk32.exe
O4 - HKLM\..\RunOnce: [sdkxd32.exe] C:\WINDOWS\system32\sdkxd32.exe
O4 - HKLM\..\RunOnce: [msrx32.exe] C:\WINDOWS\system32\msrx32.exe
O4 - HKLM\..\RunOnce: [iexu32.exe] C:\WINDOWS\system32\iexu32.exe
O4 - HKLM\..\RunOnce: [ntyz32.exe] C:\WINDOWS\system32\ntyz32.exe
O4 - HKLM\..\RunOnce: [appgg32.exe] C:\WINDOWS\system32\appgg32.exe
O4 - HKLM\..\RunOnce: [iejh32.exe] C:\WINDOWS\iejh32.exe
O4 - HKLM\..\RunOnce: [sdkxy32.exe] C:\WINDOWS\sdkxy32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/down [...] mv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/17ff7d224edb6 [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
Marsh Posté le 17-06-2004 à 20:41:57
Lut all !!!!
+1 pour se spyware ou je ne sais quoi .....
Voici ce que j'ai tenté en vain, en sachant que la restauration était désactivée à ce moment:
Suppression des fichiers temporaires internet, des cookies,
Utilisation de Ad-aware (à jour),
Utilisation de Spybot (à jour),
Passage à http://www.ravantivirus.com/scan/ ,
Passage à http://www.pandasoftware.com/activ [...] ncipal.htm ,
Suppression des entrées dans le registre relative à la page de démarrage,
X reboot ...
A noter, que je ne sais pas trop comment ce truc est arrivé chez moi puisque ma machine est derière un FW avec PC-cillin qui tourne en permanence ...
j'ai également un doute sur le fait que ce soit les sites X qui en sont à l'origine: à part, les spams X .... ni ma femme ni mon ch'tio gamin de 2 ans, et ni moi y allons !!!!
Bref, tout ce que je sais c'est que c'est une dll (dont le nom est aléatoire) qui est en partie à l'origine de la modification de la page de démarrage:
dans mon cas la page est "res://fvfkx.dll/index.html#1953719669"; la dll (fvfkx.dll) se trouve sous C:\WINDOWS\system32.....
J'ai essayé de la trouver dans le registre, mais il n'y a aucune référence à celle-ci.
Voilà, si vous avez d'autres idées ...
Marsh Posté le 17-06-2004 à 21:41:03
Tu peux fixer ca:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {C18EDABC-4307-5DCC-0E67-AEA4B63EAE88} - C:\WINDOWS\system32\ipjf32.dll
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [ntlp32.exe] C:\WINDOWS\ntlp32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\RunOnce: [atlvx.exe] C:\WINDOWS\atlvx.exe
O4 - HKLM\..\RunOnce: [atluz32.exe] C:\WINDOWS\system32\atluz32.exe
O4 - HKLM\..\RunOnce: [ntex.exe] C:\WINDOWS\ntex.exe
O4 - HKLM\..\RunOnce: [netxk32.exe] C:\WINDOWS\netxk32.exe
O4 - HKLM\..\RunOnce: [sdkxd32.exe] C:\WINDOWS\system32\sdkxd32.exe
O4 - HKLM\..\RunOnce: [msrx32.exe] C:\WINDOWS\system32\msrx32.exe
O4 - HKLM\..\RunOnce: [iexu32.exe] C:\WINDOWS\system32\iexu32.exe
O4 - HKLM\..\RunOnce: [ntyz32.exe] C:\WINDOWS\system32\ntyz32.exe
O4 - HKLM\..\RunOnce: [appgg32.exe] C:\WINDOWS\system32\appgg32.exe
O4 - HKLM\..\RunOnce: [iejh32.exe] C:\WINDOWS\iejh32.exe
O4 - HKLM\..\RunOnce: [sdkxy32.exe] C:\WINDOWS\sdkxy32.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/down [...] mv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/17ff7d224edb6 [...] 601_fr.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
Supprimes ces fichiers:
C:\WINDOWS\system32\ipjf32.dll
PROMon.exe
Fait Ctrl+Alt+Suppr puis ferme ces processus:
C:\WINDOWS\atlvx.exe
C:\WINDOWS\system32\atluz32.exe
C:\WINDOWS\ntex.exe
C:\WINDOWS\netxk32.exe
C:\WINDOWS\system32\sdkxd32.exe
C:\WINDOWS\system32\msrx32.exe
C:\WINDOWS\system32\iexu32.exe
C:\WINDOWS\system32\ntyz32.exe
C:\WINDOWS\system32\appgg32.exe
C:\WINDOWS\iejh32.exe
C:\WINDOWS\sdkxy32.exe
Supprime ensuite manuellement tous ces fichiers.
Passe un coup de Stinger:
http://download.nai.com/products/m [...] tinger.exe
Redemarre et reposte un Hijack This.
Marsh Posté le 17-06-2004 à 21:42:02
Installe Spyware Guard:
http://www.majorgeeks.com/download [...] 45fa7be8f2
N'oublie pas de le mettre a jour.
Tiens moi au courant!
Marsh Posté le 17-06-2004 à 23:10:12
voilà...
Logfile of HijackThis v1.97.7
Scan saved at 23:01:52, on 17/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addve.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\PopUp Killer\PopUpKiller.EXE
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\program files\altnet\points manager\points manager.exe
C:\WINDOWS\ntlp32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Altnet\DOWNLO~1\asm.exe
C:\Documents and Settings\tony carlino\Mes documents\programme\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpkgp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vpkgp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vpkgp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpkgp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vpkgp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vpkgp.dll/sp.html#37049
O2 - BHO: (no name) - {0315E8BF-CB9F-4795-F013-258F5F05C8F7} - C:\WINDOWS\addak32.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Program Files\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\COMPAQ\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [ntlp32.exe] C:\WINDOWS\ntlp32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
Marsh Posté le 18-06-2004 à 08:42:39
re
Tu peux encore fixer ca:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpkgp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vpkgp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vpkgp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vpkgp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vpkgp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vpkgp.dll/sp.html#37049
O2 - BHO: (no name) - {0315E8BF-CB9F-4795-F013-258F5F05C8F7} - C:\WINDOWS\addak32.dll
O4 - HKLM\..\Run: [ntlp32.exe] C:\WINDOWS\ntlp32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
Au fait je vois que tu as Trojan Scanner, je te conseille plutot a² qui a ete developpe par le meme auteur, il existe en plus en version gratuite!:
http://www.emsisoft.net/fr/software/download/
Supprime ce fichier:
C:\WINDOWS\ntlp32.exe
Et ce dossier:
C:\WINDOWS\System32\P2P Networking
Ouvre le poste de travail, Outils/Options des dossiers, Onglet affichage.Au milieu il y a Fichiers et dossiers cachés. Coche Afficher les fichiers et dossiers cachés. Fais appliquer.
Et avec la fonction "recherche" essaye de trouver cette dll puis supprime la:
vpkgp.dll
Supprime egalement celle ci:
C:\WINDOWS\addak32.dll
Installe SPyware Guard (c gratuit):
http://www.majorgeeks.com/download [...] 45fa7be8f2
N'oublie pas de le mettre a jour.
Avec Ctrl+Alt+Suppr ferme ce processus:
C:\WINDOWS\addve.exe
Repasse un coup de Stinger:
http://download.nai.com/products/m [...] tinger.exe
redemarre et reposte un Hijack This.
Tiens moi au courant!
Marsh Posté le 14-06-2004 à 22:13:07
Bonjour,
Chaque fois que je me connecte sur Internet, ma page d'accueil se change automatiquement, voici l'adresse de la page qui revient automatiquement "res://uudyj.dll/index.html#37049", il parait que c'est un virus "gentil" mais je ne sais pas comment l'enlever.
J'ai un fichier uudyj.dll dans windows/system32 mais chaque fois que je le supprime, il revient.
J'ai déjà utilisé Norton, Spybot et CWShredder, je ne sais plus quoi faire.... MERCI