Page d'accueil Internet piratée

Guillaume -  
 Guillaume -
Bonjour à tous!
Bon, ma page d'accueil internet est "easy search", c'est sympa, mais j'en veux plus. J'ai utilisé hijack this, et voila ce qu'il en est ressorti...
Quelqu'un peut-il m'aider svp???
Merci d'avance!

Logfile of HijackThis v1.97.7
Scan saved at 15:33:46, on 31/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\drivers\Icon.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\vmmon32.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Documents and Settings\Guillaume\Application Data\dssh.exe
C:\WINDOWS\System32\??rvices.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\rsvp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jhqspfollit.com/tl6HvnwNQWdkatXLSP/bLIyILybqGFr_vR1Ev9ieSvusX9kmaZuiNZTQlx7fs2BB.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2711A12E-5CEB-9F7E-762F-2B8787603577} - C:\DOCUME~1\GUILLA~1\APPLIC~1\NAMEDE~1\boneway.exe (file missing)
O2 - BHO: (no name) - {69DA4E2C-954B-7BEB-D202-61557CF7731C} - C:\WINDOWS\System32\pcr.dll (file missing)
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\RECYCLER\bin376.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [VMMON32] C:\WINDOWS\System32\vmmon32.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [delcab] C:\drivers\deltreew.exe C:\cabs
O4 - HKLM\..\Run: [Elseencballcake] C:\Documents and Settings\All Users\Application Data\about byte else enc\Defy Start.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Initial Page] C:\RECYCLER\install.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Sra] C:\Documents and Settings\Guillaume\Application Data\dssh.exe
O4 - HKCU\..\Run: [Pxnfpd] C:\WINDOWS\System32\??rvices.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .AVI: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

8 réponses

  1. Utilisateur anonyme
     
    salut,

    ne cherche pas d'où ça vient :
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    vous lui trouvez quoi de si attrayant à ce programme?
    essaye de le désinstaller et si tu veux vraiment l'utiliser n'oublie pas de cocher la case "ne pas accepter les sponsors"

    ensuite c'est pas la bonne version la 1.97.

    http://www.zebulon.fr/articles/HijackThis.php

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  2. Guillaume
     
    Alors j'ai viré le messenger plus, mais cette page est toujours présente. J'ai trouvé son origine dans mon disque dur mais windows refuse de supprimer le fichier...
    Que faire!?
    0
  3. Utilisateur anonyme
     
    REFAIT (bis) un log hijack (post.1)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jhqspfollit.com/tl6HvnwNQWdkatXLSP/bLIyILybqGFr_vR1Ev9ieSvusX9kmaZuiNZTQlx7fs2BB.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =xxxttp://213.159.117.134/index.php <--t'es en direct live avec le hijacker CoolWebsearch... ça se vire pas comme ça cette bêteuh ^_^

    et le nombre de programmes "à la noix" que tu as en 04.... passons
    [VMMON32] C:\WINDOWS\System32\vmmon32.exe
    [SysTime] C:\WINDOWS\System32\systime.exe
    [delcab] C:\drivers\deltreew.exe C:\cabs
    [Elseencballcake]
    [Initial Page]
    [Sra] C:\Documents and Settings\Guillaume\Application
    [Pxnfpd]
    etc... tu n'es pas très curieux...

    1) télécharge Ad-aware.SE/ Spybot.s&d 1.3 (les 2 please)
    (avec un peu de chance la dernière version anti-CWS sera incluse)
    http://telechargement.zebulon.fr/36-Ad-Aware-SE-Personal-edition-1.03.html
    http://telechargement.zebulon.fr/79-Spybot---Search-&-Destroy.html

    * les tutos ad-aware : http://www.cestfacile.org/adaware6ut.htm
    **http://41822.aceboard.net/41822-232-6216-0-Tutorial-Aware-Personal.htm
    * les tutos spybot 1.3 : http://tomcoyote.com/SPYBOT/indexfr.php
    **http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

    @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. Guillaume
       
      Pourquoi je suis pas très curieux?
      Bon, en tout cas voici mon nouveau scan:


      Logfile of HijackThis v1.98.2
      Scan saved at 21:24:05, on 31/10/2004
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
      C:\WINDOWS\system32\slserv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\WINDOWS\system32\drivers\Icon.exe
      C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Real\RealPlayer\RealPlay.exe
      C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
      C:\Program Files\AVPersonal\AVGNT.EXE
      C:\WINDOWS\System32\vmmon32.exe
      C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Guillaume\Application Data\dssh.exe
      C:\WINDOWS\System32\??rvices.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Windows Media Player\wmplayer.exe
      C:\Documents and Settings\Guillaume\Bureau\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jhqspfollit.com/tl6HvnwNQWdkatXLSP/bLIyILybqGFr_vR1Ev9ieSvusX9kmaZuiNZTQlx7fs2BB.html
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {2711A12E-5CEB-9F7E-762F-2B8787603577} - C:\DOCUME~1\GUILLA~1\APPLIC~1\NAMEDE~1\boneway.exe (file missing)
      O2 - BHO: (no name) - {69DA4E2C-954B-7BEB-D202-61557CF7731C} - C:\WINDOWS\System32\pcr.dll (file missing)
      O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\RECYCLER\bin376.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
      O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
      O4 - HKLM\..\Run: [VMMON32] C:\WINDOWS\System32\vmmon32.exe
      O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
      O4 - HKLM\..\Run: [delcab] C:\drivers\deltreew.exe C:\cabs
      O4 - HKLM\..\Run: [Elseencballcake] C:\Documents and Settings\All Users\Application Data\about byte else enc\Defy Start.exe
      O4 - HKLM\..\Run: [Initial Page] C:\RECYCLER\install.exe
      O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
      O4 - HKCU\..\Run: [Sra] C:\Documents and Settings\Guillaume\Application Data\dssh.exe
      O4 - HKCU\..\Run: [Pxnfpd] C:\WINDOWS\System32\??rvices.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\Translator.lnk (file missing)
      O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\Translator.lnk (file missing)
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
      O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
      O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O12 - Plugin for .AVI: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
      O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
      O15 - Trusted Zone: *.skoobidoo.com
      O15 - Trusted Zone: *.windupdates.com
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
      O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

      Voilaaaaaaaaaa!
      0
      1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > Guillaume
         
        salut
        a tu essayer se que je t ai mis au n°4

        la chasse et le balltrap ma vrai passion
        voir site perso dans profil
        0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    cela me fait penser a loop.com
    http://www.jhqspfollit.com/tl6HvnwNQWdkatXLSP/bLIyILybqGFr_vR1Ev9ieSvusX9kmaZuiNZTQlx7fs2BB.html

    http://lop.com/help.html#uninstall
    ntsearch
    pour telecharger ceci
    http://lop.com/help.html#uninstall
    si tu as spyboot
    vas dans panneau de configuration/option internet/site sensibles
    tu click sur site et tu cherche dans la liste loop.com
    tu l enleve tu telecharge l uniinstal et tu remet loop.com dans site sensible

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    qu'est ce que tu attends pour télécharger ad-aware se et spybot 1.3?
    tu veux de l'aide mais tu ne te donnes aucune peine ; tu attends que ça passe? à ta guise

    voilààààà <--vouais!super

    fait analyser automatiquement ton log sur cette page (copié/collé)
    http://www.hijackthis.de
    vérifie sur Google les lignes indiquées "méchante" "inconnue" (très conseillé la vérif.)
    regarde ici comment on procède (screenshot)
    http://www.ordi-netfr.org/tutorialhijackthis.html

    modus operandi
    :
    *fixe les lignes trouvées dans l'hijack
    *ferme l'hijack
    *reboot ton ordi
    *nettoie le cache internet (cookies et temps) vide ta corbeille
    *effectue un nettoyage de disque (démarrer/program./outils système/..)

    bonne nuit ^_^

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    houla dolly se fache
    lol*lol

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  8. Utilisateur anonyme
     
    hello Balltrap, oui! ça m'énèrve un peu comme tu l'as remarqué ^_^

    Internet Explorer\Main,Start Page_bak =xxxttp://213.159.117.134/<-- c'est CoolWebSearch , les dernières mises à jour d'ad-aware et sybot incluaient qq nouvelles variantes de CWS

    on peut quand même pas tout faire à sa place

    Bonne fin de nuit et bon dodo @+

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  9. Guillaume
     
    dolly.dagger, tu t'es énervé, mais... Grâce à toi j'ai réussi! J'ai enfin une nouvelle page toute neuve! Donc à l'attention de tous les utilisateurs du forum: DOLLY.DAGGER EST UNE STAR!
    En plus du coup mon pc va grave plus vite.
    Ps: Malgrè tout, tu peux parfois avoir à faire à de vrais débutants (comme moi) pour qui tes conseils sont un véritable charabia, alors que c'est extrêmement clair pour toi (et la majorité des utilisateurs du forum). Ne l'oublie pas, et tu éviteras l'infarctus dans 6 mois.
    Merci encore, et sûrement à bientôt!
    0