cheval de troie starpage.JY

Question

salut,j'ai un cheval de troie ds la base de registre sous le nom de startpage.JY que je n'arrive pas à supprimer, il revient tjr malgré ad adware et les divers antivirus jvous met hijack si ca pt vous aider sinon jsuis ss win xp promerci de m'aidergregPlatform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\RUNDLL32.EXEC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exeC:\Program Files\ScanSoft\OmniPageSE\opware32.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\Program Files\Philips ToUcam Camera\VProperty.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\Program Files\eMule\emule.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Grégoire\Bureau\logiciel\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation
Tune\nTune.exe" clearO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exeO4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYERO4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exeO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - Global Startup: Reality Fusion GameCam SE.lnk = ?O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dllO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116940905264O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

balltrap34 · Answer

relance hijack coche et fix ceci
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

ensuite
clik sur Démarrer->exécuter->tape: services.msc

Double-clique: Hardware Clock Driver (hwclock)
Règle-le sur "Arrêté" et "Désactivé".

-------------------------
et recherche et suppr
:\WINDOWS\System32\hwclock.exe

balltrap34 · Answer

je pense qu il ni est plus mais par securite assure toi de ceci et refait une recherche
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais "Ok" pour valider les changements.

Et appliquer

a quelle endroit il te le trouve

balltrap34 · Answer

adaware te donne pas la clef du registre

balltrap34 · Answer

essai se scan stpScan bit defenderhttp://www.fr.bitdefender.com/bd/site/virusinfo.php?menu_id=4#--la chasse et le balltrap ma vrai passionvoir site perso dans profil

balltrap34 · Answer

et refait un hijack

balltrap34 · Answer

panda ne te donne pas un emplacement precis

balltrap34 · Answer

essai cecimais je doutetélécharge ceci Registry Search Tool http://www.billsway.com/vbspage/ decompresse le et tape starpage.JYet copie colle le resultat dans le bloc note et donne le nous

balltrap34 · Answer

fait unnettoyage registre avec ceci
jv16

(ancienne version gratuite) http://www.puntocr.it/index.php?module=downloads_riz&func=display&pid=3&lid=26

demo
http://pageperso.aol.fr/balltrap34/debut de demo jv 16 .htm

la tu le lance tu click sur outil registre/outil/nettoyage de registre/continuer /demarrer
la tu le laisse faire c est un peu long
quand il a finit
tu selectionne les rond vert par paquet de 20 ou 30
une fois que tu les a selectionner tu click sur supprimer en bas a droite
et tu continue jusqu a qu il ne reste plus de rond vert
-----------------------------------------------

balltrap34 · Answer

lol je vois rien
Télécharge ce fichier. http://www.niksoft.at/php/dl.php?f=startdreck.zip
Startdreck.exe
decompresse le et execute le
paramettre le comme ceci
- clik "Config" -> "Unmark all"
- Coche:
Registry -> Run Keys
System/drivers -> Running processes
- clik "Ok".

- clik sur "Save" et donne nous le rapport stp

greg · Answer

Registry
»Run Keys
»Current User
»Run
*CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
*Win Update Microsoft=winmode.exe
*MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
*Sygate Personal Firewall=MSNMSGRS.exe
»RunOnce
»Local Machine
»Run
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
*SoundMan=SOUNDMAN.EXE
*NVIDIA nTune="C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe" clear
*Symantec NetDriver Monitor=C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
*msnappau="C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
*Omnipage=C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
*RealTray=C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
*ToUcamVProperty=C:\Program Files\Philips ToUcam Camera\VProperty.exe
*avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
*QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+680=\SystemRoot\System32\smss.exe
+744=\??\C:\WINDOWS\system32\csrss.exe
+768=\??\C:\WINDOWS\system32\winlogon.exe
+812=C:\WINDOWS\system32\services.exe
+824=C:\WINDOWS\system32\lsass.exe
+972=C:\WINDOWS\system32\svchost.exe
+1032=C:\WINDOWS\system32\svchost.exe
+1120=C:\WINDOWS\System32\svchost.exe
+1168=C:\WINDOWS\System32\svchost.exe
+1236=C:\WINDOWS\System32\svchost.exe
+1484=C:\WINDOWS\system32\spoolsv.exe
+1856=C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
+1868=C:\Program Files\Alwil Software\Avast4\ashServ.exe
+1940=C:\WINDOWS\System32\nvsvc32.exe
+324=C:\WINDOWS\System32\svchost.exe
+424=C:\WINDOWS\system32\wdfmgr.exe
+880=C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
+924=C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
+1348=C:\WINDOWS\System32\alg.exe
+712=C:\WINDOWS\Explorer.EXE
+2008=C:\WINDOWS\system32\RUNDLL32.EXE
+2084=C:\WINDOWS\SOUNDMAN.EXE
+2100=C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
+2136=C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
+2148=C:\Program Files\Real\RealPlayer\RealPlay.exe
+2156=C:\Program Files\Philips ToUcam Camera\VProperty.exe
+2164=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
+2180=C:\Program Files\QuickTime\qttask.exe
+2192=C:\WINDOWS\system32\ctfmon.exe
+2212=C:\Program Files\Philips ToUcam Camera\GameCam SE\Program\RFTray.exe
+3088=C:\Program Files\eMule\emule.exe
+3284=C:\Documents and Settings\Grégoire\Local Settings\Temporary Internet Files\Content.IE5\7F9ZJ54W\startdreck217[1]\StartDreck.exe
»Application specific

balltrap34 · Answer

commence par se qu il y a sur cette page
http://translate.google.com/translate?hl=fr&sl=en&u=http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.ad%40mm.html&prev=/search%3Fq%3DMSNMSGRS.exe%2B%26hl%3Dfr%26lr%3D%26ie%3DUTF-8%26sa%3DG
verifie tous et suppr
je regarde le reste

Cheval de troie starpage.JY

11 réponses

Votre réponse

Discussions similaires

Newsletters