Probleme Hotoffers

Résolu
Jujuquatre -  
 didiert -
Voila j'ai un pb, maintenant j'ai "http://www.hotoffers.info/179/" comme page d'accueil et impossible de le changer, par IE, Spybot, Spyrewareblaster, ...
Et il m'envoi quelque fois automatiquement sur "http://www.hotoffers.info/179/go.php"

et en meme un popup de Windows s'affiche comme cela :

Titre : Error #317 - Microsoft Windows Security Warning
Message : Your Windows is corrupted with spyware virus
You must patch your PC urgently to protect your system.
Private info is accessed by ports :
-8080
-3128

You can patch your PC for free now and delete all spyware viruses.

Click OK to choose and download freespyware removal using AntiSPY.

---------------

Voila sa commence un peu a m'enerver ...

J'ai scanner et suprimmer quelque truc avec Norton 2004, SpywareBlaster, Spybot, A², Spy Sweeper, Ad-Aware SE personal, SpySubtract et CWShredder ( tout sa aussi en mode sans echec ). Et toujours cette page d'accueil ... !

Donc voila si vous pouviez m'aider

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le fil porte sur une infection qui modifie la page d'accueil et redirige vers http://www.hotoffers.info/179/ et éventuellement vers http://www.hotoffers.info/179/go.php, accompagnée de popups d’alerte système persistants. Des solutions essentielles incluent l'utilisation de HijackThis pour repérer les entrées indésirables, la désinstallation de SpySpotter et Security iGuard, et la désactivation de la restauration système. Ensuite, il faut nettoyer les fichiers temporaires et les dossiers suspects, relancer un scan et vérifier le rapport HijackThis pour confirmer la suppression des éléments nuisibles. En cas de persistance, il peut être utile de vérifier les extensions et services au démarrage et d’envisager une restauration système complète ou une réinstallation propre.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jeane
     
    salut
    voila j ai exactement le meme pb que toi
    as tu reussi a le resoudre parce que moi je n y parviens pas et ca commence a me saouler
    merci
    0
    1. didiert
       
      Bonjour,

      Pour supprimer hotoffers, renommer le fichier c:\windows\system32\param32.dll en param32.old (il faut démarrer le pc en mode dos et utiliser la commande "rename") et rechercher un exe qui s'appelle gun*.exe (je ne sais plus son nom exact) et renommer le aussi en .old ( sous windows cette fois avant d'aller renommer param32).
      Relancez le pc. Le petit icône rouge avec une crois blanche ne devrait plus apparaître à côté de l'heure. Lancez IE. Hotoffers apparaitra encore mais en allant sur google.fr (par exemple) et en le choisissant comme page d'accueil, hotoffers disparaitra définitivement.
      Bon courage et soyez prudent quant aux lieus de surf !
      0
    2. didiert
       
      J'ai retrouvé le nom complet, c'est guninst.exe qui est à renommer en guninst.old (je suis toujours prudent quant aux suppressions) sous c:\windows. Après, c'est peace and love !!!
      0
  2. Gribouye
     
    Je ne suis pas le seul a ce que je vois. Pareil que vous, Impossible de me debarraser de cette daube. Essayer toute la panoplie imaginable, a croire que ce truc est vivant.

    Mon Hijack:

    Logfile of HijackThis v1.99.1
    Scan saved at 3:25:53 PM, on 3/30/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    C:\WINNT\System32\svchost.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Winamp\winampa.exe
    C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    D:\Softwares\Hijiackthis2\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/294/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.yahoo.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.yahoo.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.yahoo.fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = www.yahoo.fr
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eternals.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{79FAB05F-4918-4030-BDFD-0CCCDD957EF4}: NameServer = 192.168.0.204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EF79D2F2-6615-40FE-92B0-5473DAED194F}: NameServer = 192.168.0.204
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eternals.com
    O17 - HKLM\System\CS1\Services\Tcpip\..\{79FAB05F-4918-4030-BDFD-0CCCDD957EF4}: NameServer = 192.168.0.204
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eternals.com
    O17 - HKLM\System\CS2\Services\Tcpip\..\{79FAB05F-4918-4030-BDFD-0CCCDD957EF4}: NameServer = 192.168.0.204
    O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
    O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

    Merci d'avance.

    Gribouye
    0
  3. moe
     
    Salut gribouye

    Est ce que tu peux vérifier ceci, et me donner le resultat:

    Fais demarrer> executer> tape regedit
    Rend toi sur ces clés, et vérifie si tu trouve les valeurs en gras:

    HKEY_LOCAL_MACHINE \software\microsoft\windows \currentversion \explorer \sharedtaskscheduler “{12345678-0000-0010-8000-00AAFF6D2EA4}”

    HKEY_CLASSES_ROOT clsid\{12345678-0000-0010-8000-00aaff6d2ea4}

    a+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Gribouye
     
    Deja fait mais cela revient.

    Je viens en Revanche de virer manuellement dans le fichier System32 une appli et deux dll:

    -Guninst.exe qui semble liee a Hotoffers et les fichier draw32.dll, popup_bl.dll .

    C'est deux fichier etait detecter par mon antivirus (Symantec), mais ne les virait pas. Ni Spybot, ni Adaware ne les detectaient.

    Si on ne supprime que guninst.exe il revient des que l'on ouvre IE, pareil pour les deux autres.

    Depuis 10 minutes il me semble enfin avoir la paix.
    0
  6. moe
     
    re

    Est ce que cette dll est présente:
    C:\windows\system32\systr.dll
    si oui tu la vire.
    0
  7. Gribouye
     
    Non justement c'etait mon probleme. Je ne trouvais pas cette Systr.dll puis j'ai aussi remarquer que l'adresse du site hijack qui s'affichait est sensiblement differente de celle que les autres personnes de ce topic avaient c'est a dire http://www.hotoffers.info/179/
    pour ma part j'avais: http://www.hotoffers.info/294/
    Je pense qu'il s'agit d'une version differente de ce parasite.

    Puis il n'apparraissait plus dans Spybot et Adaware quand je faisait un scan, les deux soft me disaient que tout etait normal.

    J'ai donc chercher l'intru directement dans le fichier windows. J'espere qu'il n'a pas laisser de trace derriere lui, parce que plus cela allait plus les sites qu'il ouvrait etaient trash.
    0
  8. moe
     
    Par curiosité, si elle est toujours présente, va sur

    HKEY_CLASSES_ROOT\ clsid\ deploie=>{12345678-0000-0010-8000-00aaff6d2ea4}
    clic sur inprocServer32 et dans la fenetre de droite tu note le chemin du fichier de la valeur par défaut
    Est ce que tu peux me donner le nom du fichier ?

    a+
    0
  9. moe
     
    ok, je crois que tu as bien fais le ménage lol
    cette clé est lié à hotoffers, tu peux virer sans probleme partout ou tu la trouve {12345678-0000-0010-8000-00aaff6d2ea4}
    Avant de supprimer pense à exporter les clés (on sait jamais..)

    a+
    0
  10. dbzgt Messages postés 1 Date d'inscription   Statut Membre
     
    moi ca ménerve cest le hoteffers 337 qui vient en page d acceuil c est vraiment CHIANT (dsl pour le gro mo mai la jen ai marre ) jaimerai trop qu on maide la chui pa très très fort en informatique mai jai quelque bases donc je résume ya la page pornographique qui s insstall en page d acceuil mais je nest pa de probleme de pub qui vienne fo dire aussi que la jutilise mozilla firefox (naviguateur internet) mais bon IE a bocou de qualitées et chui habitué alors S.V.P. aidez moi!!!!!!!!!!
    fo vraiment que y est des con pour faire chié les gens franchemen ils étai obligé de faire ca les gars qui font hoteffers alalala jles taperai bien lol si jpouvai enfin bref c vraiment soulan help help help
    thank you
    merci
    danken
    0
  11. joe
     
    moi c pareil j'ai essayé le truc au dessus ca ne marche pas et je ne sais plus quoi faire >>> surtout que c le pc du boulot >>>> alors les images de Q qui s'affichent c vraiment pas génial !!!!!!

    au secours !!!!
    0
  12. joe
     
    merci moe d'etre pret a m'aider >>> je sais plus quoi faire !!!

    voici le login demandé :

    Logfile of HijackThis v1.99.1
    Scan saved at 09:17:02, on 04/14/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\Cpqdiag\Cpqdfwag.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINNT\System32\NMSSvc.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\Program Files\RealVNC\WinVNC\WinVNC.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
    C:\WINNT\system32\PROMon.exe
    C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINNT\system32\internat.exe
    C:\Program Files\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
    C:\wp.exe
    C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
    C:\Compaq\EAKDRV\EAUSBKBD.EXE
    C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
    C:\WINNT\system32\wuauclt.exe
    C:\nem\Allplan\Prg\Allplan_2004_0.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\QuickZip4\QuickZip.exe
    C:\DOCUME~1\p2\LOCALS~1\Temp\QZTEMP\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/278/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 altavista.com
    O1 - Hosts: 69.50.173.4 www.altavista.com
    O1 - Hosts: 69.50.173.4 amazon.com
    O1 - Hosts: 69.50.173.4 www.amazon.com
    O1 - Hosts: 69.50.173.4 aol.com
    O1 - Hosts: 69.50.173.4 www.aol.com
    O1 - Hosts: 69.50.173.4 earthlink.net
    O1 - Hosts: 69.50.173.4 www.earthlink.net
    O1 - Hosts: 69.50.173.4 ebay.com
    O1 - Hosts: 69.50.173.4 www.ebay.com
    O1 - Hosts: 69.50.173.4 go.com
    O1 - Hosts: 69.50.173.4 www.go.com
    O1 - Hosts: 69.50.173.4 google.com
    O1 - Hosts: 69.50.173.4 www.google.com
    O1 - Hosts: 69.50.173.4 icq.com
    O1 - Hosts: 69.50.173.4 www.icq.com
    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 msn.com
    O1 - Hosts: 69.50.173.4 www.msn.com
    O1 - Hosts: 69.50.173.4 yahoo.com
    O1 - Hosts: 69.50.173.4 www.yahoo.com
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\COMPAQ\Easy Access Button Support\StartEAK.exe
    O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
    O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
    O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
    O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
    O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINNT\Cpqdiag\CpqDfwAg.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKCU\..\Run: [WindowsFY] C:\wp.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
    O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{51C3F4D7-48F3-4671-A156-C282A8D87D10}: NameServer = 193.252.19.3,193.252.19.4
    O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINNT\Cpqdiag\Cpqdfwag.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
    0
  13. moe
     
    Salut joe

    commence par desinstaller spyspotter et Security iGuard(faux utilitaires de securité).

    ensuite

    -> Rend visible les fichiers cachés et systeme
    Poste de travail >Outils >Options des dossiers >Onglet "Affichage"
    Sous "Fichiers et dossiers cachés",
    cocher "Afficher les fichiers et dossiers cachés"
    Désélectionner "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    -> désactive la restauration systéme
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".

    ---------------------------------------------

    Lance hijackthis et Fixe:
    (cocher au début de chaques lignes valider avec fix checked)

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/278/
    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 altavista.com
    O1 - Hosts: 69.50.173.4 www.altavista.com
    O1 - Hosts: 69.50.173.4 amazon.com
    O1 - Hosts: 69.50.173.4 www.amazon.com
    O1 - Hosts: 69.50.173.4 aol.com
    O1 - Hosts: 69.50.173.4 www.aol.com
    O1 - Hosts: 69.50.173.4 earthlink.net
    O1 - Hosts: 69.50.173.4 www.earthlink.net
    O1 - Hosts: 69.50.173.4 ebay.com
    O1 - Hosts: 69.50.173.4 www.ebay.com
    O1 - Hosts: 69.50.173.4 go.com
    O1 - Hosts: 69.50.173.4 www.go.com
    O1 - Hosts: 69.50.173.4 google.com
    O1 - Hosts: 69.50.173.4 www.google.com
    O1 - Hosts: 69.50.173.4 icq.com
    O1 - Hosts: 69.50.173.4 www.icq.com
    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 msn.com
    O1 - Hosts: 69.50.173.4 www.msn.com
    O1 - Hosts: 69.50.173.4 yahoo.com
    O1 - Hosts: 69.50.173.4 www.yahoo.com

    O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
    O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
    O4 - HKCU\..\Run: [WindowsFY] C:\wp.exe

    Puis:
    - Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

    Rechercher et supprimer si présent:

    C:\wp.exe
    C:\Program Files\Security iGuard
    C:\Program Files\SpySpotter
    C:\WINNT\system32\systr.dll

    Ensuite:

    Fais un nettoyage des fichiers temps...etc avec ce programme:
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    ou manuellement:

    Supprimer tout les fichiers à l'intérieur des dossiers suivants:

    * C:\Temp
    * C:\WinNT\Temp
    * C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
    * C:\Documents and Settings\tous les utilisateurs \Local Settings\Temporary Internet Files
    * C:\Documents and Settings\tous les utilisateurs \Cookies
    * Vider la corbeille !

    Nettoyage du disque:
    Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
    cocher:
    - fichiers et programmes téléchargés
    - fichiers internet temporaires
    - corbeille
    - fichier temporaires
    valider ok

    -----------------------------

    Redemarre normalement et reposte un log hijack pour vérifier l'évolution

    Redemarre normalement, et ensuite fais un scan AV ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici + un nouveau rapport hijackthis

    Ne pas oublier après les manips de recocher " masquer les fichiers protégés du système" dans les options des dossiers
    0
  14. joe67 Messages postés 28 Statut Membre 1
     
    merci moe,

    mais lorsque tu dis :

    <<Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système">>

    chez moi il n'y a pas d'onglet restauration systeme !!!!!

    je suis au boulot et donc en réseau >>> est ce que ca change quelque chose ????
    0
  15. joe67
     
    mon probleme avec "hotoffers" est réglé j'ai juste un dernier souci avec l'affichage >>> il me manque des onglets sous "affichage" de la partie panneau de config >>> je ne peut plus changer la config de mon bureau >>> texture, couleur ou photo en fond d'écran !!!!!

    quelqu'un a il une solution a cela ?????
    0
  16. moe
     
    salut joe67

    pour la restau systeme, le chemin est peut etre différent pour win 2000.

    Pour le reste c'est bizarre en effet, ca l'a fait apres avoir redemarrer ?
    reposte un log hijack pour voir et fais aussi un scan ici:
    http://www.ravantivirus.com/scan/
    Clic sur "To continue without subscribing click here"
    Lorsque "Ready" est affiché dans "status", clic sur "Scan my PC".
    A la fin de l'analyse, copier/coller le rapport ici

    a+
    0
  17. joe67
     
    voila pour le log hijackthis :Logfile of HijackThis v1.99.1
    Scan saved at 10:21:11, on 04/15/2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\System32\svchost.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\Program Files\RealVNC\WinVNC\WinVNC.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINNT\system32\wuauclt.exe
    C:\nem\Allplan\Prg\Allplan_2004_0.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\QuickZip4\QuickZip.exe
    C:\DOCUME~1\p2\LOCALS~1\Temp\QZTEMP\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 altavista.com
    O1 - Hosts: 69.50.173.4 www.altavista.com
    O1 - Hosts: 69.50.173.4 amazon.com
    O1 - Hosts: 69.50.173.4 www.amazon.com
    O1 - Hosts: 69.50.173.4 aol.com
    O1 - Hosts: 69.50.173.4 www.aol.com
    O1 - Hosts: 69.50.173.4 earthlink.net
    O1 - Hosts: 69.50.173.4 www.earthlink.net
    O1 - Hosts: 69.50.173.4 ebay.com
    O1 - Hosts: 69.50.173.4 www.ebay.com
    O1 - Hosts: 69.50.173.4 go.com
    O1 - Hosts: 69.50.173.4 www.go.com
    O1 - Hosts: 69.50.173.4 google.com
    O1 - Hosts: 69.50.173.4 www.google.com
    O1 - Hosts: 69.50.173.4 icq.com
    O1 - Hosts: 69.50.173.4 www.icq.com
    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 msn.com
    O1 - Hosts: 69.50.173.4 www.msn.com
    O1 - Hosts: 69.50.173.4 yahoo.com
    O1 - Hosts: 69.50.173.4 www.yahoo.com
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
    O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) -
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{51C3F4D7-48F3-4671-A156-C282A8D87D10}: NameServer = 193.252.19.3,193.252.19.4
    O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINNT\Cpqdiag\Cpqdfwag.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
    0
  18. moe
     
    salut

    il donne quoi le scan chez rav ?
    Toujours des problemes avec l'affichage ?

    desinstalle RealVNC
    http://www3.ca.com/securityadvisor/pest/pest.aspx?id=57313

    Lance hijackthis et Fixe:
    (cocher au début de chaques lignes valider avec fix checked)

    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 altavista.com
    O1 - Hosts: 69.50.173.4 www.altavista.com
    O1 - Hosts: 69.50.173.4 amazon.com
    O1 - Hosts: 69.50.173.4 www.amazon.com
    O1 - Hosts: 69.50.173.4 aol.com
    O1 - Hosts: 69.50.173.4 www.aol.com
    O1 - Hosts: 69.50.173.4 earthlink.net
    O1 - Hosts: 69.50.173.4 www.earthlink.net
    O1 - Hosts: 69.50.173.4 ebay.com
    O1 - Hosts: 69.50.173.4 www.ebay.com
    O1 - Hosts: 69.50.173.4 go.com
    O1 - Hosts: 69.50.173.4 www.go.com
    O1 - Hosts: 69.50.173.4 google.com
    O1 - Hosts: 69.50.173.4 www.google.com
    O1 - Hosts: 69.50.173.4 icq.com
    O1 - Hosts: 69.50.173.4 www.icq.com
    O1 - Hosts: 69.50.173.4 lycos.com
    O1 - Hosts: 69.50.173.4 www.lycos.com
    O1 - Hosts: 69.50.173.4 msn.com
    O1 - Hosts: 69.50.173.4 www.msn.com
    O1 - Hosts: 69.50.173.4 yahoo.com
    O1 - Hosts: 69.50.173.4 www.yahoo.com

    O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper

    O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

    redemarre et reposte un log.

    a+
    0
    1. joe67
       
      j'ai fait tout ce que tu a dis moe -> viré vnc -> viré toutes les lignes indiquées avec hijackthis -> refait un scan avec rav -> il n'as rien trouvé et pourtant j'arrive toujours pas a modifier mon affichage du bureau -> manque des onglets !!!!!

      Que faire ?????

      c pas dramatique mais j'ai un fond d'écran noir et c pas bôôôô !!!!
      0
      1. moe > joe67
         
        salut joe67

        essaye avec ceci:
        ouvre le bloc note et tu colle ce qui est en gras ci-dessous:

        Windows Registry Editor Version 5.00

        [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
        "NoDispBackgroundPage"=-
        "NoDispAppearancePage"=-

        [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
        "NoDispBackgroundPage"=-
        "NoDispAppearancePage"=-


        ensuite tu clic sur enregistrer sous:
        dans:
        Nom du fichier tu met: bureau.reg
        Type: selectionne tous les fichiers
        valide

        maintenant, lance le fichier bureau.reg, le changement devrait etre immediat, sinon redemarre le pc et dis moi si c'est redevenu normal.
        Si les onglet sont à nouveau là, essaye:

        Démarrer
        - Panneau de configuration
        - Affichage
        - Bureau
        - Personnalisation du bureau
        - Web
        - Décoche toutes les cases

        Puis essaye de mettre une image en fond

        a+
        0
      2. joe67 > moe
         
        j'ai récupéré tout mes onglets moe -> merci ;)

        mais pour ce qui est de reconfigurer le bureau -> panneau config ok -> affichage ok-> bureau ok -> mais apres j'ai pas personnalisation du bureau c ou ?????

        pour info je suis sous -> Windows 2000 SP4 (WinNT 5.00.2195)

        éclaire moi Stp
        0
  • 1
  • 2
  • 3