Page pirate au démarrage de wanadoo

Question

Help ! (suis sous XP EI6)

Une page se lance sous Explorer à la place de ma page wanadoo habituelle :
http://t.swapx.cc/h.php?aid=20009

impossible de la virer et de naviguer sur le site de wanadoo
Quand je modifie la page de démarrage par défaut dans OUtil/Option, il revient toujours cette adresse :

http://win-eto.com/hp.htm?id=31631

qui me rebalance sur http://t.swapx.cc/h.php?aid=20009
sus-citée, ce qui ouvre des popup etc etc

J'ai installé Spybot qui a viré des trucs mais le problème persiste.

Du coup j'ai installé Firefox qui est GENIAL et me permet de vous parler !
Merci de m'aider à virer ce truc de mon IE6 et de me conseiller un bon antivirus gratuit car mon Norton est exppiré et le réabo est cher...

A+

Afficher la suite

ka'sa · Answer

bonjour
essaye aussi AD-AWARE, un tres complememt de spybot
http://www.commentcamarche.net/download/telecharger-83-ad-aware-free-antivirus
et pour l'antivirus, sache qu'il en existe de nombreux GRATUITS et aussi performants que NAV sinon plus, par exemple
AVG
https://www.commentcamarche.net/telecharger/securite/4275-avg-antivirus-free/
AVAST!
http://www.commentcamarche.net/download/telecharger-151-avast
pour ne citer qu'eux...
kasa

internet : interconnection between computers network
ordinateur : ordre donné par dieu...

the guest · Answer

Merci mais le problème c'est que ad-aware ne s'installe pas sur ma bécane ! J'arrive toujours à rentrer le .exe mais il ne se passe jamais rien quand je le lance !???Si quelqu'un a une idée ?!Merci

Utilisateur anonyme · Answer

sltc'est peut être ton ou tes trojans sur ta page de démarrage qui empêche l'exécutionfait un log hijackthis et copie/colle le résultat icihttp://www.zebulon.fr/articles/HijackThis.phptu le télécharges/tu enregistres dans un dossier/tu clic sur "save-log"/tu le copies/colles et ensuite tu le mets ici re-copié/collé (screenshot)<---http://www.ordi-netfr.org/tutorialhijackthis.html@+*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

elise · Answer

si comme beaucoup d'entres nous tu as installé msn Plus et smileys central, vire tout, ils sont la source de tes problèmes, ensuite purge ton fichier restore, démarrer, paramètre, panneau de confituration, onglet système, performances, système de fichiers, dépannage, et coche sur désactiver ma restauration sytème, fais un nouveau scan et recommence la même opération en réactivant ta restauration système. quant à la réinscription à la définition de virus, ce n'est pas compliqué, désinstalle norton et réinstalle le on ne sait jamais, parfois la définition de virus repart pour un an, sinon fais toi passer un norton plus récent, t'as bien un pot qui a ça

nico54 · Answer

salut, pour ad-aware, tente de le télécharger a partir du site de balltrap34http://www.florensac-chasse-trap.com/pour ton probleme, as tu vidé ton cache internet?

the guest · Answer

Ok ok merci du conseil !!Voilà le résultat  je vois mon truc mais suis pas sûr de pouvoir supprimer ?R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31631R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\perso\LOCALS~1\Temp\sp.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLLO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXEO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeO4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exeO4 - HKLM\..\Run: [kpot] C:\WINDOWS\kpot.exeO4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exeO4 - HKLM\..\Run: [WebRebates0] C:\Program Files\Web_Rebates\WebRebates0.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dllO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO15 - Trusted Zone: *.greg-search.comO16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cabO16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO18 - Filter: text/html - (no CLSID) - (no file)O18 - Filter: text/plain - (no CLSID) - (no file)O20 - AppInit_DLLs: 9yjm7bg5wx.dllJe fais quoi maintenant ??Merci encore !

Utilisateur anonyme · Answer

mais! avant de fixer, colle-moi stp le début du log, c'est incomplet toute la partie C:/ et la partie Système aussi.  Windows XX - Internet Explorer : XXXfixeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31631R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\perso\LOCALS~1\Temp\sp.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31631R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLL O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe<--trojan 180solutionsO4 - HKLM\..\Run: [kpot] C:\WINDOWS\kpot.exeO4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe <--TrojanDownloader Win32.Stubby.cO9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll <--adware SidefindO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm<--adwareO15 - Trusted Zone: *.greg-search.comO16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cabO16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cabO18 - Filter: text/html - (no CLSID) - (no file)O18 - Filter: text/plain - (no CLSID) - (no file)O20 - AppInit_DLLs: 9yjm7bg5wx.dll  hum! très très hijacké tout ça,..  négligences!!URGENT :  télécharger Ad-aware.SE/ Spybot.s&d 1.3http://telechargement.zebulon.fr/36-Ad-Aware-SE-Personal-edition-1.03.htmlhttp://telechargement.zebulon.fr/79-Spybot---Search-&-Destroy.html * les tutos ad-aware : http://www.cestfacile.org/adaware6ut.htm **http://41822.aceboard.net/41822-232-6216-0-Tutorial-Aware-Personal.htm* les tutos spybot 1.3 :  http://tomcoyote.com/SPYBOT/indexfr.php**http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.phpa² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)http://www.emsisoft.net/fr/software/download/ pour le log :*fixe les lignes trouvées dans l'hijack*ferme l'hijack*reboot ton ordi*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT) *Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Je coche tout ce que tu a reporté là ???? tout ça ???voilà le log entier Logfile of HijackThis v1.98.2Scan saved at 15:17:02, on 12/11/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\GSICON.EXEC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeC:\program files\180solutions\sais.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Documents and Settings\perso\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLLO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXEO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeO4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exeO4 - HKLM\..\Run: [kpot] C:\WINDOWS\kpot.exeO4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exeO4 - HKLM\..\Run: [WebRebates0] C:\Program Files\Web_Rebates\WebRebates0.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dllO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htmO15 - Trusted Zone: *.greg-search.comO16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cabO16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cabO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D0A3498A-88E4-405A-AFC9-17DB57A0AD30}: NameServer = 80.10.246.130 80.10.246.3O18 - Filter: text/html - (no CLSID) - (no file)O18 - Filter: text/plain - (no CLSID) - (no file)O20 - AppInit_DLLs: 9yjm7bg5wx.dllMerci encore de ton aide précieuse !

Utilisateur anonyme · Answer

absolument! tu fixes tout ce que je t'ai indiqué, ton ordi est ultra infecté!tu rajoutes çaC:\program files\180solutions\sais.exe sais.exe tu passes en mode sans échec/recherche et supprime l'exe en gras 1) tu télécharges les 2 logiciels que je t'ai donné (les 2!!!!) je vois dans ton nouveau log, que tu ne t'en ais pas servi!!ensuite tu refais un NOUVEAU log hijack et tu compares (tout seul comme un grand) avec ce que je t'ai indiqué comme lignes  si tu vois encore C:\program files\180solutions\sais.exe (spyware) tu le supprimes en mode sans échec (important)pour les lignes 04 : tu dois faire :1) ctrl+alt+supp (arrêt des processus dans le gestionnaire des tâches)2) tu repasses sur l'hijack et tu fixes*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

The guest · Answer

Spybot dernière version a tourné et a viré des trucs... Le Ad-aware et Zone Alarm, impossible à télécharger : le .exe arrive bien sur le bureau, je le lance et il ne se passe rien.Je vais faire ce que tu m'as dit mais "le mode sans echec et virer le .exe en gras" je comprends pas ce que je dois faire... désolé je suis nul apparemment !! LoL !!Merci encore de ta gentillesse... je reste suspendu à tes conseils !!...(ps : j'aime bcp naviguer sur Firefox après cette histoire je laisse définitivement tomber IE)

Utilisateur anonyme · Answer

zut! mon message s'est perdu avec la maintenance du site bouhh!oinn!C:\program files\180solutions\sais.exe tu passes en mode sans échec/recherche et supprime l'exe en gras -->sais.exemode sans échec* appuyer sur la touche F8 au démarrage de votre ordinateur.(il faut donner de rapides impulsions sur la touche) se déplacer avec les flêches et choisir ce modeouAjouter le Mode sans échec au menu de démarrage - Windows 2000/XP :http://www.pcastuces.com/pratique/windows/xp/sansechec.htmfait les fix on verra ensuite, je sais pas pkoi ZA et Ad-aware ne s'installe pas ?? mauvaises manips?@+*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Voilà j'ai fixé rebooté etc etc...Spybot me retrouve toujours et encore un truc www.coolsearch.comet Hijak m'affiche à nouveau une première ligne R0 avec la page win-eto.com qui me pose tant de problème...Je crois en revanche que 180search s'est désinstallé grâce à Spybot...Je fais quoi pour que ce R0 win-eto.com revienne pas tout le temps !!??Merci encore et encore ;-)

Utilisateur anonyme · Answer

refait un nouveau log on va regarder encoretu arrives à installer ad-aware et ZA ou toujours pas?@+*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Non pour ZA et Ad-aware... le .exe vient sur le bureau, soit je fais ouvrir à la fin du téléchargement soit je le lance depuis le bureau, il ne s'installe jamais ...Voilà le log : je nettoie et lance EI, j'ai bien ma page wanaddo, je vérifie le log et la RO en premeir s'est remise ainsi que la ligne 20Je relance, même pb qu'avant.Et spybot repère toujours www.coolsearch.comvoilà le log après avoir lancé EI une fois sainement :Logfile of HijackThis v1.98.2Scan saved at 20:10:22, on 12/11/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\GSICON.EXEC:\Program Files\Microsoft Hardware\Mouse\point32.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Documents and Settings\perso\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLLO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXEO4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USBO4 - HKLM\..\Run: [POINTER] point32.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/306324adae9a768eb219/netzip/RdxIE601_fr.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D0A3498A-88E4-405A-AFC9-17DB57A0AD30}: NameServer = 80.10.246.130 80.10.246.3O20 - AppInit_DLLs: 9yjm7bg5wx.dll????? soluce ??? on y est presque non ?Merci encore !

Utilisateur anonyme · Answer

fixagement : ^_^quand on compare ton log de départ, il y a du progrès quand mêmeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31631O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CTIVPE~1.DLL O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O20 - AppInit_DLLs: 9yjm7bg5wx.dll <-- faut vraiment la virer celle-là, comme dit le tuto : * le plus souvent elle est utilisée par des chevaux de Troie ou des pirates de navigateurs agressifs....*essaye de dl Kério c'est le "p'tit frère de ZA" il est très bien aussihttp://www.inoculer.com/firewall5.php3allège ton démarrage un peu (04) ne laisse que ton antivirus, ton FAI, les programmes windoze, ton (futûr) firewall, bref! tous les programmes extérieurs Windows décoche-les dans : démarrer>exécuter : tu tapes msconfig - tu valides par OK>onglet Démarrage : décoche@+ te faut un firewall vite vite + 1 tour chez windows update - installe le SP2 non? (y'a un firewall intégré... mieux que rien ou active le firewall par défaut d'XP) de toute façon si tu navigues avec FFox t'as 99.99% de moins de possibilités de hackage et c'est oufff!*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

The Guest · Answer

Le problème c'est que je vire ça et ça revient dès que j'ai lancé EI une fois !!alléger mon démarrage ??? oui mais bon je suis bourrin, j'ai pô tout compris... et il faut quand même que je vire le truc qui revient toujours...bon je fixe les lignes que tu viens de me signaler, je nettoie tout et je relance... on verra le log...merci encore et encore...

Utilisateur anonyme · Answer

à tenter les fix en mode sans échec, au moins t'es sûr qu'aucun programme n'interférera (tu fermes tout les programmes pour les fix!/déconnection et tout et tout!)je te rappelle comment on fait (au cas z'ou)*fixe les lignes trouvées dans l'hijack*ferme l'hijack*reboot ton ordi*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT) wait and see

The Guest · Answer

en mode sans echec ou pas, avec la désactivation de la restauration système ou désactivé, le problème reste le mêm, je vire tout et il y a au moins la ligne 020 qui se remet dans le log !dur dur !!

Utilisateur anonyme · Answer

en un mot comme en 100 : p***n!!     :-)))essaye de faire un CWS (anti-coolwebsearch)http://www.intermute.com/spysubtract/cwshredder_download.htmlsinon --->  Lourdes ^_^

balltrap34 · Answer

salutsi rien ni faitessai ceci pour voir si dll cacher relance tout ou un servicesVoir les servicesTélécharger ce petit programme qui nous donnera la liste des services :   http://pageperso.aol.fr/balltrap34/page%20virus.htmLe poser sur le bureau. Le lancer. Copier/coller le fichier texte qui apparaît.--------dllfix                    http://pageperso.aol.fr/balltrap34/page%20virus.htm -Pose-le sur le bureau. -Double-clique. -Décompresse-le sur le bureau. -Double-clique "Start.bat" et choisis l'option 1 pour le rapport. -Une fois la recherche terminée, un fichier txt doit apparaître sous le nom "Output.txt" et sera sauvegardé dans le dossier. -Copie/colle le contenu de "Output.txt" dans ta réponse.---------------------------------------------------------------la chasse et le balltrap ma vrai passionvoir site perso dans profil

The Guest · Answer

En effet, je nettoie, je nettoie et ma page win-eto se lance toujours...de même que la ligne O20 - AppInit_DLLs: 9yjm7bg5wx.dll dans le log...voilà le résultat de ton petit prog--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==-- --==***@@@ ORIGINAL BY FREEATLAST           @@@***==--  12/11/2004 22:56 System Info: Microsoft Windows XP [version 5.1.2600]C: "" (ACFD:CB80) - FS:NTFS clusters:4kTotal: 80 015 491 072 [75G] - Free: 72 208 515 072 [67G]   *IE version and Service packs:              6.0.2800.1106  C:\Program Files\Internet Explorer\Iexplore.exe *Notepad version :                 5.1.2600.0  C:\WINDOWS\system32
otepad.exe                5.1.2600.0  C:\WINDOWS
otepad.exe *Media Player version :                10.0.0.3646  C:\Program Files\Windows Media Player\wmplayer.exe! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings    MinorVersion	REG_SZ	;SP1;  Locked or 'Suspect' file(s) found... These may be other files that Dllfix doesnt target.   Scanning for main Hijacker:   REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"AppInit_DLLs"="9yjm7bg5wx.dll""DeviceNotSelectedTimeout"="15""GDIProcessHandleQuota"=dword:00002710"Spooler"="yes""swapdisk"="""TransmissionRetryTimeout"="90""USERProcessHandleQuota"=dword:00002710REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]@=""[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}]@=""REGEDIT4[HKEY_CLASSES_ROOT\PROTOCOLS\Filter][HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]@="AP Class Install Handler filter""CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]@="AP Deflate Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]@="AP GZIP Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]@="AP lzdhtml encoding/decoding Filter""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/webviewhtml]@="WebView MIME Filter""CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows    AppInit_Dlls	REG_SZ	9yjm7bg5wx.dll*Security settings for 'Windows' key:  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:(ID-NI) ALLOW  Read        	BUILTIN\Utilisateurs(ID-IO) ALLOW  Read        	BUILTIN\Utilisateurs(ID-NI) ALLOW  Full access 	BUILTIN\Administrateurs(ID-IO) ALLOW  Full access 	BUILTIN\Administrateurs(ID-NI) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	AUTORITE NT\SYSTEM(ID-IO) ALLOW  Full access 	CREATEUR PROPRIETAIREEffective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:Read          	BUILTIN\UtilisateursFull access   	BUILTIN\AdministrateursFull access   	AUTORITE NT\SYSTEMAlors c'est grave docteur ??

Utilisateur anonyme · Answer

AppInit_Dlls REG_SZ 9yjm7bg5wx.dll  <--ahh! la voilà pomponetteattend balltrap, je sais pas comment ça fonctionne ce dll-fixtu vas l'avoir! bonne chance@+ coucou spécial balltrap bon week-end @+ je ferme le bouzingue, je me colle devant la télé - zou! mode : végétal avancé ^_^

balltrap34 · Answer

hou la feignante lol je plaisante repose toi bien
quand a The Guest
on vas essayer comme ceci pas sur que cela marche
-Relance "dllfix.exe" du début. Cette fois-ci option "2 : run fix"

Sous menu "1- Enter dll name..."

Tu rentres le nom : C:\WINDOWS\System32\ta dll

Touche entrée.

-Il va la chercher et la supprimer après un redémarrage.

-Passer CoolWebSchredder : ->Fix.

-Passer AdAware et supprimer tout ce qu'il trouvera.
(Passer CWS et AdAware impérativement, même si ça a été fait avant!)
voici les lien des 2 log a telecharger avant
CWShredder
http://www.spywareinfo.com/~merijn/downloads.html

il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
-----------------------------
http://www.ordi-netfr.org/tutorialadaware.html

la chasse et le balltrap ma vrai passion
voir site perso dans profil

The Guest · Answer

Merci balltrap... vais tenter le coup... mais je te rappelle que je ne peux pas télécharger ad aware !! j'espère que c'est lié au truc que j'ai en ce moment... je télécharge le lien sur n'importe quel site, je le lance et il ne se passe rien ! idem pour ZA

quand tu dis : C:\WINDOWS\System32\ta dll
ça veut dire ma dll ? comme ça : AppInit_Dlls REG_SZ 9yjm7bg5wx.dll

au fait c'est quoi une dll ! (le gros nul que je suis à choppé la chtouille et le sais même pô !)

bon je tente de télécharger CoolWebSchredder, un de plus à ma liste après spybot, spysustract, a2, hijackthis etc !!

Merci

balltrap34 · Answer

a la place de ta dll tu met ceci 9yjm7bg5wx.dll pour adaware tente de le telecharger sur mon site    (ici)               http://pageperso.aol.fr/balltrap34/page%20virus.htmla chasse et le balltrap ma vrai passionvoir site perso dans profil

balltrap34 · Answer

ne tinquiete pas c est bien moi qui est mis le n°25 je ne me suis pas apercu que je n etait plus reconnue sur le forum

la chasse et le balltrap ma vrai passion
voir site perso dans profil

The Guest · Answer

voilà le rapport de dllFix

CWSDLL/Searchx Appinit Fix By Shadowwar
Version 3.01 060504
Please Do not mirror Without Permission!
I can be contacted at spywaresubmit at aol.com
12/11/2004
23:56

Backing up Registry Hive

L'opération s'est bien déroulée

Deleting Windows Key

L'opération s'est bien déroulée

Adding Test Windows Key

L'opération s'est bien déroulée

Restoring temp Values Key

L'opération s'est bien déroulée

Deleting Bad Appinit Value

L'opération s'est bien déroulée

Backup of Modified Hiv

Deleting test Windows key

L'opération s'est bien déroulée

Deleting Filter text
Running from C:\Program Files\dllfix
Scanning for Locked File
If this repeats 4 times than you may have another
Locked File not related to About:blank Hijack
Scanning For main hijacker.
Processing File Manually
C:\WINDOWS\system32\9yjm7bg5wx.dll
Md5 Check of C:\WINDOWS\system32\9yjm7bg5wx.dll

Md5 tested As DEF94A6A9E43058F8CBAAE10D60174C1
File was found but md5 didnt match
MD5 was: DEF94A6A9E43058F8CBAAE10D60174C1
Resetting file attributes
Processing ACL of: <\\?\C:\WINDOWS\system32\9yjm7bg5wx.dll>

SetACL finished successfully.
File was zipped for submission to Shadowwar
File is located at C:\Program Files\dllfix\submit.zip
please Email a copy to spywaresubmit at aol.com
Please include a link to your post.
File is still in original location now unlocked.
It is now ok to proceed with Rest of Cleanup.

Adding Back Windows Key

L'opération s'est bien déroulée

Restoring Registry Hive

J'ai passé CWshreder pui Spybot qui m'a encore dégoté un www.coolsearch.com ou un truc comme ça, puis Spysubtract ok.

Maintenant je vais lancer EI pour voir le résultat ! Suspens !

The Guest · Answer

ben mon Win-Eto qui me balance sur la page merdique est toujours là !!!j'en peux plus.....

balltrap34 · Answer

tu as redemarrer et essayer de changer ta page d acceuilet a tu essayer de telecharger adaware sur mon sitela chasse et le balltrap ma vrai passionvoir site perso dans profil

The Guest · Answer

OUi oui, j'ai fait tout ça....

Sauf que pour ad aware c'est toujours pareil, pour ZA ausi, je clique sur le lien pour le dl et il se passe toujours la même chose et ça m'était jamais arrivé avant... l'icone se télécharge sur le bureau mais quand je lance, plus rien... pas de setup, pas d'installation... rien rien rien !

Quant à ma page merdique, elle est toujours là....

sniff...

bernie61 · Answer

salut
tu fais Démarrer/exécuter/ et tapes REGEDIT
tu exporte l'ensemble de la BDR puis tu recherches la clef citée ci dessous et dans panneau droite tu effaces ce qui est en rapport avec win-eto

Possible Browser Hijack attempt Object Recognized!
Type : RegData
Data : "http://win-eto.com/hp.htm?id=9"
Category : Malware
Comment : Possible Browser Hijack attempt
Rootkey : HKEY_USERS
Object : S-1-5-21-117609710-602609370-839522115-1003\Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "http://win-eto.com/hp.htm?id=9"
Trusted zone presumably compromised : greg-search.com

a+

The Guest · Answer

Heu ok merci, je sens qu'on le tient mais c'est quoi la BDR et ça veut dire quoi exporter ? où ? comment ???après j'efface tout ce que tu as écrit en dessous ??sorry !

bernie61 · Answer

salut
BDR pour moi banque/base de registres
donc tu fais
Démarrer/exécuter/ et tapper REGEDIT
là en haut tu vois Files ou Fichier,
tu cliq et vois Exporter (c'est à dire sauver) et tu donnes un nom grenre REGdate
puis tu va jusqu'à la clef
S-1-5-21-117609710-602609370-839522115-1003\Software\Microsoft\Internet
qui doit se trouver en HKey User

à cette clef regarde dans un des répertoires si tu vois qqc comme
win-eto

et tu effaces (au dessus Edition/supprimer)

sinon tu fais Edition/rechercher "win-eto" et tu effaces tout ce qu'il trouve comme clef

voilà
a+

the guest · Answer

ok ok merci mille fois, je tente le coup !on va voir à quel point je suis naze !A+

the guest · Answer

bon je sais pas si j'ai tout compris, ça marche pas.
j'ai copié le registre , sans trop comprendre ce que je faisais en fait.

J'ai laissé le répertoire de côté et j'ai travaillé sur la base...
H key user j'ai trouvé... une ligne qui commençait par S-1 15 21 etc aussi puis j'ai ouvert différent répertoire jusqu'à IExplorer.
Là j'ai fait "rechercher" valeur clés etc "win-eto" et à droite il est apparu plein de truc... j'ai effacé les lignes avec win-eto seulement pas le reste...
J'ai redémarré ma bécane et lancé IE, toujours pas de résultat :-(

Suis nâvré !

A+

nikita · Answer

bonjour,
je tins a vous die que je suis une nulle en informatik,et j'ai besoin d'aide pour enlever http://t.swapx.cc/h.php?aid=31403 ce truk qui ne me laisse pas demarrer explorer

je sais utiliser des consigne et un mode d'emploi aidez please elle me rend folle cette page

nikkita · Answer

salut bernie61  comment je dois configurer et bloquer spysweeper

nikkita · Answer

desolee baloo mais pk tu ma ecris ça je ne comprends pas ???

Page pirate au démarrage de wanadoo

38 réponses

Votre réponse

Newsletters