Infecté par Stealth.Hjack

Fermé
lionel - 15 juil. 2005 à 11:54
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 - 15 juil. 2005 à 14:13
Bonjour tout le monde,
Pour faire original, je pense que j'abrite ce joli petit virus.

Je vous remercie de l'aide que vous voudrez bien m'apporter et vous felicite pour ce forum que je ne connaissais pas.
Continuez...

Voici le log issu de Hijack

Logfile of HijackThis v1.99.1
Scan saved at 11:16:12, on 07/15/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
F:\antivirus\avast4\aswUpdSv.exe
F:\antivirus\avast4\ashServ.exe
E:\Program Files\QuickTime\qttask.exe
E:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
F:\antivirus\Fire wall\ZoneAlarm\zlclient.exe
F:\ANTIVI~1\avast4\ashDisp.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Messenger\msmsgs.exe
F:\antivirus\anti-popup\popupeclair.exe
E:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
E:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Sony Corporation\Image Transfer\SonyTray.exe
C:\Winzip\WZQKPICK.EXE
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\antivirus\avast4\ashWebSv.exe
F:\antivirus\avast4\ashMaiSv.exe
E:\WINDOWS\explorer.exe
E:\Program Files\Internet Explorer\iexplore.exe
C:\real player\RealPlay.exe
F:\antivirus\dératisateur\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0456/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Protégé par : Popup Éclair v.2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\ANTIVI~1\anti-spy\spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] F:\antivirus\Fire wall\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] F:\ANTIVI~1\avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [popupeclair] F:\antivirus\anti-popup\popupeclair.exe
O4 - HKCU\..\Run: [NBJ] "F:\Nero\Nero BackItUp\NBJ.exe"
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Winzip\WZQKPICK.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {6D9D1568-B309-459B-921B-56445F5CD53B} - E:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6D9D1568-B309-459B-921B-56445F5CD53B} - E:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {6D9D1568-B309-459B-921B-56445F5CD53B} - E:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {6D9D1568-B309-459B-921B-56445F5CD53B} - E:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03654d85aa99cd0b9819/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111004861416
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC08E46-E851-4272-9DDF-BC4A315AA9C3}: NameServer = 80.118.192.100 80.118.196.36
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - E:\WINDOWS\aim.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\antivirus\avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\antivirus\avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\antivirus\avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\antivirus\avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

12 réponses

Utilisateur anonyme
15 juil. 2005 à 11:59
salut

Commence par télécharger ceci:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
dezippe le, lance le et choisis l'opion 1 (rechercher)
poste le resultat du rapport

ensuite telecharge silentrunners ici:
http://www.silentrunners.org/Silent%20Runners.vbs
si ton av et réglé pour bloquer les scripts, il faudra l'autoriser
lance le et poste le rapport

a+
0
Salut MOE31
Merci de m'accorder quelques minutes.
Ci dessous les éléments que tu m'as demandé.
@+

Voici le rapport SmitfraudFIX

SmitFraudFix v0.7

Rapport fait à 12:03:25,66 le 07/15/2005
Executé à partir de F:\antivirus\d‚ratisateur\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche E:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


Et voici le rapport Silent Tunners

"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "E:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""E:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"popupeclair" = "F:\antivirus\anti-popup\popupeclair.exe" [null data]
"NBJ" = ""F:\Nero\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"adiras" = "adiras.exe" [file not found]
"NeroFilterCheck" = "E:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"QuickTime Task" = ""E:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"TkBellExe" = ""E:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Zone Labs Client" = "F:\antivirus\Fire wall\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"avast!" = "F:\ANTIVI~1\avast4\ashDisp.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "f:\acrobat\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "F:\ANTIVI~1\anti-spy\spybot\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\Audiodev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\real player\rpshell.dll" ["RealNetworks, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "F:\ANTIVI~1\DÉRATI~1\A²FREE\A2FREE~1\A2CONT~1.DLL" [null data]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {CLSID}\InProcServer32\(Default) = "F:\antivirus\avast4\ashShell.dll" ["ALWIL Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
-> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\param32.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "F:\antivirus\avast4\ashShell.dll" ["ALWIL Software"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "F:\ANTIVI~1\DÉRATI~1\A²FREE\A2FREE~1\A2CONT~1.DLL" [null data]
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {CLSID}\InProcServer32\(Default) = "F:\antivirus\avast4\ashShell.dll" ["ALWIL Software"]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Desktop tab}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = " "


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "E:\WINDOWS\System32\logon.scr" [MS]


Startup items in "lio" & "All Users" startup folders:
-----------------------------------------------------

E:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"DSLMON" -> shortcut to: "E:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe" [empty string]
"Image Transfer" -> shortcut to: "C:\Sony Corporation\Image Transfer\SonyTray.exe" [null data]
"Microsoft Office" -> shortcut to: "E:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"WinZip Quick Pick" -> shortcut to: "C:\Winzip\WZQKPICK.EXE" ["WinZip Computing, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{6D9D1568-B309-459B-921B-56445F5CD53B}\
"ButtonText" = "Microsoft AntiSpyware helper"
"MenuText" = "Microsoft AntiSpyware helper"

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{6D9D1568-B309-459B-921B-56445F5CD53B}\
"ButtonText" = "Microsoft AntiSpyware helper"
"MenuText" = "Microsoft AntiSpyware helper"


Miscellaneous IE Hijack Points
------------------------------

E:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[Strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

Missing lines (compared with English-language version):
[Strings]: 2 lines


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""F:\antivirus\avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""F:\antivirus\avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""F:\antivirus\avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""F:\antivirus\avast4\ashWebSv.exe" /service" ["ALWIL Software"]
NVIDIA Driver Helper Service, NVSvc, "E:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "E:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "E:\WINDOWS\System32\wdfmgr.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "Yes" at the first message box.
---------- (total run time: 74 seconds, including 18 seconds for message boxes)
0
Utilisateur anonyme
15 juil. 2005 à 12:32
salut

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe


 Redémarre en mode sans échec
Laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D56A1203-1452-EBA1-7294-EE3377770000}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=dword:00000000
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDispBackgroundPage"=dword:00000000
"NoDispBackgroundPage"=-



Puis enregistrer sous et dans:
Nom du fichier, met fix.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur fix.reg et accepte de fusionner

--------------------------------------------

Double clic sur killbox.exe (Pocket Killbox)

- clic sur tool > delete temp files
- coche: delete on reboot

- Dans "Full Path of File to Delete"
copie et colle:

E:\WINDOWS\System32\param32.dll

- clic sur le rond rouge
- une fenetre va apparaitre pour confirmation clic sur YES
- une seconde fenetre te demande si tu veux redemarrer clic sur YES

Laisse le pc redemarrer et après reposte un log hijackthis et dis moi si tu as toujours des problemes.

vérifie aussi ceci:

Démarrer > panneau de configuration > affichage
clic sur l'onglet bureau
clic sur personnalisation du bureau
clic sur l'onglet Web
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
une fois fait, ca doit etre comme sur cette image:
http://get.yourfile.net/ie52977.gif

a+
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
15 juil. 2005 à 13:02
salut moe
ou est la relation dans le rapport avec ceci stp
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-

merci mec je la vois pas
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Merci beaucoup !!!!

Apparemment tout va bien.
Je 'ai pas trouver l'onglet bureau dans affichage etn'ai donc pas pu faire ta dernière procédure.
Mais bon tout semble correct.

encore merci et passe un bon WE.
@+
0
Utilisateur anonyme
15 juil. 2005 à 13:22
salut balltrap

elle est impossible à fixer avec hijack tant que param32.dll est là.
et redirigé en general vers le site hotoffers.
http://users.telenet.be/marcvn/spyware/1075320.htm
et le reg ici:
http://users.telenet.be/marcvn/regfiles/hotoffersfix.zip

pour l'onglet bureau:

ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispBackgroundPage"=-
"NoDispAppearancePage"=-


Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type de fichier: selectionne "tous les fichiers"
clic sur enregistrer

ensuite double clic sur bureau.reg et accepte de fusionner

l'effet doit en principe etre immédiat, sinon redemarre le pc

si apres cette manip, d'autres onglets sont absents, comme l'onglet web...
telecharge et lance ce fichier:
http://www.bleepingcomputer.com/files/reg/smitfraud.reg

a+
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
15 juil. 2005 à 13:29
merci moe
tu a deja tenter de le virer sans le reg juste avec hj
0
Utilisateur anonyme
15 juil. 2005 à 13:37
oui, on peut la virer en sans echec avec hijack, mais si on vire pas le fichier elle reapparait au reboot.

J'aurais pu faire plus simple pour les manips, lol
j'ai voulu tout grouper....

Par contre dans silentrunner, le rapport indique bien que les onglets sont masqués mais la clé qu'il cite n'a pas l'air d'etre la bonne:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}

HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001
[removes Display Properties, Desktop (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Desktop tab}
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
15 juil. 2005 à 13:46
chez moi celle ci correspond a l onghlet web
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001
dword:00000001 =onglet masquer
0
Merci M'sieur.
Si tout pouvait aller aussi vite !
Passe un bon W.E
0
Utilisateur anonyme
15 juil. 2005 à 14:01
exact, je confond avec NoDispAppearancePage lol

Je dois m'absenter, merci de suivre le post

a+
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
15 juil. 2005 à 14:13
salut
ton probleme est resolu
0