Bureau remplacé par une publicité

Résolu
neness -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
bonjour,
j'ai été infectée par une pub sur mon bureau "your computer is infected". grace aux précédentes discussions j'ai réussi à l'enlver en suivant les explications de Régis59 (que je remercie) mais j'ai encore des ennuis :
"PSGUARD" revient après chaque connection à internet
un cercle rouge avec un point d'exclamation est toujours dans la barre du menu démarrer, à droite
mon pc est assez long au démarrage surtout jusqu'au lancement de la fenetre msn (propose de me connecter)
ci-joint un rapport hijack
Logfile of HijackThis v1.99.1
Scan saved at 17:30:05, on 09/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\Netcom\Netcom.exe
C:\Norman\NVC\BIN\ZLH.EXE
C:\WINDOWS\etb\pokapoka65.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Program Files\Lexmark 3100 Series\lxbrcmon.exe
C:\Program Files\Booster Wanadoo\wanadoo_booster.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*windowsupdate.microsoft.com;*windowsupdate.com;download.microsoft.com;codecs.microsoft.com;activex.microsoft.com;liveupdate.symantecliveupdate.com;liveupdate.symantec.com;services.wanadoo.fr;secure.wanadoo.fr;webgen.wanadoo.fr;images.wanadoo.fr;images2.wanadoo.fr;wanadoo.wha.com;wha.wanadoo.fr;pay.www.wanadoo.fr;www.wanadoo.fr;webmail*.wanadoo.fr;iapref.wanadoo.fr;wip2.wanadoo.fr;vip.voila.fr;maj.wanadoo.fr;qos.wanadoo.fr;guidejuniorscontroleparental.wanadoo.fr;wip2pro.wanadoo.fr;wpms.wanadoo.fr;mobile.wanadoo.fr;wpms.wanadoo.fr;photos.wanadoo.fr;musicb.wanadoo.fr;wassup.wanadoo.fr
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [Netcom] "C:\Program Files\Netcom\Netcom.exe"
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N
O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Booster Wanadoo.lnk = C:\Program Files\Booster Wanadoo\wanadoo_booster.exe
O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Afficher l'image non compressée - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/227
O8 - Extra context menu item: Afficher toutes les images non compressées - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/250
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD4A7278-1657-476D-A6AA-6583A841AE5D}: NameServer = 80.10.246.134 80.10.246.7
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

J'ai téléchargé ad-aware ; aboutbuster5 ; cleanup40 et spybot (je l'avais déjà)

merci d'avance

4 réponses

  1. Utilisateur anonyme
     
    bonjour
    telecharge ceci:
    http://siri.urz.free.fr/Fix/SmitfraudFix.zip
    tu le decompresse tu double clik dessus et tu choisi l option 1
    cela va generer un rapport donne nous le

    *******
    redemarre en sans echec
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5)

    relance le et choisi cette fois l option 2 et repond oui a tous
    enregistre le rapport
    redemarre et donne le nouveau rapport

    *******
    redemarre
    et vérifie ceci:
    Démarrer > panneau de configuration > affichage
    clic sur l'onglet bureau
    clic sur personnalisation du bureau
    clic sur l'onglet Web
    supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE
    une fois fait, ca doit etre comme sur cette image:
    http://get.yourfile.net/ie52977.gif

    ***
    puis remet un fond d'écran

    ***

    Reposte a la fin un hijack

    A+
    0
    1. neness
       
      J'ai fait tout ce que tu m'as dit et voici les rapports (dans l'ordre)
      RAPPORT 1
      SmitFraudFix v1.84

      Rapport fait à 18:20:44,14 le 09/04/2005
      Executé à partir de C:\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web

      C:\WINDOWS\Web\desktop.html PRESENT!

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32

      C:\WINDOWS\system32\intell32.exe PRESENT !
      C:\WINDOWS\system32\oleext.dll PRESENT !
      C:\WINDOWS\system32\srpcsrv32.dll PRESENT !

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Vanessa\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Vanessa\Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files

      C:\Program Files\PSGuard\ PRESENT!

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche fichiers créés le 09/04/2005
      !!! Attention, les fichiers qui suivent ne sont pas forcément infectés !!!

      C:\backups
      C:\checkgfie5344.exe
      C:\hiberfil.sys
      C:\pagefile.sys
      C:\Program
      C:\SmitfraudFix
      C:\System
      C:\WINDOWS
      C:\WINDOWS\.
      C:\WINDOWS\..
      C:\WINDOWS\0.log
      C:\WINDOWS\bootstat.dat
      C:\WINDOWS\Debug
      C:\WINDOWS\Downloaded
      C:\WINDOWS\etb
      C:\WINDOWS\FLASHKSK.INI
      C:\WINDOWS\inf
      C:\WINDOWS\lexstat.ini
      C:\WINDOWS\LXBRCAH.ini
      C:\WINDOWS\ModemLog_Modem
      C:\WINDOWS\ModemLog_PCI
      C:\WINDOWS\ntbtlog.txt
      C:\WINDOWS\Prefetch
      C:\WINDOWS\repair
      C:\WINDOWS\SchedLgU.Txt
      C:\WINDOWS\security
      C:\WINDOWS\setupapi.log
      C:\WINDOWS\system32
      C:\WINDOWS\Temp
      C:\WINDOWS\Web
      C:\WINDOWS\wiadebug.log
      C:\WINDOWS\wiaservc.log
      C:\WINDOWS\WindowsUpdate.log
      C:\WINDOWS\system32\.
      C:\WINDOWS\system32\..
      C:\WINDOWS\system32\CatRoot2
      C:\WINDOWS\system32\intell32.exe
      C:\WINDOWS\system32\nvapps.xml
      C:\WINDOWS\system32\Restore

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

      HKLM\SOFTWARE\SHUDDERLTD Présent !

      C:\WINDOWS\system32\wininet.dll infecté !

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche wininet.dll de remplacement

      Le volume dans le lecteur C s'appelle 53_03_40
      Le num‚ro de s‚rie du volume est 10E3-A0DF

      R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$

      02/06/2004 18:08 592ÿ896 wininet.dll
      1 fichier(s) 592ÿ896 octets

      R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr

      02/18/2005 17:36 596ÿ992 wininet.dll
      1 fichier(s) 596ÿ992 octets

      R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE

      02/19/2005 04:11 586ÿ240 wininet.dll
      1 fichier(s) 586ÿ240 octets

      R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e

      08/20/2004 01:09 660ÿ480 wininet.dll
      1 fichier(s) 660ÿ480 octets

      R‚pertoire de C:\WINDOWS\system32

      11/11/2004 20:51 593ÿ920 wininet.dll
      1 fichier(s) 593ÿ920 octets

      R‚pertoire de C:\WINDOWS\system32\dllcache

      11/11/2004 20:51 593ÿ920 WININET.DLL
      1 fichier(s) 593ÿ920 octets

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport





      RAPPORT2
      SmitFraudFix v1.84

      Rapport fait à 18:27:35,67 le 09/04/2005
      Executé à partir de C:\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

      C:\WINDOWS\Web\desktop.html supprimé
      C:\WINDOWS\system32\intell32.exe supprimé
      Problème suppression C:\WINDOWS\system32\oleext.dll
      C:\WINDOWS\system32\spoolsrv32.exe supprimé
      C:\WINDOWS\system32\srpcsrv32.dll supprimé

      C:\Program Files\PSGuard\ supprimé


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
      HKLM\SOFTWARE\SHUDDERLTD supprimé

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» Recheche wininet.dll

      C:\WINDOWS\system32\wininet.dll infecté !

      Recherche d'une copie de secours (backup) de wininet.dll...
      Le volume dans le lecteur C s'appelle 53_03_40
      Le num‚ro de s‚rie du volume est 10E3-A0DF

      R‚pertoire de C:\WINDOWS\$NtUninstallKB889293-IE6SP1-20041111.235619$

      02/06/2004 18:08 592ÿ896 wininet.dll
      1 fichier(s) 592ÿ896 octets

      R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\rtmgdr

      02/18/2005 17:36 596ÿ992 wininet.dll
      1 fichier(s) 596ÿ992 octets

      R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\d503d96f06aaba242a764e78c3ce887b\RTMQFE

      02/19/2005 04:11 586ÿ240 wininet.dll
      1 fichier(s) 586ÿ240 octets

      R‚pertoire de C:\WINDOWS\SoftwareDistribution\Download\dfd63227c75f2f41fff1e2c80885381e

      08/20/2004 01:09 660ÿ480 wininet.dll
      1 fichier(s) 660ÿ480 octets

      R‚pertoire de C:\WINDOWS\system32

      11/11/2004 20:51 593ÿ920 wininet.dll
      1 fichier(s) 593ÿ920 octets

      R‚pertoire de C:\WINDOWS\system32\dllcache

      11/11/2004 20:51 593ÿ920 WININET.DLL
      1 fichier(s) 593ÿ920 octets

      Fichier trouvé : C:\WINDOWS\system32\dllcache\wininet.dll
      Version System : 6.0.2800.1468
      Version BackUp : 6.0.2800.1468

      Remplacement wininet.dll (reboot necessaire)

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport





      RAPPORT 3SmitFraudFix v1.84

      Rapport fait à 18:30:46,67 le 09/04/2005
      Executé à partir de C:\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600]

      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Vanessa\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Documents and Settings\Vanessa\Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de la clé HKLM\SOFTWARE\SHUDDERLTD

      HKLM\SOFTWARE\SHUDDERLTD non trouvé.

      »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport




      et le rapport hijackLogfile of HijackThis v1.99.1
      Scan saved at 18:44:39, on 09/04/2005
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      C:\Norman\NVC\BIN\Zanda.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\wdfmgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\RUNDLL32.EXE
      C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe
      C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
      C:\PROGRA~1\Wanadoo\CnxMon.exe
      C:\PROGRA~1\MESSAG~1\StartMessager.exe
      C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      C:\Program Files\Netcom\Netcom.exe
      C:\Norman\NVC\BIN\ZLH.EXE
      C:\WINDOWS\etb\pokapoka65.exe
      C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe
      C:\NORMAN\Nvc\BIN\NYMSE.EXE
      C:\NORMAN\Nvc\BIN\NIP.EXE
      C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
      C:\Program Files\Lexmark 3100 Series\lxbrcmon.exe
      C:\NORMAN\Nvc\BIN\nipsvc.exe
      C:\NORMAN\Nvc\BIN\NJEEVES.EXE
      C:\NORMAN\Nvc\BIN\nvcoas.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Booster Wanadoo\wanadoo_booster.exe
      C:\NORMAN\Nvc\BIN\cclaw.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\Explorer.EXE
      C:\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:7180
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*windowsupdate.microsoft.com;*windowsupdate.com;download.microsoft.com;codecs.microsoft.com;activex.microsoft.com;liveupdate.symantecliveupdate.com;liveupdate.symantec.com;services.wanadoo.fr;secure.wanadoo.fr;webgen.wanadoo.fr;images.wanadoo.fr;images2.wanadoo.fr;wanadoo.wha.com;wha.wanadoo.fr;pay.www.wanadoo.fr;www.wanadoo.fr;webmail*.wanadoo.fr;iapref.wanadoo.fr;wip2.wanadoo.fr;vip.voila.fr;maj.wanadoo.fr;qos.wanadoo.fr;guidejuniorscontroleparental.wanadoo.fr;wip2pro.wanadoo.fr;wpms.wanadoo.fr;mobile.wanadoo.fr;wpms.wanadoo.fr;photos.wanadoo.fr;musicb.wanadoo.fr;wassup.wanadoo.fr
      R3 - Default URLSearchHook is missing
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe"
      O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
      O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
      O4 - HKLM\..\Run: [Netcom] "C:\Program Files\Netcom\Netcom.exe"
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\NVC\BIN\ZLH.EXE /LOAD /SPLASH
      O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N
      O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N
      O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
      O4 - Global Startup: Booster Wanadoo.lnk = C:\Program Files\Booster Wanadoo\wanadoo_booster.exe
      O4 - Global Startup: Event Reminder.lnk = C:\Program Files\Broderbund\PrintMaster\PMremind.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
      O8 - Extra context menu item: Afficher l'image non compressée - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/227
      O8 - Extra context menu item: Afficher toutes les images non compressées - res://C:\Program Files\Booster Wanadoo\wanadoo_booster.exe/250
      O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
      O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
      O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{BD4A7278-1657-476D-A6AA-6583A841AE5D}: NameServer = 80.10.246.134 80.10.246.7
      O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
      O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\Nvc\BIN\NJEEVES.EXE
      O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe
      O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
      O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


      Par contre, pour la personnalisation du bureau, j'ai bien réussi à remettre un fond d'écran, mais lorsque je vais dans l'onglet web, il n'y a rien du tout, pas même la case "ma page d'accueil"...

      merci d'avance
      0
  2. Utilisateur anonyme
     
    Bonjour,

    Méthode à suivre dans l'ordre...
    ----------------------------------------------------------------------------
    ¤Télécharge ces logiciels mais que tu n‘utilises pas tout de suite:

    1/Spybot S&D 1.4 <<nouvelle version
    http://www.safer-networking.org/fr/index.html

    Démo d’utilisation (merci à Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

    2/Ad-Aware SE 1.06 <<nouvelle version
    http://www.lavasoftusa.com/software/adaware/
    -Une aide:
    http://www.tutopat.com/viewtopic.php?t=1191
    - installe le patch français, tu pourras le trouver ici:
    http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
    et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/adawrevid.asf

    3/Clean Up 40:
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    -aide en image:(merci à Balltrap34)
    http://pageperso.aol.fr/balltrap34/democleanup.htm
    ----------------------------------------------------------------------------
    ¤Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5)
    ----------------------------------------------------------------------------
    ¤Affiche tous les fichiers et dossiers :
    Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

    Coche « afficher les fichiers et dossiers cachés »

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décoche « masquer les extensions dont le type est connu »
    Puis fais «Ok» pour valider les changements.

    Et appliquer !
    ----------------------------------------------------------------------------
    ¤Vide tes fichiers temps et tempory internet file:
    utilise ceci pour le faire (tu as téléchargé avant)
    http://pageperso.aol.fr/balltrap34/CleanUp40.exe
    ----------------------------------------------------------------------------
    ¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*windowsupdate.microsoft.com;*windowsupdate.com;download.microsoft.com;codecs.m icrosoft.com;activex.microsoft.com;liveupdate.symantecliveupdate.com;liveupdate. symantec.com;services.wanadoo.fr;secure.wanadoo.fr;webgen.wanadoo.fr;images.wana doo.fr;images2.wanadoo.fr;wanadoo.wha.com;wha.wanadoo.fr;pay.www.wanadoo.fr;www. wanadoo.fr;webmail*.wanadoo.fr;iapref.wanadoo.fr;wip2.wanadoo.fr;vip.voila.fr;ma j.wanadoo.fr;qos.wanadoo.fr;guidejuniorscontroleparental.wanadoo.fr;wip2pro.wana doo.fr;wpms.wanadoo.fr;mobile.wanadoo.fr;wpms.wanadoo.fr;photos.wanadoo.fr;music b.wanadoo.fr;wassup.wanadoo.fr

    R3 - Default URLSearchHook is missing

    O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N

    O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N

    O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe

    O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab

    ----------------------------------------------------------------------------
    ¤Recherche et supprime ceci:
    attention seulement les fichiers (si présents)

    C:\WINDOWS\System32\france.exe -N
    C:\WINDOWS\etb <--le dossier
    c:\eied_s7.cab

    ----------------------------------------------------------------------------
    ¤ Passe Ad-Aware et vire tout ce qu’il trouve
    ----------------------------------------------------------------------------
    ¤ Passe Spybot et vire tout ce qu’il trouve
    ----------------------------------------------------------------------------
    > Tu vides ta poubelle et tu redémarres en mode normal et refait un HijackThis

    Précise tes soucis s’il en reste....

    Tiens-moi au courant

    a+
    0
    1. neness
       
      bonjour,
      j'ai fait tout ce que tu m'as dit et apparement tout refonctionne très bien !
      je te remercie mille fois pour ton aide. je ne connaissais pas ce site avant et c'est vraiment super, en plus les liens vers les démo de logiciels sont très bien fait !!
      merci, merci et encore merci
      0
  3. Utilisateur anonyme
     
    De rien neness
    ce fut un plaisir

    -->recache tes fichiers caches

    Et si tu as besoin, tu peux compter sur notre EQUIPE

    BISOUS
    0