Sujet Précédent Sujet Suivant

Mon hijack

Fermé
Jean - 18 janv. 2005 à 21:09
 Jean - 21 janv. 2005 à 19:50
Bonsoir à tous

Moi aussi je suis une victime d'" about:blank" au démarrageavec en plus une fenetre publicitaire sur les spyware!!!!
Spybot et adaware n'ont rien pu faire.....
merci de me conseiller!!!
mon hijack en dessous. Il y a quatre ou cinq lignes sur about blank. Est-ce que ce sont celles-ci qu'il faut effacer ?

Logfile of HijackThis v1.99.0
Scan saved at 19:32:27, on 18/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Sagem Photo Easy\AzAgent.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\OPTIMAL\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\OPTIMAL\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\OPTIMAL\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\spybot\SDHelper.dll
O2 - BHO: (no name) - {82EFA04E-5329-4764-9D73-9E92AF9585D5} - C:\WINDOWS\system32\caod.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [AzAgent] "C:\Program Files\Sagem Photo Easy\AzAgent.exe"
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C4CED7-1295-48FB-B463-B708EB1C93BE}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1654FBC-FEFA-47BA-B702-8751A825AFDF}: NameServer = 192.168.2.245
O18 - Filter: text/html - {6CF074E5-A768-40BC-9950-CC65F0374060} - C:\WINDOWS\system32\caod.dll
O18 - Filter: text/plain - {6CF074E5-A768-40BC-9950-CC65F0374060} - C:\WINDOWS\system32\caod.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\system32\wbem\wmiapsrv.exe
A voir également:

7 réponses

Réponse 1 / 7
Jérémy
18 janv. 2005 à 23:23
Salut Jean

Installe Mozilla à la place de Internet Explorer... tu fais une recherche google tu vas sur le site tu telecharge et tu installes... ya vraiment aucun probleme et en plus cest gratuit.... Tu pourras à nouveau ouvrir toutes tes pages internet etout etout....
a+++
0
Réponse 2 / 7
Richard1 Messages postés 905 Date d'inscription lundi 4 octobre 2004 Statut Membre Dernière intervention 24 juillet 2008 190
19 janv. 2005 à 05:28
Bonjour Jean,

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\OPTIMAL\LOCALS~1\Temp\sp.dll/sp.html = supprime ce fichier avec HijackThis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\OPTIMAL\LOCALS~1\Temp\sp.dll/sp.html = supprime

Reviens ensuite avec tes commentaires après avoir redémarrer.

Cordialement

Richard1 (Montréal, Canada)
0
Jean
19 janv. 2005 à 10:57
Je te remercie beaucoup Richard de m'avoir répondu.Vive le Quebec!!

J'ai donc supprimé lesdeux lignes indiquées, c'est à dire que je les ai cochées et appuyé sur " fix checked". Après je n'ai eu que du blanc sur Hijack....J'ai supposé que l'opération était faite et j'ai redemarré, mais le problème persiste ( about blank) et en faisant un nouvel Hijackthis j'ai constaté que les lignes y étaient toujours

Qu'en penses-tu ?

En lisant les messages j'ai vu que certains conseillaient de procéder avant à une déconnection de la restauration du système. (xp)ESt ce que cela pourrait faire avancer le schmiblick????
0
Réponse 3 / 7
tufs
19 janv. 2005 à 11:31
salut
pour about blank essaye dabord de faire nettoyage avec ça et
recolle hijackthis si problem persiste
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/CWShredder.shtml
0
Réponse 4 / 7
Utilisateur anonyme
19 janv. 2005 à 11:50
bonjour,

il faudrait fixer

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\OPTIMAL\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\OPTIMAL\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {82EFA04E-5329-4764-9D73-9E92AF9585D5} - C:\WINDOWS\system32\caod.dll

la ligne 04
1) ctrl/alt/supp : arrêter ce programme dans le gestionnaire des tâches
2) repasser sur le log hijack et fixer la ligne

O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
http://castlecops.com/startuplist-3138.html

O17 - HKLM\System\CCS\Services\Tcpip\..\{B1654FBC-FEFA-47BA-B702-8751A825AFDF}: NameServer = 192.168.2.245 <-- tu reconnais l'ip de ton routeur?

O18 - Filter: text/html - {6CF074E5-A768-40BC-9950-CC65F0374060} - C:\WINDOWS\system32\caod.dll
O18 - Filter: text/plain - {6CF074E5-A768-40BC-9950-CC65F0374060} - C:\WINDOWS\system32\caod.dll

*ferme TOUS les programmes
*fixe les lignes trouvées dans l'hijack
*ferme l'hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

(screenshot)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

les soldes..... :-))
a² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)
http://www.emsisoft.net/fr/software/download/
SpySweeper 1.3/anti-spywares (30 jours d'essai) <-- pas mal du tout ^_^
http://www.webroot.com/


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Jean
20 janv. 2005 à 00:15
merci beaucoup Dolly Dagger mais je ne comprends pas tout dans les explications donnees......:

concernant notamment la ligne 04:

quel programme faut-il arrêter par ctrl/alt/suppr ?

Dois-je fixer 04 ?

ligne 17 je ne connais pas l'ip de mon routeur!!!!

Dois-je fixer aussi les lignes 018 indiquées ?

Pour fixer on coche les lignes concernées et on appuie sur la topuche fix checked, c'est bien cela ?

Et après qu'est-ce qui se passe, je l'ai déjà une fois sans résultat.....

Désolé je ne suis pas doué et ai peur de faire une connerie.........

Ce truc est une vraie saloperie car il empèche également de consulter les comptes hotmail et yahoomail..........

Je crois que je ne serai pas capable de m'en sortir

merci encore d'avoir tenté de m'aider
0
Réponse 6 / 7
Utilisateur anonyme
20 janv. 2005 à 00:36
vi ? ^_^


(screenshot) <-- bipbip!!! (je t'avais mis tout ce qu'il fallait pourtant)
http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

reprenons nos moutons.....

la ligne 04
1) ctrl/alt/supp : arrêter ce programme dans le gestionnaire des tâches
2) repasser sur le log hijack et fixer (ou cocher) la ligne <---yep! on fixe

O4 - HKLM\..\Run: [PtiuPbmd] <--probablement sous ce nom sinon --->Rundll32.exe ptipbm.dll,SetWriteBack

+ tu fixes (tu coches) toutes les autres lignes citées sur le post <5>


O17 - HKLM\System\CCS\Services\Tcpip\..\{B1654FBC-FEFA-47BA-B702-8751A825AFDF}: NameServer = 192.168.2.245
ça semble être bon ? laisse cette ligne
Google : (peu d'infos) je lis :
.....passerelle par défaut : 192.168.2.245 (adresse du routeur, ce pourrait être l'adresse d'un boitier ISB 100)
serveur de nom primaire : 195.98.246.50 (Le DNS du fournisseur d'accès) ......
http://www.anfalab.org/npds/static_anfa.php?op=networkconf.html&opfh=sfadmux.html&npds=1

re-regarde le post <5> ensuite le screen pour t'aider c'est très facile, tu vas y arriver

@+ bonne soirée je quitte, je lirais ta réponse (positive) demain ^_^
teste les anti-spys 30 jours ; ils sont très efficaces, profite de l'offre



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 7 / 7
Jean
21 janv. 2005 à 19:50
ok je vais essayer............
merci
0

Discussions similaires

Alerte détournement DNS
FCE37 -
brupala -

6 réponses
hijack this
ReSoUs05 -
Cesel45 -

2 réponses
aide hijack this
siron -
Xplode -

75 réponses
[hijack navigateur] Home page
pactrick -
Séb08 -

7 réponses
analse "HIJACK THIS"
gygy10 -
jlpjlp -

3 réponses