Pb avec hotoffers en page de demarrage !!!

jeane -  
 Nymérion -
Salut
voila j ai un gros soucis
a chaque fois que je me connecte la page de demarrage est bizarre c ets hotoffers qui arrive a chaque fois d une part et lorsque je demande la page wanadoo il se cree un espace en haut et ca me fout en l aire toute la page sis bien que je ne peux faire aucune recherche lorsque je me debrouille pour trouver un site il l affiche brievement et ensuite il disparait pour laisser place a ine page blanche
aidez moi svp je ne c plus quoi faire
je pense que c est un virus mais je ne sais pas ou il se trouve
j ai vire tous les virus detecte et j ai fait spybot mais ca continu
Configuration: windows ME AMD ATHLON 900 MGZ

3 réponses

  1. moe
     
    salut jane

    telecharge hijackthis:
    http://www.merijn.org/files/hijackthis.zip
    Dezippe le dans un dossier prévu a cet effet.
    Par exemple C:\hijackthis
    lance le puis:
    clic sur "do a system scan and save logfile"
    fais un copier coller du log entier sur le forum.
    0
    1. jeane
       
      Logfile of HijackThis v1.99.1
      Scan saved at 08:08:03, on 21/03/2005
      Platform: Windows ME (Win9x 4.90.3000)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\SYSTEM\KERNEL32.DLL
      C:\WINDOWS\SYSTEM\MSGSRV32.EXE
      C:\WINDOWS\SYSTEM\mmtask.tsk
      C:\WINDOWS\SYSTEM\MPREXE.EXE
      C:\WINDOWS\SYSTEM\MSTASK.EXE
      C:\WINDOWS\SYSTEM\STIMON.EXE
      C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
      C:\WINDOWS\EXPLORER.EXE
      C:\WINDOWS\SYSTEM\NETDC.EXE
      C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
      C:\WINDOWS\SYSTEM\SYSTRAY.EXE
      C:\WINDOWS\PCTVOICE.EXE
      C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
      C:\WINDOWS\LOADQM.EXE
      C:\WINDOWS\SYSTEM\WMIEXE.EXE
      C:\WINDOWS\SYSTEM\LVCOMS.EXE
      C:\WINDOWS\TASKMON.EXE
      C:\WINDOWS\MIXER.EXE
      C:\WINDOWS\SYSTEM\DDHELP.EXE
      C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
      C:\WINDOWS\SYSTEM\SYSTIME.EXE
      C:\PROGRAM FILES\WANADOO\CNXMON.EXE
      C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
      C:\WINDOWS\SVCHOST.EXE
      C:\WINDOWS\PD14.EXE
      C:\WINDOWS\SYSTEM\SYSTIME.EXE
      C:\WINDOWS\APPLICATION DATA\SOIA.EXE
      C:\WINDOWS\SYSTEM\RBY.EXE
      C:\WINDOWS\SYSTEM\PSTORES.EXE
      C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
      C:\WINDOWS\SYSTEM\RNAAPP.EXE
      C:\WINDOWS\SYSTEM\TAPISRV.EXE
      C:\WINDOWS\GRPCONV.EXE
      C:\WINDOWS\progman.exe
      C:\MES DOCUMENTS\DERDERIAN.JEANINE\HIJACKTHIS.EXE

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ (obfuscated)
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/192/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)
      R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www001.upp.so-net.ne:3128@DF809JOW4WJ2304LFD0SF9FSD0A2T4LDF809JOW4WJ2304LFD0SF9FSD0A2T4LD.BIZ/search.htm (obfuscated)
      R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\SYSTEM32\SEARCH~1.DLL
      O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
      O1 - Hosts: 127.0.0.3 x.full-tgp.net
      O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
      O1 - Hosts: 127.0.0.3 autoescrowpay.com
      O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
      O1 - Hosts: 127.0.0.3 www.awmdabest.com
      O1 - Hosts: 127.0.0.3 www.sexfiles.nu
      O1 - Hosts: 127.0.0.3 awmdabest.com
      O1 - Hosts: 127.0.0.3 sexfiles.nu
      O1 - Hosts: 127.0.0.3 allforadult.com
      O1 - Hosts: 127.0.0.3 www.allforadult.com
      O1 - Hosts: 127.0.0.3 www.iframe.biz
      O1 - Hosts: 127.0.0.3 iframe.biz
      O1 - Hosts: 127.0.0.3 www.newiframe.biz
      O1 - Hosts: 127.0.0.3 newiframe.biz
      O1 - Hosts: 127.0.0.3 www.vesbiz.biz
      O1 - Hosts: 127.0.0.3 vesbiz.biz
      O1 - Hosts: 127.0.0.3 www.pizdato.biz
      O1 - Hosts: 127.0.0.3 pizdato.biz
      O1 - Hosts: 127.0.0.3 www.aaasexypics.com
      O1 - Hosts: 127.0.0.3 aaasexypics.com
      O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
      O1 - Hosts: 127.0.0.3 virgin-tgp.net
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\CERBMOD.DLL (file missing)
      O2 - BHO: BL Class - {28F65FCB-D130-11D8-BA48-8BE0C49AF370} - C:\WINDOWS\SYSTEM32\POPUP_BL.DLL
      O2 - BHO: (no name) - {B64DDD5F-11EF-634F-99DF-42819AC45E90} - C:\WINDOWS\SYSTEM\TVKRTWMG.DLL
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
      O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
      O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
      O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
      O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
      O4 - HKLM\..\Run: [PCTVOICE] pctvoice.exe
      O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
      O4 - HKLM\..\Run: [LoadQM] loadqm.exe
      O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
      O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
      O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
      O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE
      O4 - HKLM\..\Run: [adiras] adiras.exe
      O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
      O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
      O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\SYSTEM\PD14.EXE
      O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
      O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
      O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
      O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
      O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
      O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
      O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
      O4 - HKCU\..\Run: [Elst] C:\WINDOWS\Application Data\soia.exe
      O4 - HKCU\..\Run: [Mpwqxmwg] C:\WINDOWS\SYSTEM\rby.exe
      O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\SYSTEM\PD14.EXE
      O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Startup: netdb.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O13 - DefaultPrefix:
      O15 - Trusted Zone: *.windupdates.com
      O15 - Trusted Zone: *.searchmiracle.com
      O15 - Trusted Zone: *.searchbarcash.com
      O15 - Trusted Zone: *.skoobidoo.com
      O15 - Trusted Zone: *.my-internet.info
      O15 - Trusted Zone: *.xxxtoolbar.com
      O15 - Trusted Zone: *.slotch.com
      O15 - Trusted Zone: *.flingstone.com
      O15 - Trusted Zone: *.mt-download.com
      O15 - Trusted Zone: *.blazefind.com
      O15 - Trusted Zone: *.clickspring.net
      O15 - Trusted Zone: *.ysbweb.com
      O15 - Trusted Zone: *.slotchbar.com
      O15 - Trusted Zone: *.windupdates.com (HKLM)
      O15 - Trusted Zone: *.searchbarcash.com (HKLM)
      O15 - Trusted Zone: *.searchmiracle.com (HKLM)
      O15 - Trusted Zone: *.skoobidoo.com (HKLM)
      O15 - Trusted Zone: *.my-internet.info (HKLM)
      O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
      O15 - Trusted Zone: *.slotch.com (HKLM)
      O15 - Trusted Zone: *.flingstone.com (HKLM)
      O15 - Trusted Zone: *.mt-download.com (HKLM)
      O15 - Trusted Zone: *.blazefind.com (HKLM)
      O15 - Trusted Zone: *.clickspring.net (HKLM)
      O15 - Trusted Zone: *.ysbweb.com (HKLM)
      O15 - Trusted Zone: *.slotchbar.com (HKLM)
      O15 - Trusted IP range: 67.19.178.84
      O15 - Trusted IP range: 67.19.178.84 (HKLM)
      O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/cab/14/fr/SysWebTelecomInt.cab
      O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2732
      O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
      0
  2. hermes06
     
    Voici une solution qui a marcher chez moi et j'ai reussi a virer cette m**de .

    1)effectuer un scan on ligne avec PestPatrol et supprimer manuellement les clés trouvé de la base de registre.

    Pour les cookies trouver supprimer les également manuellement

    Adresse ici :

    http://store.ca.com/dr/v2/ec_main.entry25?page=freePestPatrolScan&client=ComputerAssociates&sid=35715

    Apres avoir tous supprimer refaite en scan pour vous assurer que plus rien n'est détecter.

    2) Se déconnecter d'internet

    3)Utisé le programme "KillBox" et supprimer le fichier " systr.dll "
    qui se trouve dans "C:\WINDOWS\system32 "

    telechargable a l'adresse:

    http://pageperso.aol.fr/balltrap34/page%20virus.htm

    (merci a balltrap34)

    4)utilisé Spy Sweeper téléchargable ici (en anglais mais facile)

    http://www.webroot.com/downloads/

    Apres avoir supprimer les éléments trouvé configurer dans l'onglet
    shields votre page de demarage et cliker sur "save"

    5)tester votre page internet!

    Je vous conseille de refaire apres cela un passage de votre pc par tous les soft anti spy et hajiak connu " mru-blaster,spyboot,ad aware,etc................

    ou alors

    Il faut aller sur ce lien :

    http://www.hotoffers.info/uninstall/index.html

    et ensuite suivre les instructions...

    Selon les admins de Castlecops, cela fonctionne impec'

    (thx a cariboo)

    voila en esperant que ca marche chez vous !!!@+++
    0