[TUTORIEL] HijackThis !

Téléchargement direct dernière version: http://80.237.140.193/downloads/hijackthis_199.zip
 

Ce topic a reçu le label R+ dans le méta-topic des topics uniques.  
 
 
--------------------------------------------------------------------------------------------------------------
MISE A JOUR mercredi 10 août 2005
--------------------------------------------------------------------------------------------------------------
 
Structure du topic:

 
--------------------------------------------------------------------------------------------------------------
 
 
1. Pour commencer quelques instructions concernant l'utilisation de ce post:
 

• Le but n'est pas que chacun vienne poster ici son log. Ce tutoriel vise à expliquer comment utiliser efficacement HijackThis.
• Soyez prudent avec l'utilisation de ce log, il peut créer des dommages sévères à votre système. Soyez sûrs de ce que vous faites, et dans le doute postez une question !
• Si vous ne trouvez pas de solution à votre problème ici ou dans les liens plus bas, créez votre topic dans la sous-cat Windows ou Logiciels. L'un ou l'autre spécialiste y répondra à tous les coups !
• Si il apparaît dans votre log la moindre trace de logiciel de P2P personne n'y répondra et votre topic sera rapidement fermé ! Ces logiciels sont d'une part hors charte ici, et de plus de nombreux problèmes de spywares y sont liés. Vous êtes prévenus !
• IMPORTANT: Commencez par analyser votre log Hijack avec l'analyseur en ligne, qui vous permettra de résoudre par vous-même 95% des problèmes.
• Une fois le log téléchargé dézippez-le dans un dossier rien que pour lui ! Hijack fait un backup des données qu'il analyse à chaque fix.

Voilà, bonne lecture !
 
 
--------------------------------------------------------------------------------------------------------------
 
 
2. Liens intéressants:
 

• En cas de fausse manoeuvre voilà deux solutions sur HFR: Plus d'explorateur sous XP suite à HijackThis ! et Plus de connexion - Perte des DNS suite à l'emploi de HijackThis
• Il existe un évaluateur de log performant sur le site de HijackThis, mangez-en ! Et si vous hésitez sur l'un ou l'autre processus qui vous paraît suspect consultez SysInfo.org et TaskList Programs.
• Un premier tutoriel sur Assiste.fr et un autre très bon sur Zebulon.fr

 
--------------------------------------------------------------------------------------------------------------
 
 
3. Le tutoriel proprement dit:
 
Voilà, je vais tenter une explication plus ou moins claire sur l’utilisation de HijackThis, dont la dernière version peut être trouvée ici
 
Pour commencer, faites attention avec ce programme. En effet, il touche à la base de registre et à d’autres parties de Windows qui sont vitales donc renseignez-vous avant de supprimer un truc à l’arrache car ça risquerait de ne plus marcher !
 
Avant de lancer HijackThis, fermez tous les programmes actifs, en particulier Internet Explorer et n'oubliez pas de tuer tous les processus qui ne servent à rien dans le gestionnaire des tâches.
 
Une fois le programme lancé, cliquez sur le bouton de scanne en bas à gauche et une liste de trucs devrait apparaître comme sur la capture suivante (ici sous Windows 98).
 

 
La méthode la plus simple consiste maintenant à passer votre log dans l'analyseur en ligne. Il vous dira quelles lignes sont bonnes, suspectes ou mauvaises. C'est ce que je vous conseille de faire dans un premier temps.  
 
Si vous avez des doutes sur certaines lignes, regardez plus bas, absolument tout y est expliqué.
 
Si vous avez certains problèmes après effacement d'une ou plusieurs lignes (comme dans ce topic par exemple), sachez que Hijack fait un backup de tout avec de supprimer les clés que vous lui avez demandé. Vous pouvez faire une restauration des clés enregistrées auparavant (bouton config, puis backups).
 
 
--------------------------------------------------------------------------------------------------------------
 
 
4. Description détaillée du log :
 
 
Chaque ligne est identifiée par une lettre et un chiffre, voici les définitions:

 
 
Explications ligne par ligne :
 
 

• R0, R1, R2, R3 - Page de démarrage et de recherche de Internet Explorer

A quoi ca ressemble:

Que faire:
Si vous reconnaissez l'adresse comme étant votre page de démarrage ou celle de votre moteur de recherche, pas de problème! Sinon, cochez la case et "FIX IT". Pour la section R3, supprimez toujours à moins que cela ne mentionne un programme que vous reconnaîssiez, comme COPERNIC...
 
 

• F0, F1 - Lancement automatique de programmes au démarrage de Windows depuis des fichiers *.INI

A quoi ça ressemble:

Que faire:
Les entrées F0 sont toujours mauvaises, donc FIX IT!!. En F1, vous trouverez généralement de vieux programmes qui sont "sains", vous devriez donc chercher des informations (Google...) pour vérifier si le fichier est à garder où à conserver.
 
 

• N1, N2, N3, N4 - Pages de recherche et de démarrage Netscape/Mozilla

A quoi ça ressemble:

Que faire:
De manière générale, les pages de démarrage de Mozilla et Netscape sont saines. Il est très rare qu'elles soient hijackées, il n'y a en effet que lop.com (en anglais) qui hijacke Ces navigateurs. Là encore, si vous voyez quelque chose qui ne vous est pas familier, FIX IT!!!  
 
 

• O1 - Hostsfile redirections (redirection de hosts)

A quoi ça ressemble:

Que faire:
Ce code vous redirigera tout droit vers l'adresse IP de gauche. Si cette adresse IP n'appartient à aucun site, vous serez redirigé vers un site non voulu à chaque fois que vous entrerez l'adresse. Vous pouvez toujours supprimer ces entrées à moins qu'elles ne soient laissées en connaissance... d'effets ! La dernière entrée agit parfois sous Windows 2000/XP par une infection de type Coolwebsearch (description complète, en anglais). FIX IT ou téléchargez CWShredder (en anglais), qui résoudra le problème automatiquement.
 
 

• O2 - Browser Helper Objects (Objets Aide Browser)

A quoi ça ressemble:

Que faire:
Si vous ne reconnaissez pas directement le nom d'un tel objet, allez voir TonyK's BHO & Toolbar List pour voir s'il est sain ou non. Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour faire une recherche dans la liste: 'X'=spyware et 'L'=sain.
 
 

• O3 - Barres d'outils Internet Explorer

A quoi ça ressemble:

Que faire:
Si vous ne reconaîssez pas directement le nom d'une barre d'outil, utilisez TonyK's BHO & Toolbar List pour voir s'il est sain ou non. Utilisez le "class ID" (CLSID, les nombres et lettres entre crochets) pour fair une recherche dans la liste: 'X'=spyware et 'L'=sain.
S'il n'apparaît pas dans la liste, que le nom semble être une chaîne de caractères "au hasard" et que le fichier se trouve dans le dossier "Application Data" (comme le dernier exemple ds la liste un peu plus haut), il s'agit peut être de lop.com (description en anglais). Donc FIX IT!!  
 
 

• O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List

A quoi ça ressemble:

Que faire:
Utilisez ici PacMan's Startup List pour voir si l'entrée est saine ou malsaine. Si l'entrée montre un programme demeurant dans un Startup Group (comme le dernier exemple), HijackThis ne peut pas le réparer directement: vous devrez utiliser le Gestionnaire des Tâches de Windows (TASKMGR.EXE) pour fermer le processus genant. Ce n'est qu'après cette opération que vous pourrez supprimer le spyware.
 
 

• O5 - Options Internet non visibles dans le panneau de configuration

A quoi ça ressemble:

Que faire:
A moins que l'administrateur n'ait volontairement caché l'icône, FIX IT!!  
 
 

• O6 - Acces aux Options Internet limitées par Administrateur

A quoi ça ressemble:

Que faire:
Si l'option "vérouiller la page de démarrage" de Spybot S&D n'est  pas activée, ou si l'administrateur n'est pas à l'origine de la modification, FIX IT!!!
 
 

• O7 - Accès à l'éditeur de registre refusé

A quoi ça ressemble:

Que faire:
Toujours supprimer cette entrée, sauf si l'administrateur est à l'origine de la modification.
 
 

• O8 - Menu contextuel IE (clique-droit) modifié

A quoi ça ressemble:

Que faire:
Si vous ne reconnaîssez le nom de l'item dans le menu (recherche Google au cas où), FIX IT!!  
 
 

• O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"

A quoi ça ressemble:

Que faire:
Si vous ne reconnaissez pas le bouton ou l'item du menu, FIX IT!!
 
 

• O10 - Winsock hijackers

A quoi ça ressemble:

Que faire:
Il est mieux dans ce cas d'utiliser LSPFix de Cexx.org, ou Spybot S&D.
Noter que tous le fichiers 'unknown' de la liste LSP ne seront pas supprimé par HijackThis, pour des raisons de sécurité. Un petit complément sur les O10 est dispo ici.
 
 

• O11 - Groupe supplémentaire dans les "options avancées" de IE

A quoi ça ressemble:

Que faire:
Le seul hijacker connu capable d'une telle action est CommonName. FIX IT !
 
 

• O12 - IE plugins

A quoi ça ressemble:

Que faire:
La plupart du temps, celles-ci sont saines. Il n'y que OnFlow qui ajoute un plugin non voulu (*.ofb).
 
 

• O13 - IE DefaultPrefix hijack

A quoi ça ressemble:

Que faire:
FIX IT! Ils sont TOUJOURS malsains.
 
 

• O14 - 'Reset Web Settings' hijack

A quoi ça ressemble:

Que faire:
Si l'URL n'est pas celle de votre FAI ou celle de votre ISP, FIX IT !
 
 

• O15 - Sites indésirables dans la "Zone de confiance"

A quoi ça ressemble:

Que faire:
La plupart du temp, AOL and Coolwebsearch s'insèrent silencieusement dans la zone de confiance. Si vous découvrez un site dans cette zone de confiance que vous n'avez pas vous-même ajouté, FIX IT!!!
 
 

• O16 - ActiveX Objects (alias Downloaded Program Files)

A quoi ça ressemble:

Que faire:
Si vous ne reconaîssez pas le nom de l'objet, ou de l'URL de laquelle cela a été téléchargé, FIX IT!!! Si l'URL contient de mots comme 'dialer', 'casino', 'free_plugin' etc, FIX IT tout de suite !  
 
 

• O17 - Lop.com domain hijacks

A quoi ça ressemble:

Que faire:
Si le domaine n'est pas celui de votre ISP ou celui de réseau de votre entreprise, FIX IT ! Idem pour les entrées de type 'SearchList'. Pour les entrées de type 'NameServer' (DNS servers), recherche des IP dans Google et vous serez tout de suite fixés ! Il doit s'agir par exemple des DNS de votre FAI.
 
 

• O18 - Extra protocols and protocol hijackers

A quoi ça ressemble:

Que faire:
Un faible nombre de hijackers sont capables de cela. Les plus connus sont 'cn' (CommonName), 'ayb' (Lop.com) et 'relatedlinks' (Huntbar), FIX IT ! Tout ce qui apparaît et n'est pas sûr d'être sain, FIX IT !
 
 

• O19 - User style sheet hijack

A quoi ça ressemble:

Que faire:
Dans le cas ou votre explorateur est fortement ralenti ou envahi par des popups, FIX IT. Cependant, dans la mesure où Coolwebsearch est le seul à faire ce type de hijack, il est mieux de réparer ce problème avec CWShredder pour les virer.
 
 

• O20 - Valeur de Registre AppInit_DLLs en démarrage automatique

A quoi ça ressemble:

Que faire:
Cette valeur de la base de Registre située dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows charge une DLL en mémoire lorsque l'utilisateur se loggue, après quoi elle y reste jusqu'au logoff. Très peu de programmes réguliers l'utilise (Norton CleanSweep emploie APITRAP.DLL), le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs. Dans le cas de DLL 'cachée' se chargeant à partir de cette valeur de Registre (visible seulement quand on utilise la fonction d'édition de donnée binaire de Regedit), le nom de la dll peut être précédé d'un caractère 'pipe' | pour la rendre visible dans le log.
 
 

• O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique

A quoi ça ressemble:

 
Que faire:
C'est une méthode de lancement au démarrage non documentée, normalement utilisée par peu de composants système de Windows. Les éléments listés dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad sont chargés par l'Explorateur au démarrage de Windows. HijackThis utilise une whitelist de plusieurs SSODL très courants, si bien que quand un élément est listé dans le log, il est inconnu et peut-être bien malicieux. A traiter avec une prudence extrême.
 
 

• O22 - Clé de Registre SharedTaskScheduler en démarrage automatique

A quoi ça ressemble:

Que faire:
C'est une méthode de lancement au démarrage non documentée pour Windows NT/2000/XP seulement, qui est très rarement utilise. Jusqu'à présent, seul CWS.Smartfinder l'emploie. A traiter avec prudence.
 
 

• O23 - Services NT

A quoi ça ressemble:

Que faire:
C'est la liste des services non-Microsoft. La liste devrait être identique à celle apparaissant dans Msconfig. De nombreux Trojans employent un service pour se réinstaller eux-mêmes.  Le nom et prénoms ont habituellement un nom pseudo-important, comme "service de sécurité de réseau", "service d'ouverture de poste de travail" ou "aide de Remote Procedure Call", mais le nom interne (entre parenthèses) est un charabia affeux, comme "O?'ŽrtñåȲ$Ó".  La deuxième partie de la ligne est le propriétaire du fichier, comme vu dans les propriétés de dossier.  Notez que fixer un O23 arrêtera seulement le service et le neutralisera. Le service doit être supprimé manuellement (Démarrer - Exécuter - services.msc) ou avec un autre outil.  Dans HijackThis (v.1.99.1 et suivantes), le bouton "Effacer un service NT" dans la section Outils/Divers peut être utilisé à cet effet.
 
Sources: Zebulon.fr, Spywareinfo.org et PC Astuces (merci à Nathan )
 
--------------------------------------------------------------------------------------------------------------
 
5. Un exemple de désinfection : (copyright Darxmurf )
 

 
Pour presque tous le monde, les choses recherchées se trouvent dans le démarrage de la machine, les BHO, les Hosts et les barres d'outils Internet explorer donc là :

• HKLM\..\Run : Fichiers qui démarrent quelle que soit la personne qui se logue
• HKCU\..\Run : Fichiers qui démarrent seulement pour l'utilisateur X (généralement celui qui scanne la machine)
• HKLM\..\RunServices : Programmes qui démarrent en premier au chargement de Windows, même si personne ne s'est encore logué. (Attention: sous Windows 2000 et XP il ne devrait rien avoir ici !!!)
• Startup et Global Startup
• Toolbar
• BHO (Browser Helper Object). Ces deux derniers sont souvents installés via des contrôles ActiveX.

Analyse et explication de la capture :
 
Dans les premières lignes (R0, R1) rien de méchant. Je viens de m'apercevoir que worldcom l'ancien provider avait changé certains paramètres Internet explorer avec leur CD de connexion, je vais donc les virer comme quoi les tutoriels ça sert
 
Ensuite on tombe sur un F1. Pour info, si vous avez une clé F0, SUPPRIMEZ-LA ! Les clés F1 sont en général des vieux softs comme les machins HP et souvent sous Windows 98 mais les F0 sont TOUJOURS POURRIES.
 
Pour info, si vous avec une clé O1 c'est pas vraiment normal, ça veut dire que vous passez par un autre serveur à chaque requête Internet explorer.
 
Les lignes suivantes (O2, O3) sont des "aides" (BHO) pour Internet Explorer et comme vous pouvez le constater ce sont des trucs connus, il y a SpyBot et Norton. En général on repère facilement les trucs pourris à leur nom. En cas de doute, une simple recherche sur google du fichier suffit à trouver une réponse !
En passant, les BHO ne doivent pas êtres nombreux !
 
La partie O3 c'est les barres d'outils et là aussi rien à déclarer (notre ami Norton se colle partout) et &radio est un truc standard de windows. Vous trouverez souvent la barre d'outils google, altavista ou Yahoo! Companion. Vous n'êtes pas censé non plus avoir 63 barres installées !
 
On continue avec le démarrage automatique, partie importante !
Ici, c'est pas compliqué, dès qu'un nom de fichier paraît louche on cherche sous google !
En général, par d'inquiétudes quand vous trouvez des trucs comme C:\Program Files\Fichiers communs\Symantec shared\ c'est de l'antivirus et les cochonneries se trouvent de toute façon quasiment toujours dans c:\windows\ ou c:\windows\system32\
MsnMsgr c'est MSN Messenger donc vous le trouverez une fois sur 2
LoadPowerProfile est toujours là lui aussi mais personne ne sait à quoi il sert ... AtiCwd32 est un truc qui est là quand vous avez une carte graphique ATI. Dans notre capture on remarque rien de particulier et on remarque surtout que Norton charge une chiée de trucs
 
Attention : Même si vous enlevez un fichier louche du démarrage de la base de registre, pensez aussi à supprimer du disque dur. La base de registre n'est qu'un liens vers le fichier en question.
 
La suite, on a une option d'exportation vers Excel dans le clique droit Internet explorer, et 2 boutons supplémentaires Internet explorer qui ne sont pas méchants.
 
Pour les 4 derniers, il suffit de regarder les adresses de références pour voir qu'il n'y a rien de grave car Microsoft, Macromedia et MSN sont connus et ok !
 
Par contre le dernier, une petite recherche s'impose, je ne sais pas ce que c'est et je tombe là dessus : http://www.winwise.com/article.aspx?idp=59 et comme la personne utilisant la machine joue avec ça il faut pas toucher .
 
Voilà on a terminé ! en final, on retient ceci:
1) En général les cochonneries ne se mettent pas dans les répertoires comme \fichiers communs\Symantec\
2) En cas de doute une simple recherche sur google et on trouve une réponse
3) Les BHO ne doivent pas êtres nombreux
4) Les HOST c'est mal
5) On vire tout ce qui est F0, O13, O14
6) Les clés dans le O17 doivent bien êtres analysés car il y a souvent de la cochonnerie
7) Une fois le travail fait avec HijackThis, on arrête de cliquer sur OUI à chaque fois qu'internet explorer pose une question ! et on arrête d'aller sur les sites de pétanque...
 
D'autres options sont disponibles dans ce programme mais rien de très folichon on peut rétablire la page d'entrée Internet explorer et c'est à peut près tout...
 
--------------------------------------------------------------------------------------------------------------
 
Voilà voilà !

Topic qui sera surement utile à beaucoup.

merci

ce serait bien d'etoffer ce topic au fur et a mesure... ce genre d'info c'est interessant a prendre

C'est clair, il y a vraiment beaucoup à dire pour être tout à fait complet car c'est preque du cas par cas. On essaiera de faire ça .

ouaip... mais il faudrait une capture d'une machine vraiment pourrie histoire de voir un peu ... qui se dévoue pour niquer sa machine ?

Bien joué Darxmurf.  
 
Mais il manque la liste des process qui tournent. Moi sous win2k avant la liste des clés y a toute la liste des processus qui tournent sur la machine. Et c'est pour ça que sur le topic Spyware je t'avais donné des liens vers des sites qui listent tout ces programmes et dit si ils sont vitaux pour windows ou si c'est des drivers de telle ou telle marque, ou des applications connues ou alors des virus.

yup c'est juste ! mais le scann a été fait sous windows 98 alors vala ... je corrige ça ce soir !

j'avais bien lu que c'était sous win98

les amis moi jai le xp home jai essayé le hijackis el la fenetre ci dessus s'affiche alors je vais faire koi je suis parti dans mon registre et jai modifier la home page et la page par defaut dans HKCU et meme dans HKLM et jai tjr le prob avec IE je fais qoui alors et merci

hello,
 
Tu ne dois pas aller dans le registre, il faut cocher les cases que tu veux virer dans HijackThis et cliquer sur FIX CHECKED après...
 
Copie colle le résultat du scann ici

ok je vais essayer ce ke tu ma dis

mais comment je fais copier coller jarrive pas je fais un clik droit mais s'afficche pas loption copier et coller

tu as sauvé le log dans un fichier?

oui il est la :Logfile of HijackThis v1.97.7
Scan saved at 14:58:14, on 23/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ntil32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\d3ch32.exe
C:\Program Files\Spyware Doctor\spydoctor.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\freescan\freescan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\H.M\Local Settings\Temporary Internet Files\Content.IE5\2NP3QYQC\HijackThis[1].exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qvlfs.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qvlfs.dll/index.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qvlfs.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qvlfs.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qvlfs.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qvlfs.dll/sp.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
O2 - BHO: (no name) - {F3E960E4-F8DE-2718-D510-335C5E2FEB9F} - C:\WINDOWS\d3ym32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [d3ch32.exe] C:\WINDOWS\system32\d3ch32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "H.M"
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "H.M"
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
 

ca commence de R1 CE QUI M'AFFICHE HIJACKIS OK

hou la y a des trucs louches...
 
on y va moi je fermerait les processus :  
d3ch32.exe
ntil32.exe
 
Après tu virre ça :
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qvlfs.dll/sp.html#44272  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qvlfs.dll/index.html#44272  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qvlfs.dll/index.html#44272  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qvlfs.dll/sp.html#44272  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qvlfs.dll/index.html#44272  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qvlfs.dll/sp.html#44272
 
O2 - BHO: (no name) - {F3E960E4-F8DE-2718-D510-335C5E2FEB9F} - C:\WINDOWS\d3ym32.dll  
O4 - HKLM\..\Run: [d3ch32.exe] C:\WINDOWS\system32\d3ch32.exe  
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
 
ça devrait aller mieux !

y a plein de merdes sur ta machine

c fais  alors je ferais qoui apres

mais mon norton a un prob je sais pas c qoui.dans la protection automatik c marqué: desactivée meme si je l'active et dans l'analyse email c marqué erreur je sais pas qoui faire la je suis dans la merde aide moi

une fois que t'as coché tu clique sur FIX CHECKED et tu reboot mon petit

et dis moi jai essayé des spyware removal que jai telechargé, apres je les desinstalle quand je scane oui ou non ils sont encore la dans ma ma chine je les desinstalle ou non

j'ai pas compris la dernière phrase... mais pour les spyware, utilise SpyBot et AdAware...

jai rebouter mais le meme prob la page de demarrage de IE s'est:res://mrmhs.dll/index.html#44272 je sais pas pourkoi

refais un coup de hijack et mets le ici encore

avant jai telechargé noadaware et spyware doctor mnt je les desinstale de la machine ou non

ok

Logfile of HijackThis v1.97.7
Scan saved at 15:46:44, on 23/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\ntil32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\d3ch32.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Program Files\SpyKiller\spykiller.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\H.M\Local Settings\Temporary Internet Files\Content.IE5\OL0QFL45\HijackThis[1].exe
CE KI M'AFFICHE HIJACHTHIS C CA :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mrmhs.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mrmhs.dll/index.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mrmhs.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mrmhs.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mrmhs.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mrmhs.dll/sp.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
O2 - BHO: (no name) - {F3E960E4-F8DE-2718-D510-335C5E2FEB9F} - C:\WINDOWS\d3ym32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [d3ch32.exe] C:\WINDOWS\system32\d3ch32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11

t'as bien coché et supprimé tout avant ???
 
dans le gestionnaire des tâches femre tout ça :  
ntil32.exe  
d3ch32.exe  
wwDisp.exe  
spykiller.exe  
 
dans HijackThis virre tout ça :  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mrmhs.dll/sp.html#44272  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mrmhs.dll/index.html#44272  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mrmhs.dll/index.html#44272  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mrmhs.dll/sp.html#44272  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mrmhs.dll/index.html#44272  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mrmhs.dll/sp.html#44272  
 
O2 - BHO: (no name) - {F3E960E4-F8DE-2718-D510-335C5E2FEB9F} - C:\WINDOWS\d3ym32.dll  
 
O4 - HKLM\..\Run: [d3ch32.exe] C:\WINDOWS\system32\d3ch32.exe  
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

c fais je reboute mnt?

oui

c fais mais kon jai rebouter un message s'est afficher en me disant ton ip adresse est attaquer par des spyware telecharge blablablab spybloc jai telecherger spybloc pour scanner te mnt je fais qoui alors

jai fais tout jai virer ce que tu ma dis et mnt je fais qoui

tu nous gonfles !!!
 
d'abord tu parles français et tu arrêtes de cliquer n'importe où c'est tout. Point barre et si tu n'es pas content tu vas voir ailleurs ok? (cf l'autre topic!!!)  
 
c'est pas l'armée du salut pour les gamins ici. Tu as mis "occupation/métier : informatique" ben va prendre des cours !!! en plus profites en pour apprendre la politesse et l'humilité si tu sais ce que ça veut dire!!!

 
edit : désolé de m'emporter c'est extrèmement rare sur ce forum mais là tu pousses le bouchon un peu. Bon on reprend. Le dernier message qui te dit de télécharger tel ou tel prog c'est de la fausse pub. donc ne jamais dire oui. ensuite tu fais le nettoyage qu'on te dit avec Darxmuf et tu refais Hijack qu'on vérifie.

 
bah là tu peux reprendre à zéro ... c'est le genre de trucs comme spybloc qui merde le tout  
 
1) Tu scanne ta machine avec SpyBot mias à jour
2) Tu scanne ta machine avec AdAware mis à jour
3) Tu reboot et tu nous donne le résultat de HijackThis