Page pirate au démarrage de wanadoo

Question

Help ! (suis sous XP EI6)

Une page se lance sous Explorer à la place de ma page wanadoo habituelle :
http://t.swapx.cc/h.php?aid=20009

impossible de la virer et de naviguer sur le site de wanadoo
Quand je modifie la page de démarrage par défaut dans OUtil/Option, il revient toujours cette adresse :

http://win-eto.com/hp.htm?id=31631

qui me rebalance sur http://t.swapx.cc/h.php?aid=20009
sus-citée, ce qui ouvre des popup etc etc

J'ai installé Spybot qui a viré des trucs mais le problème persiste.

Du coup j'ai installé Firefox qui est GENIAL et me permet de vous parler !
Merci de m'aider à virer ce truc de mon IE6 et de me conseiller un bon antivirus gratuit car mon Norton est exppiré et le réabo est cher...

A+

Afficher la suite

ka'sa · Answer

bonjour
essaye aussi AD-AWARE, un tres complememt de spybot
http://www.commentcamarche.net/download/telecharger-83-ad-aware-free-antivirus
et pour l'antivirus, sache qu'il en existe de nombreux GRATUITS et aussi performants que NAV sinon plus, par exemple
AVG
https://www.commentcamarche.net/telecharger/securite/4275-avg-antivirus-free/
AVAST!
http://www.commentcamarche.net/download/telecharger-151-avast
pour ne citer qu'eux...
kasa

internet : interconnection between computers network
ordinateur : ordre donné par dieu...

the guest · Answer

Merci mais le problème c'est que ad-aware ne s'installe pas sur ma bécane ! J'arrive toujours à rentrer le .exe mais il ne se passe jamais rien quand je le lance !???

Si quelqu'un a une idée ?!

Merci

Utilisateur anonyme · Answer

slt

c'est peut être ton ou tes trojans sur ta page de démarrage qui empêche l'exécution
fait un log hijackthis et copie/colle le résultat ici
http://www.zebulon.fr/articles/HijackThis.php

tu le télécharges/tu enregistres dans un dossier/tu clic sur "save-log"/tu le copies/colles et ensuite tu le mets ici re-copié/collé

(screenshot)<---
http://www.ordi-netfr.org/tutorialhijackthis.html

@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

elise · Answer

si comme beaucoup d'entres nous tu as installé msn Plus et smileys central, vire tout, ils sont la source de tes problèmes, ensuite purge ton fichier restore, démarrer, paramètre, panneau de confituration, onglet système, performances, système de fichiers, dépannage, et coche sur désactiver ma restauration sytème, fais un nouveau scan et recommence la même opération en réactivant ta restauration système. quant à la réinscription à la définition de virus, ce n'est pas compliqué, désinstalle norton et réinstalle le on ne sait jamais, parfois la définition de virus repart pour un an, sinon fais toi passer un norton plus récent, t'as bien un pot qui a ça

nico54 · Answer

salut, pour ad-aware, tente de le télécharger a partir du site de balltrap34http://www.florensac-chasse-trap.com/pour ton probleme, as tu vidé ton cache internet?

the guest · Answer

Ok ok merci du conseil !!

Voilà le résultat je vois mon truc mais suis pas sûr de pouvoir supprimer ?

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31631
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31631
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31631
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\perso\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31631
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe
O4 - HKLM\..\Run: [kpot] C:\WINDOWS\kpot.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [WebRebates0] C:\Program Files\Web_Rebates\WebRebates0.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O20 - AppInit_DLLs: 9yjm7bg5wx.dll

Je fais quoi maintenant ??
Merci encore !

Utilisateur anonyme · Answer

mais! avant de fixer, colle-moi stp le début du log, c'est incomplet toute la partie C:/ et la partie Système aussi.  Windows XX - Internet Explorer : XXXfixeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31631R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\perso\LOCALS~1\Temp\sp.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLL O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe<--trojan 180solutionsO4 - HKLM\..\Run: [kpot] C:\WINDOWS\kpot.exeO4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe <--TrojanDownloader Win32.Stubby.cO9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll <--adware SidefindO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm<--adwareO15 - Trusted Zone: *.greg-search.comO16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cabO16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cabO18 - Filter: text/html - (no CLSID) - (no file)O18 - Filter: text/plain - (no CLSID) - (no file)O20 - AppInit_DLLs: 9yjm7bg5wx.dll  hum! très très hijacké tout ça,..  négligences!!URGENT :  télécharger Ad-aware.SE/ Spybot.s&d 1.3http://telechargement.zebulon.fr/36-Ad-Aware-SE-Personal-edition-1.03.htmlhttp://telechargement.zebulon.fr/79-Spybot---Search-&-Destroy.html * les tutos ad-aware : http://www.cestfacile.org/adaware6ut.htm **http://41822.aceboard.net/41822-232-6216-0-Tutorial-Aware-Personal.htm* les tutos spybot 1.3 :  http://tomcoyote.com/SPYBOT/indexfr.php**http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.phpa² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)http://www.emsisoft.net/fr/software/download/ pour le log :*fixe les lignes trouvées dans l'hijack*ferme l'hijack*reboot ton ordi*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT) *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Je coche tout ce que tu a reporté là ???? tout ça ???voilà le log entier Logfile of HijackThis v1.98.2Scan saved at 15:17:02, on 12/11/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\GSICON.EXEC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeC:\program files\180solutions\sais.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Documents and Settings\perso\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLLO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXEO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeO4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exeO4 - HKLM\..\Run: [kpot] C:\WINDOWS\kpot.exeO4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exeO4 - HKLM\..\Run: [WebRebates0] C:\Program Files\Web_Rebates\WebRebates0.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dllO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO15 - Trusted Zone: *.greg-search.comO16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cabO16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D0A3498A-88E4-405A-AFC9-17DB57A0AD30}: NameServer = 80.10.246.130 80.10.246.3O18 - Filter: text/html - (no CLSID) - (no file)O18 - Filter: text/plain - (no CLSID) - (no file)O20 - AppInit_DLLs: 9yjm7bg5wx.dllMerci encore de ton aide précieuse !

Utilisateur anonyme · Answer

absolument! tu fixes tout ce que je t'ai indiqué, ton ordi est ultra infecté!

tu rajoutes ça
C:\program files\180solutions\sais.exe sais.exe
tu passes en mode sans échec/recherche et supprime l'exe en gras

1) tu télécharges les 2 logiciels que je t'ai donné (les 2!!!!) je vois dans ton nouveau log, que tu ne t'en ais pas servi!!
ensuite tu refais un NOUVEAU log hijack et tu compares (tout seul comme un grand) avec ce que je t'ai indiqué comme lignes si tu vois encore C:\program files\180solutions\sais.exe (spyware) tu le supprimes en mode sans échec (important)

pour les lignes 04 : tu dois faire :
1) ctrl+alt+supp (arrêt des processus dans le gestionnaire des tâches)
2) tu repasses sur l'hijack et tu fixes

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

The guest · Answer

Spybot dernière version a tourné et a viré des trucs...
Le Ad-aware et Zone Alarm, impossible à télécharger : le .exe arrive bien sur le bureau, je le lance et il ne se passe rien.

Je vais faire ce que tu m'as dit mais "le mode sans echec et virer le .exe en gras" je comprends pas ce que je dois faire... désolé je suis nul apparemment !! LoL !!

Merci encore de ta gentillesse... je reste suspendu à tes conseils !!
...

(ps : j'aime bcp naviguer sur Firefox après cette histoire je laisse définitivement tomber IE)

Utilisateur anonyme · Answer

zut! mon message s'est perdu avec la maintenance du site bouhh!oinn!

C:\program files\180solutions\sais.exe
tu passes en mode sans échec/recherche et supprime l'exe en gras -->sais.exe

mode sans échec
* appuyer sur la touche F8 au démarrage de votre ordinateur.
(il faut donner de rapides impulsions sur la touche) se déplacer avec les flêches et choisir ce mode
ou
Ajouter le Mode sans échec au menu de démarrage - Windows 2000/XP :
http://www.pcastuces.com/pratique/windows/xp/sansechec.htm

fait les fix on verra ensuite, je sais pas pkoi ZA et Ad-aware ne s'installe pas ?? mauvaises manips?

@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Voilà j'ai fixé rebooté etc etc...

Spybot me retrouve toujours et encore un truc www.coolsearch.com
et Hijak m'affiche à nouveau une première ligne R0 avec la page win-eto.com qui me pose tant de problème...

Je crois en revanche que 180search s'est désinstallé grâce à Spybot...

Je fais quoi pour que ce R0 win-eto.com revienne pas tout le temps !!??

Merci encore et encore ;-)

Utilisateur anonyme · Answer

refait un nouveau log on va regarder encore
tu arrives à installer ad-aware et ZA ou toujours pas?
@+

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Non pour ZA et Ad-aware... le .exe vient sur le bureau, soit je fais ouvrir à la fin du téléchargement soit je le lance depuis le bureau, il ne s'installe jamais ...Voilà le log : je nettoie et lance EI, j'ai bien ma page wanaddo, je vérifie le log et la RO en premeir s'est remise ainsi que la ligne 20Je relance, même pb qu'avant.Et spybot repère toujours www.coolsearch.comvoilà le log après avoir lancé EI une fois sainement :Logfile of HijackThis v1.98.2Scan saved at 20:10:22, on 12/11/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\GSICON.EXEC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Documents and Settings\perso\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLLO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXEO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D0A3498A-88E4-405A-AFC9-17DB57A0AD30}: NameServer = 80.10.246.130 80.10.246.3O20 - AppInit_DLLs: 9yjm7bg5wx.dll????? soluce ??? on y est presque non ?Merci encore !

Utilisateur anonyme · Answer

fixagement : ^_^
quand on compare ton log de départ, il y a du progrès quand même

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLL

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O20 - AppInit_DLLs: 9yjm7bg5wx.dll <-- faut vraiment la virer celle-là, comme dit le tuto : * le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs....*

essaye de dl Kério c'est le "p'tit frère de ZA" il est très bien aussi
http://www.inoculer.com/firewall5.php3

allège ton démarrage un peu (04) ne laisse que ton antivirus, ton FAI, les programmes windoze, ton (futûr) firewall, bref! tous les programmes extérieurs Windows décoche-les dans : démarrer>exécuter : tu tapes msconfig - tu valides par OK>onglet Démarrage : décoche

@+ te faut un firewall vite vite + 1 tour chez windows update - installe le SP2 non? (y'a un firewall intégré... mieux que rien ou active le firewall par défaut d'XP) de toute façon si tu navigues avec FFox t'as 99.99% de moins de possibilités de hackage et c'est oufff!

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Le problème c'est que je vire ça et ça revient dès que j'ai lancé EI une fois !!

alléger mon démarrage ??? oui mais bon je suis bourrin, j'ai pô tout compris... et il faut quand même que je vire le truc qui revient toujours...
bon je fixe les lignes que tu viens de me signaler, je nettoie tout et je relance... on verra le log...

merci encore et encore...

Utilisateur anonyme · Answer

à tenter les fix en mode sans échec, au moins t'es sûr qu'aucun programme n'interférera (tu fermes tout les programmes pour les fix!/déconnection et tout et tout!)

je te rappelle comment on fait (au cas z'ou)
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

wait and see

The Guest · Answer

en mode sans echec ou pas, avec la désactivation de la restauration système ou désactivé, le problème reste le mêm, je vire tout et il y a au moins la ligne 020 qui se remet dans le log !

dur dur !!

Utilisateur anonyme · Answer

en un mot comme en 100 : p***n!!     :-)))essaye de faire un CWS (anti-coolwebsearch)http://www.intermute.com/spysubtract/cwshredder_download.htmlsinon --->  Lourdes ^_^

balltrap34 · Answer

salut
si rien ni fait
essai ceci pour voir si dll cacher relance tout ou un services
Voir les services

Télécharger ce petit programme qui nous donnera la liste
des services :

http://pageperso.aol.fr/balltrap34/page%20virus.htm

Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
--------
dllfix
http://pageperso.aol.fr/balltrap34/page%20virus.htm

-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
---------------------------------------------------------------

la chasse et le balltrap ma vrai passion
voir site perso dans profil

The Guest · Answer

En effet, je nettoie, je nettoie et ma page win-eto se lance toujours...de même que la ligne O20 - AppInit_DLLs: 9yjm7bg5wx.dll dans le log...voilà le résultat de ton petit prog--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==-- --==***@@@ ORIGINAL BY FREEATLAST           @@@***==--  12/11/2004 22:56 System Info: Microsoft Windows XP [version 5.1.2600]C: "" (ACFD:CB80) - FS:NTFS clusters:4kTotal: 80 015 491 072 [75G] - Free: 72 208 515 072 [67G]   *IE version and Service packs:              6.0.2800.1106  C:\Program Files\Internet Explorer\Iexplore.exe *Notepad version :                 5.1.2600.0  C:\WINDOWS\system32
otepad.exe                5.1.2600.0  C:\WINDOWS
otepad.exe *Media Player version :                10.0.0.3646  C:\Program Files\Windows Media Player\wmplayer.exe! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings    MinorVersion	REG_SZ	;SP1;  Locked or 'Suspect' file(s) found... These may be other files that Dllfix doesnt target.   Scanning for main Hijacker:   REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"AppInit_DLLs"="9yjm7bg5wx.dll""DeviceNotSelectedTimeout"="15""GDIProcessHandleQuota"=dword:00002710"Spooler"="yes""swapdisk"="""TransmissionRetryTimeout"="90""USERProcessHandleQuota"=dword:00002710REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]@=""[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}]@=""REGEDIT4[HKEY_CLASSES_ROOT\PROTOCOLS\Filter][HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]@="AP Class Install Handler filter""CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]@="AP Deflate Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]@="AP GZIP Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]@="AP lzdhtml encoding/decoding Filter""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/webviewhtml]@="WebView MIME Filter""CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows    AppInit_Dlls	REG_SZ	9yjm7bg5wx.dll*Security settings for 'Windows' key:  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIREEffective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:Read          	BUILTIN\UtilisateursFull access   	BUILTIN\AdministrateursFull access   	AUTORITE NT\SYSTEMAlors c'est grave docteur ??

Utilisateur anonyme · Answer

AppInit_Dlls REG_SZ 9yjm7bg5wx.dll  <--ahh! la voilà pomponetteattend balltrap, je sais pas comment ça fonctionne ce dll-fixtu vas l'avoir! bonne chance@+ coucou spécial balltrap bon week-end @+ je ferme le bouzingue, je me colle devant la télé - zou! mode : végétal avancé ^_^

balltrap34 · Answer

hou la feignante lol je plaisante repose toi bienquand a The Gueston vas essayer comme ceci pas sur que cela marche-Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"      Sous menu "1- Enter dll name..."      Tu rentres le nom : C:\WINDOWS\System32	a dll   Touche entrée.      -Il va la chercher et la supprimer après un redémarrage.     -Passer CoolWebSchredder : ->Fix.      -Passer AdAware et supprimer tout ce qu'il trouvera. (Passer CWS et AdAware impérativement, même si ça a été fait avant!)voici les lien des 2 log  a telecharger avantCWShredderhttp://www.spywareinfo.com/~merijn/downloads.htmlil faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next-----------------------------http://www.ordi-netfr.org/tutorialadaware.htmlla chasse et le balltrap ma vrai passionvoir site perso dans profil

The Guest · Answer

Merci balltrap... vais tenter le coup... mais je te rappelle que je ne peux pas télécharger ad aware !! j'espère que c'est lié au truc que j'ai en ce moment... je télécharge le lien sur n'importe quel site, je le lance et il ne se passe rien ! idem pour ZAquand tu dis : C:\WINDOWS\System32	a dll ça veut dire ma dll ?   comme ça : AppInit_Dlls REG_SZ 9yjm7bg5wx.dllau fait c'est quoi une dll ! (le gros nul que je suis à choppé la chtouille et le sais même pô !)bon je tente de télécharger CoolWebSchredder, un de plus à ma liste après spybot, spysustract, a2, hijackthis etc !!Merci

balltrap34 · Answer

a la place de ta dll tu met ceci 9yjm7bg5wx.dll pour adaware tente de le telecharger sur mon site    (ici)               http://pageperso.aol.fr/balltrap34/page%20virus.htmla chasse et le balltrap ma vrai passionvoir site perso dans profil

balltrap34 · Answer

ne  tinquiete pas c est bien moi qui est mis le n°25 je ne me suis pas apercu que je n etait plus reconnue sur le forumla chasse et le balltrap ma vrai passionvoir site perso dans profil

The Guest · Answer

voilà le rapport de dllFixCWSDLL/Searchx Appinit Fix By Shadowwar Version  3.01  060504 Please Do not mirror Without Permission! I can be contacted at spywaresubmit at aol.com 12/11/2004 23:56 Backing up Registry Hive L'opération s'est bien déroulée Deleting Windows Key L'opération s'est bien déroulée Adding Test Windows Key L'opération s'est bien déroulée Restoring temp Values Key L'opération s'est bien déroulée Deleting Bad Appinit Value L'opération s'est bien déroulée  Backup of Modified Hiv  Deleting test Windows key L'opération s'est bien déroulée Deleting Filter text Running from C:\Program Files\dllfix Scanning for Locked File If this repeats 4 times than you may have another Locked File not related to About:blank Hijack Scanning For main hijacker. Processing File Manually C:\WINDOWS\system32\9yjm7bg5wx.dll Md5 Check of C:\WINDOWS\system32\9yjm7bg5wx.dll Md5 tested As DEF94A6A9E43058F8CBAAE10D60174C1 File was found but md5 didnt match MD5 was: DEF94A6A9E43058F8CBAAE10D60174C1 Resetting file attributes Processing ACL of: <\?\C:\WINDOWS\system32\9yjm7bg5wx.dll>SetACL finished successfully.File was zipped for submission to Shadowwar File is located at C:\Program Files\dllfix\submit.zip please Email a copy to spywaresubmit at aol.com Please include a link to your post. File is still in original location now unlocked. It is now ok to proceed with Rest of Cleanup.   Adding Back Windows Key L'opération s'est bien déroulée Restoring Registry Hive J'ai passé CWshreder pui Spybot qui m'a encore dégoté un www.coolsearch.com ou un truc comme ça, puis Spysubtract ok.Maintenant je vais lancer EI pour voir le résultat ! Suspens !

The Guest · Answer

ben mon Win-Eto qui me balance sur la page merdique est toujours là !!!j'en peux plus.....

balltrap34 · Answer

tu as redemarrer et essayer de changer ta page d acceuilet a tu essayer de telecharger adaware sur mon sitela chasse et le balltrap ma vrai passionvoir site perso dans profil

The Guest · Answer

OUi oui, j'ai fait tout ça....Sauf que pour ad aware c'est toujours pareil, pour ZA ausi, je clique sur le lien pour le dl et il se passe toujours la même chose et ça m'était jamais arrivé avant... l'icone se télécharge sur le bureau mais quand je lance, plus rien... pas de setup, pas d'installation... rien rien rien !Quant à ma page merdique, elle est toujours là....sniff...

bernie61 · Answer

saluttu fais Démarrer/exécuter/ et tapes REGEDITtu exporte l'ensemble de la BDR puis tu recherches la clef citée ci dessous et dans panneau droite tu effaces ce qui est en rapport avec win-etoPossible Browser Hijack attempt Object Recognized!Type : RegDataData : "http://win-eto.com/hp.htm?id=9"Category : MalwareComment : Possible Browser Hijack attemptRootkey : HKEY_USERSObject : S-1-5-21-117609710-602609370-839522115-1003\Software\Microsoft\Internet Explorer\MainValue : Start PageData : "http://win-eto.com/hp.htm?id=9"Trusted zone presumably compromised : greg-search.coma+

The Guest · Answer

Heu ok merci, je sens qu'on le tient mais c'est quoi la BDR et ça veut dire quoi exporter ? où ? comment ???après j'efface tout ce que tu as écrit en dessous ??sorry !

bernie61 · Answer

salutBDR  pour moi banque/base de registresdonc tu faisDémarrer/exécuter/ et tapper REGEDITlà en haut tu vois Files ou Fichier,tu cliq et vois Exporter (c'est à dire sauver) et tu donnes un nom grenre REGdatepuis tu va jusqu'à la clefS-1-5-21-117609710-602609370-839522115-1003\Software\Microsoft\Internetqui doit se trouver en HKey Userà cette clef regarde dans un des répertoires si tu vois qqc commewin-etoet tu effaces (au dessus Edition/supprimer)sinon tu fais Edition/rechercher  "win-eto" et tu effaces tout ce qu'il trouve comme clefvoilàa+

the guest · Answer

ok ok merci mille fois, je tente le coup !on va voir à quel point je suis naze !A+

the guest · Answer

bon je sais pas si j'ai tout compris, ça marche pas.j'ai copié le registre , sans trop comprendre ce que je faisais en fait.J'ai laissé le répertoire de côté et j'ai travaillé sur la base...H key user j'ai trouvé... une ligne qui commençait par S-1 15 21 etc aussi puis j'ai ouvert différent répertoire jusqu'à IExplorer.Là j'ai fait "rechercher" valeur clés etc "win-eto" et à droite il est apparu plein de truc... j'ai effacé les lignes avec win-eto seulement pas le reste...J'ai redémarré ma bécane et lancé IE, toujours pas de résultat :-(Suis nâvré !A+

nikita · Answer

bonjour, je tins a vous die que je suis une nulle en informatik,et j'ai besoin  d'aide pour enlever http://t.swapx.cc/h.php?aid=31403 ce truk qui ne me laisse pas demarrer explorer je sais utiliser des consigne et un mode d'emploi aidez please elle me rend folle cette page

nikkita · Answer

salut bernie61  comment je dois configurer et bloquer spysweeper

nikkita · Answer

desolee baloo mais pk tu ma ecris ça je ne comprends pas ???

Page pirate au démarrage de wanadoo

38 réponses

Votre réponse

Newsletters