Aide analyse rapport HijackThis
Valindia
-
ouikid -
ouikid -
Bonjour à tous,
voilà il s'agit de l'ordi portable de mon amie qui marche sous WindowsXp mais qui à la habitude de naviguer avec Internet Explorer... et elle aurait récupéré un spyware : au démarrage d'une session internet explorer, l'adresse google a été remplacée par l'adresse sujin.com.np . Bon j'ai naturelement lancé un scan spybot en vain... puis j'ai vu qu'il s'agissait d'un spyware qu'il était possible de supprimer avec HijackThis (que je n'ai jamais utilisé). Le rapport donne ceci :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://sujin.com.np/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Sujin.com.np
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\VirusRemoval.vbs
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A785447E-AF20-4BDC-9BA1-41465FCAF758}: NameServer = 218.248.240.23 218.248.240.135
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
voilà il s'agit de l'ordi portable de mon amie qui marche sous WindowsXp mais qui à la habitude de naviguer avec Internet Explorer... et elle aurait récupéré un spyware : au démarrage d'une session internet explorer, l'adresse google a été remplacée par l'adresse sujin.com.np . Bon j'ai naturelement lancé un scan spybot en vain... puis j'ai vu qu'il s'agissait d'un spyware qu'il était possible de supprimer avec HijackThis (que je n'ai jamais utilisé). Le rapport donne ceci :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://sujin.com.np/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Sujin.com.np
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\VirusRemoval.vbs
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [googletalk] "C:\Program Files\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A785447E-AF20-4BDC-9BA1-41465FCAF758}: NameServer = 218.248.240.23 218.248.240.135
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
A voir également:
- Aide analyse rapport HijackThis
- Hijackthis - Télécharger - Antivirus & Antimalwares
- Analyse composant pc - Guide
- Analyse disque dur - Télécharger - Informations & Diagnostic
- Analyse performance pc - Guide
- Un exemple de rapport de travail ✓ - Forum Word
11 réponses
bonjour tu peux déjà supprimer les 2 lignes avec "sujin" et aussi la ligne F2, lorsque spybot te demande d'autoriser la modif du registre tu acceptes.
Utilises le tuto ci dessous pour vérifier les autres lignes :
http://www.zebulon.fr/dossiers/43-2-sections-log-hijackthis.html
Utilises le tuto ci dessous pour vérifier les autres lignes :
http://www.zebulon.fr/dossiers/43-2-sections-log-hijackthis.html
Bonjour et merci !
j'ai supprimé les 2 lignes avec "sujin" et aussi la ligne F2 mais deux problèmes se posent :
Tout d'abord spybot me demande d'autoriser la modif du registre pour la start page : ancienne valeur : sujin / nouvelle valeur msn. OK j'accepte, cependant à partir de ce moment on dirait que sujin fait du forcing et spybot me demande toutes les 30 secondes d'autoriser la modif pour la start page : ancienne valeur : msn / nouvelle valeur : sujin. Evidemment si j'accepte, le problème reviens et sujin remplace ma start page d'internet explorer (j'espère être assez clair...).
Et puis plus simplement les 3 lignes que je viens de supprimer réapparaissent dès que je rescan avec HijackThis...
Voilà, est-ce que je m'y prend mal dans la manip, ou bien ???
merci de votre aide.
j'ai supprimé les 2 lignes avec "sujin" et aussi la ligne F2 mais deux problèmes se posent :
Tout d'abord spybot me demande d'autoriser la modif du registre pour la start page : ancienne valeur : sujin / nouvelle valeur msn. OK j'accepte, cependant à partir de ce moment on dirait que sujin fait du forcing et spybot me demande toutes les 30 secondes d'autoriser la modif pour la start page : ancienne valeur : msn / nouvelle valeur : sujin. Evidemment si j'accepte, le problème reviens et sujin remplace ma start page d'internet explorer (j'espère être assez clair...).
Et puis plus simplement les 3 lignes que je viens de supprimer réapparaissent dès que je rescan avec HijackThis...
Voilà, est-ce que je m'y prend mal dans la manip, ou bien ???
merci de votre aide.
re,
non tu t'y prend bien mais ya qq chose qui n'est pas supprimé et qui devrait l'être. Cette "chose" rétablit à chaque fois sujin. C'est cette chose qui faut trouver et supprimer.
Tu n'as pas vérifié les autres lignes ? Je vais y jeter un coup d'oeil sinon.
Ce qu'il est conseillé aussi, c'est lorsque tu fais le scan hijack et que tu "Fixes" il vaut beaucoup mieux :
1) Etre en mode "sans echec" ( il te faut donc redémarrer le PC )
2 ) avoir désactivé la "Restauration système" ( clic droit sur le raccourci "poste de travail" qui se trouve souvent sur le bureau, puis "propriété" )
non tu t'y prend bien mais ya qq chose qui n'est pas supprimé et qui devrait l'être. Cette "chose" rétablit à chaque fois sujin. C'est cette chose qui faut trouver et supprimer.
Tu n'as pas vérifié les autres lignes ? Je vais y jeter un coup d'oeil sinon.
Ce qu'il est conseillé aussi, c'est lorsque tu fais le scan hijack et que tu "Fixes" il vaut beaucoup mieux :
1) Etre en mode "sans echec" ( il te faut donc redémarrer le PC )
2 ) avoir désactivé la "Restauration système" ( clic droit sur le raccourci "poste de travail" qui se trouve souvent sur le bureau, puis "propriété" )
aprés être passé en mode sans echec et avoir désactivé la restauration système :
- ouvre le gestionnaire de tache et arrête le processus MsnMsgr.Exe si il est actif
- supprime les 3 lignes comme tout à l'heure
- supprime ces lignes :
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
normallement "msnmsgr.exe" devrait être écrit en minuscule, voire ici :
http://www.sysinfo.org/startuplist.php?filter=MsnMsgr.Exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A785447E-AF20-4BDC-9BA1-41465FCAF758}: NameServer = 218.248.240.23 218.248.240.135
A y être dans le mode sans echec :
- fais un scan avec spybot ( bien màj ) et une vaccination
- nettoyage et recherche problèmes avec Ccleaner ( bien màj )
- ouvre le gestionnaire de tache et arrête le processus MsnMsgr.Exe si il est actif
- supprime les 3 lignes comme tout à l'heure
- supprime ces lignes :
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
normallement "msnmsgr.exe" devrait être écrit en minuscule, voire ici :
http://www.sysinfo.org/startuplist.php?filter=MsnMsgr.Exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A785447E-AF20-4BDC-9BA1-41465FCAF758}: NameServer = 218.248.240.23 218.248.240.135
A y être dans le mode sans echec :
- fais un scan avec spybot ( bien màj ) et une vaccination
- nettoyage et recherche problèmes avec Ccleaner ( bien màj )
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci pour la spontanéité des réponses ... !
Bon j'ai tenté toutes les manips conseillées ci-dessus, et malheureusement je n'ai pas réussi à supprimer sujin ...
Cependant, lorsque j'ai voulu "fixer" la ligne O17-HKLM celle-ci avait disparue sous le mode sans echec et a réapparu en mode "normal", et je l'ai donc finalement supprimé...
La ligne 04-HCKU a été supprimée...
Mais les trois lignes (2 sujin + ligne F2) réapparaissent sans cesse et spybot me fait savoir que toutes les 10 sec que" resident a refusé la modif de start page ou Userlnit selon ma liste noire...."
Je n'ai pas non plus observé de processus actif msnmgr en mode sans échec ou non.
Spybot n'a rien donné et CCleaner un nettoyage normal...
Retour case départ... mais merci beaucoup pour l'aide, en plus ça m'aura permis de d'apprendre quelques bases...
Aussi, je ne sais pas du tout si c'est une piste, mais qu'en je supprime les trois lignes récurrentes, que je les blocs avec spybot et que je tente d'ouvrir une page internet explorer, c'est bien https://www.msn.com/fr-fr/ qui est inscrit dans la barre d'adresse, mais dans la barre bleue de la fenêtre il y a inscrit : https://www.msn.com/fr-fr/ - Sujin.com.np ... voilà je sais pas si ça aide, lol
Merci
Bon j'ai tenté toutes les manips conseillées ci-dessus, et malheureusement je n'ai pas réussi à supprimer sujin ...
Cependant, lorsque j'ai voulu "fixer" la ligne O17-HKLM celle-ci avait disparue sous le mode sans echec et a réapparu en mode "normal", et je l'ai donc finalement supprimé...
La ligne 04-HCKU a été supprimée...
Mais les trois lignes (2 sujin + ligne F2) réapparaissent sans cesse et spybot me fait savoir que toutes les 10 sec que" resident a refusé la modif de start page ou Userlnit selon ma liste noire...."
Je n'ai pas non plus observé de processus actif msnmgr en mode sans échec ou non.
Spybot n'a rien donné et CCleaner un nettoyage normal...
Retour case départ... mais merci beaucoup pour l'aide, en plus ça m'aura permis de d'apprendre quelques bases...
Aussi, je ne sais pas du tout si c'est une piste, mais qu'en je supprime les trois lignes récurrentes, que je les blocs avec spybot et que je tente d'ouvrir une page internet explorer, c'est bien https://www.msn.com/fr-fr/ qui est inscrit dans la barre d'adresse, mais dans la barre bleue de la fenêtre il y a inscrit : https://www.msn.com/fr-fr/ - Sujin.com.np ... voilà je sais pas si ça aide, lol
Merci
j'ai trouvé ça sur un forum anglais :
http://worldlink.com.np/support/download/software/Scanner.exe
- tu l'enregistres
- tu doubles clic pour l'ouvrir
- tu clic sur "scan"
tu acceptes les modifs du registre
C'est un log spécialiste de "sujin.com.np" dispo, entre autre, ici :
http://worldlink.com.np/support/download/index.php
J'espère qu'avec ça, ce sera bon ;)
http://worldlink.com.np/support/download/software/Scanner.exe
- tu l'enregistres
- tu doubles clic pour l'ouvrir
- tu clic sur "scan"
tu acceptes les modifs du registre
C'est un log spécialiste de "sujin.com.np" dispo, entre autre, ici :
http://worldlink.com.np/support/download/index.php
J'espère qu'avec ça, ce sera bon ;)
Alors là je dis chapeau !!!
merci mille fois de l'efficacité et de la spontanéité des réponses.... grâce au dernier post le problème a été réglé en 5 secondes chrono. J'en ai pas cru mes yeux après tant de temps perdu a batailler. Plus de trace de sujin dans HijackThis.
Encore merci pour le dépannage et le temps passé à se pencher sur mon problème. :-D
merci mille fois de l'efficacité et de la spontanéité des réponses.... grâce au dernier post le problème a été réglé en 5 secondes chrono. J'en ai pas cru mes yeux après tant de temps perdu a batailler. Plus de trace de sujin dans HijackThis.
Encore merci pour le dépannage et le temps passé à se pencher sur mon problème. :-D
Hello,
Euh ... je vais faire le boulet mais comment fait-on pour passer le message en "résolu" ? sorry.
Merci
Euh ... je vais faire le boulet mais comment fait-on pour passer le message en "résolu" ? sorry.
Merci
