Probleme page de demarrage IE6
finko
-
smipper -
smipper -
Salut a tous,
j'ai Internet Explorer 6 et a chaque fois que j'allume mon pc, la page de demarrage est www.searchv.com.
Je suis allé dans Outils/options internet et j'ai modifié la page de demarrage mais elle revient lorsque je rallume mon pc.
J'ai testé Spybot et il a detecté 2 programmes:
-Backweb lite : autorun settings
-coolWWWsearch,
j'ai supprimé ce sprogrammes mais ils reviennent a chaque redemarrage de mon ordi.
Ad-aware et www.secuser.com n'ont rien détecté.
mon pc est un athlon 1800+ avec windows xp.
J'offre 5 millions de dollars a celui qui pourra resoudre mon probleme...
j'ai Internet Explorer 6 et a chaque fois que j'allume mon pc, la page de demarrage est www.searchv.com.
Je suis allé dans Outils/options internet et j'ai modifié la page de demarrage mais elle revient lorsque je rallume mon pc.
J'ai testé Spybot et il a detecté 2 programmes:
-Backweb lite : autorun settings
-coolWWWsearch,
j'ai supprimé ce sprogrammes mais ils reviennent a chaque redemarrage de mon ordi.
Ad-aware et www.secuser.com n'ont rien détecté.
mon pc est un athlon 1800+ avec windows xp.
J'offre 5 millions de dollars a celui qui pourra resoudre mon probleme...
A voir également:
- Probleme page de demarrage IE6
- Forcer demarrage pc - Guide
- Problème démarrage windows 10 - Guide
- Ordinateur lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Impossible de supprimer une page word - Guide
41 réponses
Salut Laumi,
Merci pour toutes ces indications ....
A priori, c'est bon j'ai pu virer et faire le nettoyage ... J'ai utilisé, en plus de hijackthis, un nettoyeur qui s'appelle, CWSHREDDER et pour moi, ça a marché ... Donc à conseiller .... En tout cas, merci pour ces conseils et pour le temps que tu passes à aider un peu tout le monde.
Dimitri
Merci pour toutes ces indications ....
A priori, c'est bon j'ai pu virer et faire le nettoyage ... J'ai utilisé, en plus de hijackthis, un nettoyeur qui s'appelle, CWSHREDDER et pour moi, ça a marché ... Donc à conseiller .... En tout cas, merci pour ces conseils et pour le temps que tu passes à aider un peu tout le monde.
Dimitri
J'ai eu le même blème que toi et après plusieurs essais j'ai formaté la partition sur laquelle était windows et depuis no problemo. Il vaut mieux installer windows sur une petite partition genre 2 Go et le tour est joué. Qu'ils aye crever ces enf..... de searchv.com
Salut
Merci pour le conseil.
C'est vrai que ç'est galère ce virus ....
Par contre, je teconseille de télécharger un nettoyeur qui s'appelle CWSHREDDER. Tu trouveras le lien ds un des messages du forum. Ca a bien marché. Et ensuite, tu nettoies ton disque avec Hijackthis. Et là fini les problèmes :o))) Il ya plein de conseils d'utilisation sur le forum. Je me suis debrouillé grâce à ça ...
@+
Dimitri
Merci pour le conseil.
C'est vrai que ç'est galère ce virus ....
Par contre, je teconseille de télécharger un nettoyeur qui s'appelle CWSHREDDER. Tu trouveras le lien ds un des messages du forum. Ca a bien marché. Et ensuite, tu nettoies ton disque avec Hijackthis. Et là fini les problèmes :o))) Il ya plein de conseils d'utilisation sur le forum. Je me suis debrouillé grâce à ça ...
@+
Dimitri
Salut
G actuellement le problème que tout le monde semble avoir (style searchv). Le mien a moi c royalsearch.net (je vous conseille de ne pas vs y aventurer c blindé de saloperies). Après lecture attentive de toute la page g décidé d'utiliser Hijack this. G supprimé tous les fichiers douteux. MAIS au démarrage suivant, ils st revenus, ma page d'accueil est tjrs la même. Je suis découragé. Je suis sous win2000 et g utilisé la version 1.97.7 d'hijack this
Est-ce qu'une âme charitable peut m'aider?
G actuellement le problème que tout le monde semble avoir (style searchv). Le mien a moi c royalsearch.net (je vous conseille de ne pas vs y aventurer c blindé de saloperies). Après lecture attentive de toute la page g décidé d'utiliser Hijack this. G supprimé tous les fichiers douteux. MAIS au démarrage suivant, ils st revenus, ma page d'accueil est tjrs la même. Je suis découragé. Je suis sous win2000 et g utilisé la version 1.97.7 d'hijack this
Est-ce qu'une âme charitable peut m'aider?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pr info g utilisé cw shredder et ca na rien donné. Voici mon log de hijack this:
Les mauvais fichier st royalsearch et sexpatriot. Peut etre que j utilise mal hijack this et que je n'efface pas assez de files.
Logfile of HijackThis v1.97.7
Scan saved at 04:41:03, on 22/12/2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
C:\WINNT\system32\TCAUDIAG.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINNT\system32\WF2K.EXE
C:\Kazaa\kazaa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\winnt\system32\WinSrv.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\Mes téléchargements\Hijack this Virer Royal Search\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.royalsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.royalsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.142.163 msn.com
O1 - Hosts: 66.98.142.163 www.msn.com
O1 - Hosts: 66.98.142.163 yahoo.com
O1 - Hosts: 66.98.142.163 www.yahoo.com
O1 - Hosts: 66.98.142.163 google.com
O1 - Hosts: 66.98.142.163 www.google.com
O1 - Hosts: 66.98.142.163 thenun.com
O1 - Hosts: 66.98.142.163 www.thehun.com
O1 - Hosts: 66.98.142.163 thehun.net
O1 - Hosts: 66.98.142.163 www.thehun.net
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\system32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NsUpdate] C:\WINNT\NsUpdate.exe UPDATE
O4 - HKLM\..\Run: [Msoffice] C:\WINNT\Fonts\msoffice.hta
O4 - HKLM\..\Run: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\Run: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\Run: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\Run: [Microsoft Explorer2] system.exe
O4 - HKLM\..\Run: [WinSrv] C:\winnt\system32\hiddenrun.exe WinSrv.exe
O4 - HKLM\..\Run: [KAZAA] C:\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\RunServices: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer2] system.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SATARaid.lnk = C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/198b5c8f2c5a60cf4922/netzip/RdxIE601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.3000462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
SI QQN PEUT M AIDER SON NOM SERA SYNONYME DE FELICITE DANS MA FAMILLE PENDANT DES GENERATIONS...!!
Les mauvais fichier st royalsearch et sexpatriot. Peut etre que j utilise mal hijack this et que je n'efface pas assez de files.
Logfile of HijackThis v1.97.7
Scan saved at 04:41:03, on 22/12/2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
C:\WINNT\system32\TCAUDIAG.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINNT\system32\WF2K.EXE
C:\Kazaa\kazaa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\winnt\system32\WinSrv.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\Mes téléchargements\Hijack this Virer Royal Search\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.royalsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.royalsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.142.163 msn.com
O1 - Hosts: 66.98.142.163 www.msn.com
O1 - Hosts: 66.98.142.163 yahoo.com
O1 - Hosts: 66.98.142.163 www.yahoo.com
O1 - Hosts: 66.98.142.163 google.com
O1 - Hosts: 66.98.142.163 www.google.com
O1 - Hosts: 66.98.142.163 thenun.com
O1 - Hosts: 66.98.142.163 www.thehun.com
O1 - Hosts: 66.98.142.163 thehun.net
O1 - Hosts: 66.98.142.163 www.thehun.net
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\system32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NsUpdate] C:\WINNT\NsUpdate.exe UPDATE
O4 - HKLM\..\Run: [Msoffice] C:\WINNT\Fonts\msoffice.hta
O4 - HKLM\..\Run: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\Run: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\Run: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\Run: [Microsoft Explorer2] system.exe
O4 - HKLM\..\Run: [WinSrv] C:\winnt\system32\hiddenrun.exe WinSrv.exe
O4 - HKLM\..\Run: [KAZAA] C:\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\RunServices: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer2] system.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SATARaid.lnk = C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/198b5c8f2c5a60cf4922/netzip/RdxIE601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.3000462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
SI QQN PEUT M AIDER SON NOM SERA SYNONYME DE FELICITE DANS MA FAMILLE PENDANT DES GENERATIONS...!!
Salut Tarass Boulba
Supprimes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.royalsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.royalsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.142.163 msn.com
O1 - Hosts: 66.98.142.163 www.msn.com
O1 - Hosts: 66.98.142.163 yahoo.com
O1 - Hosts: 66.98.142.163 www.yahoo.com
O1 - Hosts: 66.98.142.163 google.com
O1 - Hosts: 66.98.142.163 www.google.com
O1 - Hosts: 66.98.142.163 thenun.com
O1 - Hosts: 66.98.142.163 www.thehun.com
O1 - Hosts: 66.98.142.163 thehun.net
O1 - Hosts: 66.98.142.163 www.thehun.net
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
tu devras redéfinir une page de démarrage.
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
----->ces 2 entrées te donnes la possibilité d'utiliser google à la place du moteur de recherche de microsoft(msn) lorsque tu es sur internet:je suppose que c'est toi qui l'a installée , c'est pour celà que je ne te dis pas de la virer , si ce n'est pas le cas .....
N'oublies pas de faire d'abord une back up ( sécurité oblige).
J'espère n'avoir rien oublié.
Tiens nous au courrant
a+
laumi
Supprimes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.royalsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.royalsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.142.163 msn.com
O1 - Hosts: 66.98.142.163 www.msn.com
O1 - Hosts: 66.98.142.163 yahoo.com
O1 - Hosts: 66.98.142.163 www.yahoo.com
O1 - Hosts: 66.98.142.163 google.com
O1 - Hosts: 66.98.142.163 www.google.com
O1 - Hosts: 66.98.142.163 thenun.com
O1 - Hosts: 66.98.142.163 www.thehun.com
O1 - Hosts: 66.98.142.163 thehun.net
O1 - Hosts: 66.98.142.163 www.thehun.net
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
tu devras redéfinir une page de démarrage.
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
----->ces 2 entrées te donnes la possibilité d'utiliser google à la place du moteur de recherche de microsoft(msn) lorsque tu es sur internet:je suppose que c'est toi qui l'a installée , c'est pour celà que je ne te dis pas de la virer , si ce n'est pas le cas .....
N'oublies pas de faire d'abord une back up ( sécurité oblige).
J'espère n'avoir rien oublié.
Tiens nous au courrant
a+
laumi
Salut Laumi
Merci pour ta réponse qui fut très rapide.
Alors g tout supprimé comme tu m'as dis, en utilisant hijack this simplement (pas shredder).
Mais rien n'y a fait, royalsearch et Cie st revenus au redémarrage.
Je pense que c'est qqchose qui se charge à la fin du démarrage de l'ordi, peut-être faut-il bidouiller regedit à ce niveau là, mais bidouiller regedit je le fais plus car mon ancien ordi en souffre encore.
Je suis donc à nouveau impuissant, g l'impression que rien de ce qu'à viré Hijackthis est parti, d'ailleurs je te remets pour info le nouveau log.
Logfile of HijackThis v1.97.7
Scan saved at 17:46:53, on 22/12/2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
C:\WINNT\system32\TCAUDIAG.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINNT\system32\WF2K.EXE
C:\Kazaa\kazaa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\winnt\system32\WinSrv.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Mes téléchargements\Hijack this Virer Royal Search\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.royalsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.royalsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.142.163 auto.search.msn.com
O1 - Hosts: 66.98.142.163 search.msn.com
O1 - Hosts: 66.98.142.163 msn.com
O1 - Hosts: 66.98.142.163 www.msn.com
O1 - Hosts: 66.98.142.163 yahoo.com
O1 - Hosts: 66.98.142.163 www.yahoo.com
O1 - Hosts: 66.98.142.163 google.com
O1 - Hosts: 66.98.142.163 www.google.com
O1 - Hosts: 66.98.142.163 thenun.com
O1 - Hosts: 66.98.142.163 www.thehun.com
O1 - Hosts: 66.98.142.163 thehun.net
O1 - Hosts: 66.98.142.163 www.thehun.net
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\system32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NsUpdate] C:\WINNT\NsUpdate.exe UPDATE
O4 - HKLM\..\Run: [Msoffice] C:\WINNT\Fonts\msoffice.hta
O4 - HKLM\..\Run: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\Run: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\Run: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\Run: [Microsoft Explorer2] system.exe
O4 - HKLM\..\Run: [WinSrv] C:\winnt\system32\hiddenrun.exe WinSrv.exe
O4 - HKLM\..\Run: [KAZAA] C:\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\RunServices: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer2] system.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SATARaid.lnk = C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/198b5c8f2c5a60cf4922/netzip/RdxIE601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.3000462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
MERCI ENCORE.
Merci pour ta réponse qui fut très rapide.
Alors g tout supprimé comme tu m'as dis, en utilisant hijack this simplement (pas shredder).
Mais rien n'y a fait, royalsearch et Cie st revenus au redémarrage.
Je pense que c'est qqchose qui se charge à la fin du démarrage de l'ordi, peut-être faut-il bidouiller regedit à ce niveau là, mais bidouiller regedit je le fais plus car mon ancien ordi en souffre encore.
Je suis donc à nouveau impuissant, g l'impression que rien de ce qu'à viré Hijackthis est parti, d'ailleurs je te remets pour info le nouveau log.
Logfile of HijackThis v1.97.7
Scan saved at 17:46:53, on 22/12/2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
C:\WINNT\system32\TCAUDIAG.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Winamp3\winampa.exe
C:\WINNT\system32\WF2K.EXE
C:\Kazaa\kazaa.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\winnt\system32\WinSrv.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
C:\WINNT\system32\ntvdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Mes téléchargements\Hijack this Virer Royal Search\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.royalsearch.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sexpatriot.net/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.royalsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.royalsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.royalsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 66.98.142.163 auto.search.msn.com
O1 - Hosts: 66.98.142.163 search.msn.com
O1 - Hosts: 66.98.142.163 msn.com
O1 - Hosts: 66.98.142.163 www.msn.com
O1 - Hosts: 66.98.142.163 yahoo.com
O1 - Hosts: 66.98.142.163 www.yahoo.com
O1 - Hosts: 66.98.142.163 google.com
O1 - Hosts: 66.98.142.163 www.google.com
O1 - Hosts: 66.98.142.163 thenun.com
O1 - Hosts: 66.98.142.163 www.thehun.com
O1 - Hosts: 66.98.142.163 thehun.net
O1 - Hosts: 66.98.142.163 www.thehun.net
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -on
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [WinFoxV2] C:\WINNT\system32\WF2K.EXE
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NsUpdate] C:\WINNT\NsUpdate.exe UPDATE
O4 - HKLM\..\Run: [Msoffice] C:\WINNT\Fonts\msoffice.hta
O4 - HKLM\..\Run: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\Run: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\Run: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\Run: [Microsoft Explorer2] system.exe
O4 - HKLM\..\Run: [WinSrv] C:\winnt\system32\hiddenrun.exe WinSrv.exe
O4 - HKLM\..\Run: [KAZAA] C:\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Kernel Functionalities] msrundll.exe
O4 - HKLM\..\RunServices: [Microsoft Data Acces Objects] msdao32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Depedency Rerouter] QMS32.exe
O4 - HKLM\..\RunServices: [Microsoft Explorer2] system.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SATARaid.lnk = C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip 8.1 Fr\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/198b5c8f2c5a60cf4922/netzip/RdxIE601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37887.3000462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
MERCI ENCORE.
Salut TARASS BOULBA
Désolé de te répondre si tard et que ton problème persiste.
Je crois qu'il faut se retrouser les manches.
As-tu Ad-aware et Spybot Search & Destroy si non -->intalles les , lances les, nettoyes si besoin .
Quand le blème est apparu :quelles étaient les modifs ou programmes / drivers ....que tu aurais pu installer..... celà permettrait de cibler la recherche.
Regardes ce qui se lance au démarrage (demarrer/executer-->taper msconfig -ok- onglet démarrage -->décoches si tu retrouves des m....es
Refais un hijack ,nettoyes ne reboutes pas .Affiches (si c'est pas déjà fait) tes dossiers cachés : outil/option des dossiers /affichage-->afficher les fichiers et dossiers cachés
Si celà revient c'est que c'est niché dans un répertoire en apparence sain . Il faudrait que tu jètes aussi un oeil dans :C:\window\system32\ les répertoires qui ont des .exe qui se lance au démarrage , dans le log il sont au lignes : 04 (hiddenrun.exe ..)parcours les fichiers ,dossiers récemments installés ( program files) regardes s'ils ne sont pas squattés . Ne te précipites pas pour effacer recherches , demandes , fais des copies des fichiers au cas où .
Tu tournes sous quel système xp, 2000 ...
Courages
A+
laumi
Désolé de te répondre si tard et que ton problème persiste.
Je crois qu'il faut se retrouser les manches.
As-tu Ad-aware et Spybot Search & Destroy si non -->intalles les , lances les, nettoyes si besoin .
Quand le blème est apparu :quelles étaient les modifs ou programmes / drivers ....que tu aurais pu installer..... celà permettrait de cibler la recherche.
Regardes ce qui se lance au démarrage (demarrer/executer-->taper msconfig -ok- onglet démarrage -->décoches si tu retrouves des m....es
Refais un hijack ,nettoyes ne reboutes pas .Affiches (si c'est pas déjà fait) tes dossiers cachés : outil/option des dossiers /affichage-->afficher les fichiers et dossiers cachés
Si celà revient c'est que c'est niché dans un répertoire en apparence sain . Il faudrait que tu jètes aussi un oeil dans :C:\window\system32\ les répertoires qui ont des .exe qui se lance au démarrage , dans le log il sont au lignes : 04 (hiddenrun.exe ..)parcours les fichiers ,dossiers récemments installés ( program files) regardes s'ils ne sont pas squattés . Ne te précipites pas pour effacer recherches , demandes , fais des copies des fichiers au cas où .
Tu tournes sous quel système xp, 2000 ...
Courages
A+
laumi
MERCI Laumi, merci à Google qui m'a permis de te trouver un soir de déprime. Je suis venu à bout de Royalsearch, c'est Spybot qui m'en a débarassé. En tout cas toute cette affaire aura eu une vertu pédagogique pour moi: désormais mon PC est un bunker surprotégé et c'est décidé fini les ballades sur des sites pas très catholiques!!!
Remerci.
Par contre depuis que g fait spyboot g ceci qui apparait au démarrage de Windows:
Une erreur est survenue sur le script de cette page.
Ligne 27
Car 1
Erreur: permission refusée
Code 0
URL: file//C:\WINNT\Fonts\ms.oofice.hta
Sais tu ce que cela signifie ?
Bon merci encore Laumi et Joyeuses Fêtes.
PS: Peu importe qui tu es, si un jour tu passes par Nancy tu es le bienvenu!!!!
Remerci.
Par contre depuis que g fait spyboot g ceci qui apparait au démarrage de Windows:
Une erreur est survenue sur le script de cette page.
Ligne 27
Car 1
Erreur: permission refusée
Code 0
URL: file//C:\WINNT\Fonts\ms.oofice.hta
Sais tu ce que cela signifie ?
Bon merci encore Laumi et Joyeuses Fêtes.
PS: Peu importe qui tu es, si un jour tu passes par Nancy tu es le bienvenu!!!!
Salut TARASS BOULBA ......et les anges :)
Ca fait vraiment plaisir que tu sois débarrassé de ces m....es.Et d'accord avec toi: pour avoir un peu de tranquilité sur le net -->se protéger.Tu peux toujours , créer un profil utilisateur auquel tu n'accordes que des droits trés restrictifs :interdiction d'enrégister , désactiver le javascript , ...(ainsi sur les sites à risques tu es un peu plus protégé), en bref juste le droit de consulter le net et l'interdiction de changer son statut.Le plus sage est d'éviter ces sites .
Pour ton message d'erreur au démarrage :
Es-ce que tu as open office ?Celà semble provenir d' un fichier protégé de polices de caractères ...Vas voir dans WINNT-->le dossier Fonts si c'est vraiment :'open office' soit tu effaces et réenrégistres le dossier 'font' soit tu réinstalles open office .
Si ce n'est pas open office il faut chercher à quelle application/programme celà appartient et réparer.
C'est le .hta qui m'étonne , je vais esayer de trouver des infos.
Tiens au courrant .
Joyeuses Fêtes pour toi aussi de ...Marseille et si un jour ...Nancy ...Merci .
A+
laumi
Ca fait vraiment plaisir que tu sois débarrassé de ces m....es.Et d'accord avec toi: pour avoir un peu de tranquilité sur le net -->se protéger.Tu peux toujours , créer un profil utilisateur auquel tu n'accordes que des droits trés restrictifs :interdiction d'enrégister , désactiver le javascript , ...(ainsi sur les sites à risques tu es un peu plus protégé), en bref juste le droit de consulter le net et l'interdiction de changer son statut.Le plus sage est d'éviter ces sites .
Pour ton message d'erreur au démarrage :
Es-ce que tu as open office ?Celà semble provenir d' un fichier protégé de polices de caractères ...Vas voir dans WINNT-->le dossier Fonts si c'est vraiment :'open office' soit tu effaces et réenrégistres le dossier 'font' soit tu réinstalles open office .
Si ce n'est pas open office il faut chercher à quelle application/programme celà appartient et réparer.
C'est le .hta qui m'étonne , je vais esayer de trouver des infos.
Tiens au courrant .
Joyeuses Fêtes pour toi aussi de ...Marseille et si un jour ...Nancy ...Merci .
A+
laumi
Hello les gars,
J'ai rencontré les mêmes problèmes que vous: piratage de la page de démarrage. Même en restorant la page d'origine, la page pourrie revenait.
En fait, j'ai quelques réponses à partager: j'en ai trop baver pour garder pour moi !
J'ai vite vu qu'en fait, quelque chose a modifié la base de registre, comme montré dans les posts ci dessus.
Il s'agissait en fait d'un fichier nommé msoffice.hta qui contenait le code modifiant la base de registre. Il faut reconnaitre que ce code est assez malin:
* Il modifie la base de registre pour que la page de démarrage pointe sur royalsearch
* il ajoute des entrées dans le fichier hosts, ce qui permet de rediriger les adresses en msn.com vers l'adresse IP 66.98.142.163, qui correspond sûrement à un autre site pourri.
msoffice.hta se trouve dans le répertoire c:winnt\fonts. Je ne sais pas comment il y est arrivé, ça me laisse rêveur...Ce fichier, par un autre miracle, est exécuté à chaque démarrage du PC.
Voilà pour les explications.
Remède:
* soit faire les manips décrites ci dessus, avec les outils
* soit reprogrammer msoffice.hta, pour qu'il restore la situation initiale. C'est la manip que j'ai fait. Pour ceux que ça intéresse, voici le code en question. Libre à vous de l'essayer: je ne garantis pas le résultat. A vous de zieuté ce que fait le code, et en âme est conscience, décider d'exécuter. Le code:
<script language=VBS>
'self.MoveTo 5000,5000
Set Shl = CreateObject("WScript.Shell")
set WshProEnv = Shl.Environment("PROCESS")
Set er=CreateObject("Scripting.FileSystemObject")
pth = WshProEnv("WINDIR") +"\system32\drivers\etc\hosts"
pth98 = WshProEnv("WINDIR") +"\hosts"
sub hosts()
'Pour restorer, supprimer ces entrées dans le fichier c:\winnt\system32\drivers\etc\hosts (y a pas d'extension) et rebooter
'aeb.WriteLine"66.98.142.163 auto.search.msn.com"
'aeb.WriteLine"66.98.142.163 search.msn.com"
'aeb.WriteLine"66.98.142.163 msn.com"
'aeb.WriteLine"66.98.142.163 www.msn.com"
end sub
'If er.FileExists(pth98)
'Then
' Set aeb=er.CreateTextFile(pth98)
' hosts()
'end if
'If er.FileExists(pth)
'Then
' Set aeb=er.CreateTextFile(pth)
' hosts()
'end if
loc = Shl.SpecialFolders("Favorites")
'Set Shor = Shl.CreateShortcut(loc + "\" + "RoyalSearch - Best Search Engine" +".URL")
'Shor.TargetPath = "http://www.royalsearch.net"
'Shor.Save()
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Start Page","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Search Page","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Use Search Asst","no"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\SearchUrl\","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Search\Default_Search_URL","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Search Page","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Search Page","www.google.fr"
'window.close()
</script>
J'ai rencontré les mêmes problèmes que vous: piratage de la page de démarrage. Même en restorant la page d'origine, la page pourrie revenait.
En fait, j'ai quelques réponses à partager: j'en ai trop baver pour garder pour moi !
J'ai vite vu qu'en fait, quelque chose a modifié la base de registre, comme montré dans les posts ci dessus.
Il s'agissait en fait d'un fichier nommé msoffice.hta qui contenait le code modifiant la base de registre. Il faut reconnaitre que ce code est assez malin:
* Il modifie la base de registre pour que la page de démarrage pointe sur royalsearch
* il ajoute des entrées dans le fichier hosts, ce qui permet de rediriger les adresses en msn.com vers l'adresse IP 66.98.142.163, qui correspond sûrement à un autre site pourri.
msoffice.hta se trouve dans le répertoire c:winnt\fonts. Je ne sais pas comment il y est arrivé, ça me laisse rêveur...Ce fichier, par un autre miracle, est exécuté à chaque démarrage du PC.
Voilà pour les explications.
Remède:
* soit faire les manips décrites ci dessus, avec les outils
* soit reprogrammer msoffice.hta, pour qu'il restore la situation initiale. C'est la manip que j'ai fait. Pour ceux que ça intéresse, voici le code en question. Libre à vous de l'essayer: je ne garantis pas le résultat. A vous de zieuté ce que fait le code, et en âme est conscience, décider d'exécuter. Le code:
<script language=VBS>
'self.MoveTo 5000,5000
Set Shl = CreateObject("WScript.Shell")
set WshProEnv = Shl.Environment("PROCESS")
Set er=CreateObject("Scripting.FileSystemObject")
pth = WshProEnv("WINDIR") +"\system32\drivers\etc\hosts"
pth98 = WshProEnv("WINDIR") +"\hosts"
sub hosts()
'Pour restorer, supprimer ces entrées dans le fichier c:\winnt\system32\drivers\etc\hosts (y a pas d'extension) et rebooter
'aeb.WriteLine"66.98.142.163 auto.search.msn.com"
'aeb.WriteLine"66.98.142.163 search.msn.com"
'aeb.WriteLine"66.98.142.163 msn.com"
'aeb.WriteLine"66.98.142.163 www.msn.com"
end sub
'If er.FileExists(pth98)
'Then
' Set aeb=er.CreateTextFile(pth98)
' hosts()
'end if
'If er.FileExists(pth)
'Then
' Set aeb=er.CreateTextFile(pth)
' hosts()
'end if
loc = Shl.SpecialFolders("Favorites")
'Set Shor = Shl.CreateShortcut(loc + "\" + "RoyalSearch - Best Search Engine" +".URL")
'Shor.TargetPath = "http://www.royalsearch.net"
'Shor.Save()
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Start Page","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Start Page","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Search Page","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Main\Use Search Asst","no"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\SearchUrl\","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant","www.google.fr"
Shl.RegWrite"HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Search\Default_Search_URL","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Search Page","www.google.fr"
Shl.RegWrite"HKCU\Software\Microsoft\Internet Explorer\Main\Search Page","www.google.fr"
'window.close()
</script>
Salut a tous
Merci pour votre aide, j'ai réussi a virer smartsearch grace a vos conseil.
Pour ma part j'ai utiliser spybot et j'ai virer les ligne smartsearch du regedit a la main.
Seulement il semblerait qu'il y ai une protection car chaque fois que j'ai entrer le mot spybot alors que j'étais infecté le programme (iexplorer ou mm spybot ou mm sont instal) se coupait.
J'ai du editer un autre profil pour utiliser spybot sans problème.
Je suis sous NT4 et sa marche
A + tous et merci de votre aide
Merci pour votre aide, j'ai réussi a virer smartsearch grace a vos conseil.
Pour ma part j'ai utiliser spybot et j'ai virer les ligne smartsearch du regedit a la main.
Seulement il semblerait qu'il y ai une protection car chaque fois que j'ai entrer le mot spybot alors que j'étais infecté le programme (iexplorer ou mm spybot ou mm sont instal) se coupait.
J'ai du editer un autre profil pour utiliser spybot sans problème.
Je suis sous NT4 et sa marche
A + tous et merci de votre aide
Bonjour,
J'ai un pb lorsque je suis sur une page internet, soudainement une page arrive sur l'ecran me signalant qu'il y a un pb avec iexplore.exe. on me propose d'envoyer ou non le rapport d'erreur et quand j'envoie le rapport d'erreur, je suis deconnecter d'internet. que dois je faire pour ne plus avoir ce pb.
SVP, pourriez vous me donner une solution pour resoudre ce pb.
Merci,
Jamel
J'ai un pb lorsque je suis sur une page internet, soudainement une page arrive sur l'ecran me signalant qu'il y a un pb avec iexplore.exe. on me propose d'envoyer ou non le rapport d'erreur et quand j'envoie le rapport d'erreur, je suis deconnecter d'internet. que dois je faire pour ne plus avoir ce pb.
SVP, pourriez vous me donner une solution pour resoudre ce pb.
Merci,
Jamel
J'ai beau cherché le programme qui me fige ma page de démarrage et me lance des pubs sur Ie6 en XP pro rien à faire ...
Actuellement la page lancée est :
res://ukwzo.dll/index.html#96676
sous c:\windows\system32 la Dll concernée est générée..
La log obtenue par HijackThis est la suivante
Si je retire les lignes avec ukwzo.dll, dés le redémarrage de windows une autre dll se génére... avec un autre nom
Pouvez vous m'aider merci
Logfile of HijackThis v1.97.7
Scan saved at 13:09:39, on 20/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\addov32.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\d3os32.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\GS\Telechargement\_Optimisation-Windows\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ukwzo.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ukwzo.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ukwzo.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ukwzo.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {D5184A7F-11EE-1961-8F3B-3DEE124EFEBB} - C:\WINDOWS\appzn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [d3os32.exe] C:\WINDOWS\d3os32.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKLM\..\RunOnce: [addov32.exe] C:\WINDOWS\addov32.exe
O4 - HKLM\..\RunOnce: [netxp32.exe] C:\WINDOWS\netxp32.exe
O4 - HKLM\..\RunOnce: [ipmn32.exe] C:\WINDOWS\ipmn32.exe
O4 - HKLM\..\RunOnce: [adddp32.exe] C:\WINDOWS\adddp32.exe
O4 - HKLM\..\RunOnce: [javaet32.exe] C:\WINDOWS\system32\javaet32.exe
O4 - HKLM\..\RunOnce: [atlbr.exe] C:\WINDOWS\atlbr.exe
O4 - HKLM\..\RunOnce: [atllo.exe] C:\WINDOWS\system32\atllo.exe
O4 - HKLM\..\RunOnce: [ipqq.exe] C:\WINDOWS\ipqq.exe
O4 - HKLM\..\RunOnce: [winkg.exe] C:\WINDOWS\winkg.exe
O4 - HKLM\..\RunOnce: [msla32.exe] C:\WINDOWS\msla32.exe
O4 - HKLM\..\RunOnce: [winrr.exe] C:\WINDOWS\winrr.exe
O4 - HKLM\..\RunOnce: [mfcvv.exe] C:\WINDOWS\system32\mfcvv.exe
O4 - HKLM\..\RunOnce: [sysgv.exe] C:\WINDOWS\sysgv.exe
O4 - HKLM\..\RunOnce: [crhi32.exe] C:\WINDOWS\crhi32.exe
O4 - HKLM\..\RunOnce: [ievo.exe] C:\WINDOWS\ievo.exe
O4 - HKLM\..\RunOnce: [addlq32.exe] C:\WINDOWS\addlq32.exe
O4 - HKLM\..\RunOnce: [winud32.exe] C:\WINDOWS\winud32.exe
O4 - HKLM\..\RunOnce: [atlij32.exe] C:\WINDOWS\atlij32.exe
O4 - HKLM\..\RunOnce: [crfw32.exe] C:\WINDOWS\system32\crfw32.exe
O4 - HKLM\..\RunOnce: [atlbt32.exe] C:\WINDOWS\system32\atlbt32.exe
O4 - HKLM\..\RunOnce: [sdkdx.exe] C:\WINDOWS\system32\sdkdx.exe
O4 - HKLM\..\RunOnce: [mswo32.exe] C:\WINDOWS\system32\mswo32.exe
O4 - HKLM\..\RunOnce: [sysom32.exe] C:\WINDOWS\system32\sysom32.exe
O4 - HKLM\..\RunOnce: [d3po32.exe] C:\WINDOWS\d3po32.exe
O4 - HKLM\..\RunOnce: [netej.exe] C:\WINDOWS\netej.exe
O4 - HKLM\..\RunOnce: [apisy.exe] C:\WINDOWS\system32\apisy.exe
O4 - HKLM\..\RunOnce: [sysry.exe] C:\WINDOWS\system32\sysry.exe
O4 - HKLM\..\RunOnce: [d3tr.exe] C:\WINDOWS\d3tr.exe
O4 - HKLM\..\RunOnce: [winnt32.exe] C:\WINDOWS\winnt32.exe
O4 - HKLM\..\RunOnce: [d3yu.exe] C:\WINDOWS\system32\d3yu.exe
O4 - HKLM\..\RunOnce: [mfcvf.exe] C:\WINDOWS\system32\mfcvf.exe
O4 - HKLM\..\RunOnce: [mssd.exe] C:\WINDOWS\mssd.exe
O4 - HKLM\..\RunOnce: [ipgy32.exe] C:\WINDOWS\ipgy32.exe
O4 - HKLM\..\RunOnce: [atlng32.exe] C:\WINDOWS\atlng32.exe
O4 - HKLM\..\RunOnce: [addbx.exe] C:\WINDOWS\addbx.exe
O4 - HKLM\..\RunOnce: [apipv32.exe] C:\WINDOWS\system32\apipv32.exe
O4 - HKLM\..\RunOnce: [mfcfu.exe] C:\WINDOWS\mfcfu.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.european.fr
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Actuellement la page lancée est :
res://ukwzo.dll/index.html#96676
sous c:\windows\system32 la Dll concernée est générée..
La log obtenue par HijackThis est la suivante
Si je retire les lignes avec ukwzo.dll, dés le redémarrage de windows une autre dll se génére... avec un autre nom
Pouvez vous m'aider merci
Logfile of HijackThis v1.97.7
Scan saved at 13:09:39, on 20/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\addov32.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\d3os32.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\GS\Telechargement\_Optimisation-Windows\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ukwzo.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ukwzo.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ukwzo.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ukwzo.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {D5184A7F-11EE-1961-8F3B-3DEE124EFEBB} - C:\WINDOWS\appzn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [d3os32.exe] C:\WINDOWS\d3os32.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - HKLM\..\RunOnce: [addov32.exe] C:\WINDOWS\addov32.exe
O4 - HKLM\..\RunOnce: [netxp32.exe] C:\WINDOWS\netxp32.exe
O4 - HKLM\..\RunOnce: [ipmn32.exe] C:\WINDOWS\ipmn32.exe
O4 - HKLM\..\RunOnce: [adddp32.exe] C:\WINDOWS\adddp32.exe
O4 - HKLM\..\RunOnce: [javaet32.exe] C:\WINDOWS\system32\javaet32.exe
O4 - HKLM\..\RunOnce: [atlbr.exe] C:\WINDOWS\atlbr.exe
O4 - HKLM\..\RunOnce: [atllo.exe] C:\WINDOWS\system32\atllo.exe
O4 - HKLM\..\RunOnce: [ipqq.exe] C:\WINDOWS\ipqq.exe
O4 - HKLM\..\RunOnce: [winkg.exe] C:\WINDOWS\winkg.exe
O4 - HKLM\..\RunOnce: [msla32.exe] C:\WINDOWS\msla32.exe
O4 - HKLM\..\RunOnce: [winrr.exe] C:\WINDOWS\winrr.exe
O4 - HKLM\..\RunOnce: [mfcvv.exe] C:\WINDOWS\system32\mfcvv.exe
O4 - HKLM\..\RunOnce: [sysgv.exe] C:\WINDOWS\sysgv.exe
O4 - HKLM\..\RunOnce: [crhi32.exe] C:\WINDOWS\crhi32.exe
O4 - HKLM\..\RunOnce: [ievo.exe] C:\WINDOWS\ievo.exe
O4 - HKLM\..\RunOnce: [addlq32.exe] C:\WINDOWS\addlq32.exe
O4 - HKLM\..\RunOnce: [winud32.exe] C:\WINDOWS\winud32.exe
O4 - HKLM\..\RunOnce: [atlij32.exe] C:\WINDOWS\atlij32.exe
O4 - HKLM\..\RunOnce: [crfw32.exe] C:\WINDOWS\system32\crfw32.exe
O4 - HKLM\..\RunOnce: [atlbt32.exe] C:\WINDOWS\system32\atlbt32.exe
O4 - HKLM\..\RunOnce: [sdkdx.exe] C:\WINDOWS\system32\sdkdx.exe
O4 - HKLM\..\RunOnce: [mswo32.exe] C:\WINDOWS\system32\mswo32.exe
O4 - HKLM\..\RunOnce: [sysom32.exe] C:\WINDOWS\system32\sysom32.exe
O4 - HKLM\..\RunOnce: [d3po32.exe] C:\WINDOWS\d3po32.exe
O4 - HKLM\..\RunOnce: [netej.exe] C:\WINDOWS\netej.exe
O4 - HKLM\..\RunOnce: [apisy.exe] C:\WINDOWS\system32\apisy.exe
O4 - HKLM\..\RunOnce: [sysry.exe] C:\WINDOWS\system32\sysry.exe
O4 - HKLM\..\RunOnce: [d3tr.exe] C:\WINDOWS\d3tr.exe
O4 - HKLM\..\RunOnce: [winnt32.exe] C:\WINDOWS\winnt32.exe
O4 - HKLM\..\RunOnce: [d3yu.exe] C:\WINDOWS\system32\d3yu.exe
O4 - HKLM\..\RunOnce: [mfcvf.exe] C:\WINDOWS\system32\mfcvf.exe
O4 - HKLM\..\RunOnce: [mssd.exe] C:\WINDOWS\mssd.exe
O4 - HKLM\..\RunOnce: [ipgy32.exe] C:\WINDOWS\ipgy32.exe
O4 - HKLM\..\RunOnce: [atlng32.exe] C:\WINDOWS\atlng32.exe
O4 - HKLM\..\RunOnce: [addbx.exe] C:\WINDOWS\addbx.exe
O4 - HKLM\..\RunOnce: [apipv32.exe] C:\WINDOWS\system32\apipv32.exe
O4 - HKLM\..\RunOnce: [mfcfu.exe] C:\WINDOWS\mfcfu.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.european.fr
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Salut,
Je ne vais d'être d'un grand secours par rapport à ton log de Hijack mais il y a une chose de façon certaine que tu peux faire, c'est de supprimer les lignes R0 et R1 qui ne correspondent pas à ta page de démarrage voulue. Garde uniquement les pages google et vires les autres.
Pareil pour les lignes 04, les .exe douteux sont ici par contre attention à ne pas virer des programmes "systèmes" ... Eventuellement, tu peux remonter dans le temps sur ce forum (tu es le 49 ème message) et essayer de trouver des infos.
Je te conseille d'aller voir le site suivant et de télécharger cwshredder. Ca devrait de virer pas mal de choses. J'ai eu le même problème que toi et ça a marché.
http://www.spywareinfo.com/~merijn/cwschronicles.html#cwshredder
Télécharge également Spybot Search and destroy ( tu le trouves sur télécharger.com ou facilement grâce à Google). Ca te vire également pas mal de choses et surtout, tu peux vérrouiller ta page de démarrage internet.
Sinon, je te conseille un très bon antivirus comme AVG par exemple. Il fonctionne très bien.
Bonne chance et bon courage
@+
Je ne vais d'être d'un grand secours par rapport à ton log de Hijack mais il y a une chose de façon certaine que tu peux faire, c'est de supprimer les lignes R0 et R1 qui ne correspondent pas à ta page de démarrage voulue. Garde uniquement les pages google et vires les autres.
Pareil pour les lignes 04, les .exe douteux sont ici par contre attention à ne pas virer des programmes "systèmes" ... Eventuellement, tu peux remonter dans le temps sur ce forum (tu es le 49 ème message) et essayer de trouver des infos.
Je te conseille d'aller voir le site suivant et de télécharger cwshredder. Ca devrait de virer pas mal de choses. J'ai eu le même problème que toi et ça a marché.
http://www.spywareinfo.com/~merijn/cwschronicles.html#cwshredder
Télécharge également Spybot Search and destroy ( tu le trouves sur télécharger.com ou facilement grâce à Google). Ca te vire également pas mal de choses et surtout, tu peux vérrouiller ta page de démarrage internet.
Sinon, je te conseille un très bon antivirus comme AVG par exemple. Il fonctionne très bien.
Bonne chance et bon courage
@+
Navigue avec Opéra ! Anti pop-up, client courrier intégré, choix de la page de démarrage, signets multiples et surtout, les spy ne sont pas prévus pour, alors ils te lâchent...
Hello tous,
J'ai moi aussi récupéré ce satané parasite qu'est CoolWWWSearch. J'ai ce rapport :
Logfile of HijackThis v1.99.1
Scan saved at 20:14:01, on 08/04/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4SS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4GUI.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\TALKWAY\VMTALK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\STARTMESSAGER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\PROGRAM FILES\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.artikka.fr.st/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {F310803B-306C-47AE-903F-F1764DB6D74C} - C:\WINDOWS\SYSTEM\GIKM.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - C:\WINDOWS\SYSTEM\BHOMOD.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\EN-US\MSNTB.DLL
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAGENT.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [Anti Spyware] "C:\PROGRAM FILES\SINESPIAS\NO-SPY.EXE" /autorun
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAM FILES\FICHIERS COMMUNS\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [KPF4] C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\WINZIP\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL (file missing)
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {46A67DB6-895E-4489-A353-D747DD425B19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {46A67DB6-895E-4489-A353-D747DD425B19} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.9online.fr
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O18 - Filter: text/html - {7116906E-3CF2-4D04-904C-351EA3CC91B6} - C:\WINDOWS\SYSTEM\GIKM.DLL
O18 - Filter: text/plain - {7116906E-3CF2-4D04-904C-351EA3CC91B6} - C:\WINDOWS\SYSTEM\GIKM.DLL
Je ne m'y connais pas trop en informatique donc j'ai vraiment besoin d'aide... Help me please ;)
J'ai moi aussi récupéré ce satané parasite qu'est CoolWWWSearch. J'ai ce rapport :
Logfile of HijackThis v1.99.1
Scan saved at 20:14:01, on 08/04/2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4SS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAM FILES\KERIO\PERSONAL FIREWALL 4\KPF4GUI.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HAMPANEL.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAM FILES\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\TALKWAY\VMTALK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\STARTMESSAGER.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\PROGRAM FILES\NIKON\NKVIEW6\NKVMON.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.artikka.fr.st/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {F310803B-306C-47AE-903F-F1764DB6D74C} - C:\WINDOWS\SYSTEM\GIKM.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - C:\WINDOWS\SYSTEM\BHOMOD.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM FILES\MSN TOOLBAR\01.01.1629.0\EN-US\MSNTB.DLL
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_19_0.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [OmniPage] C:\Program Files\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAGENT.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [vmtalk] C:\Program Files\Fichiers communs\Talkway\vmtalk.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [Anti Spyware] "C:\PROGRAM FILES\SINESPIAS\NO-SPY.EXE" /autorun
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAM FILES\FICHIERS COMMUNS\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [KPF4] C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\WINZIP\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL (file missing)
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\PROGRAM FILES\AOL TOOLBAR\TOOLBAR.DLL (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {46A67DB6-895E-4489-A353-D747DD425B19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {46A67DB6-895E-4489-A353-D747DD425B19} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.9online.fr
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O18 - Filter: text/html - {7116906E-3CF2-4D04-904C-351EA3CC91B6} - C:\WINDOWS\SYSTEM\GIKM.DLL
O18 - Filter: text/plain - {7116906E-3CF2-4D04-904C-351EA3CC91B6} - C:\WINDOWS\SYSTEM\GIKM.DLL
Je ne m'y connais pas trop en informatique donc j'ai vraiment besoin d'aide... Help me please ;)
