Spyware coriace

Rem's Messages postés 64 Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour, depuis hier, j'ai constaté la présence d'un logiciel indesirable... Les symptomes apparents sont:
Modif de la page de demarrage, il me met res://mshp.dll/index.html#22776 comme page de demarrage.
Lorsque je lance une recherche sur google, une fenetre apparait avec comme url: http://search-company.com/search.php?qq=test&pin=22776

J'ai lancé, adaware et spybot, mais ils ne me detectent rien... Avec HijackThis, il repère quelques clés et fichiers suspects, que j'ai viré mais le probleme persiste.
Mieux, j'ai renommé la dll mshp.dll qui sert à lancer ma page de demarrage, mais une nouvelle est atomatiquement recréee...

Même en supprimant les clés de la bdr qui contiennent res://mshp.dll/index.html#22776, elles reviennent.

Voici un copier/collé du log de hijackthis apres avoir supprimé les clés suspectes de la bdr et redemarrage...

Logfile of HijackThis v1.97.7
Scan saved at 12:24:48, on 31/12/2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Securite\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\RunDll32.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Lecteurs\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Securite\ISS\BlackICE\blackice.exe
C:\Program Files\Lecteurs\Winamp\winamp.exe
C:\Program Files\Securite\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.commentcamarche.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#22776
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.10.10.111:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Divers\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and Settings\Weed\Application Data\iefeatsl\iefeatsl.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\DOCUME~1\rems\APPLIC~1\iefeatsl\msiesh.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\TELECH~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Lecteurs\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Corel Reminder] "C:\Program Files\Dessin\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Program Files\Dessin\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\Lecteurs\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Program Files\Securite\ISS\BlackICE\blackice.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\Telecharger\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\Telecharger\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\BUREAU~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com

Merci d'avance pour votre aide...

41 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection de type hijackware provoque la modification de la page d'accueil vers res://mshp.dll/index.html#22776 et des redirections de recherche vers une URL suspecte, signalant une compromission du navigateur et du système. Des symptômes persistants se manifestent malgré des scans, et l'analyse signale des entrées de démarrage et des barres BHO, avec des éléments réapparaissant après suppression. Plusieurs solutions préconisent l'utilisation d'Ad-Aware et Spybot S&D, puis une mise à jour d'antivirus comme Avast et la réinstallation d'applications indésirables, tout en désactivant la restauration système. D'autres interventions suggèrent de localiser des composants comme iefeatsl ou Need2Find Bar, et de vérifier les paramètres réseau pour les serveurs DNS, en recourant à des scans gratuits externes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Rem's Messages postés 64 Statut Membre 27
     
    Encore plus fort, lorsque je navique sur une page qui contient le mot "spyware", un lien est automatiquement ajouté dans la page!
    Clic droit/propriétés sur le lien, voilà ce que j'obtiens:
    ?go=spyware
    Protocole: URL : Protocole HyperText Transfer (HTTP)
    Type: Fichier COM/?GO=SPYWARE
    Adresse: http://0-29.com/?go=spyware

    Lorsque je clique sur le lien ça pointe vers la page: http://www.runsearch.com/top/go.php?qq=spyware

    Je relativise pour l'instant, mais je serais quand même content de m'en debarasser...
    0
  2. B.Wagon
     
    Bonjour,
    J'ai exactement les mêmes symptomes que vous.
    Avez vous trouvé une solution????
    B.Wagon
    0
  3. claude ray Messages postés 3096 Date d'inscription   Statut Contributeur Dernière intervention   702
     
    Bonjour
    J'essaierais de faire un démarrage sélectif en allant dans msconfig. je décocherais tout et je redémarrerais puis je recocherais les cases une par une en redémarrant à chaque fois.
    il faut bien vérifier ce qui se lance au démarrage. C'est très long mais ça peut t'éviter d'écraser le disque.

    Claude
    0
  4. berny
     
    Bonjour
    J'ai eu les mêmes symptomes (sur windows xp)
    J'ai trouvé dans "panneau de configuration" un programme pirate nommé "iefeatsl"que j'ai désinstallé.j'ai viré le dossier correspondant qui se trouvait dans:
    "documents and settings/application datas"
    Le phénomène ne se reproduit plus...pour le moment...
    J'espère que c'est la solution.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. C. Arricastres
     
    J'ai eu le même problème juqu'à ce jour (14/01/04), j'ai fait une mise à jour de ad-awarepuis lancé le programe, il a détecté les clés de registre, répertoires et fichiers en cause. Après avoir détruit les objets, il a fallu redémarré et ad-aware a détruit les reste au démarrage. Depuis tout marche bien !!
    0
  7. chrisarri
     
    J'ai eu le même problème, j'ai fait une mise à jour internet le 14/01 de adaware. J'ain lancé adaware qui a tout supprimé. Depuis je n'ai plus aucun problème.
    0
  8. papa6
     
    Même problème, notamment avec le mot spyware qui s'affiche avec un lien (y compris sur cette page).

    J'ai passé CWShredder qui a viré le processus Winshow (c'est tout ce qu'il a trouvé).

    Avec le menu désinstaller de windobe, j'ai viré les programmes Submit URL et mySearchBar. J'ai éteint, redémarré, supprimé à la main le fichier ProgramFiles\Submit\submithook.dll

    Maintenant ça marche !
    0
  9. yoda33 Messages postés 26 Date d'inscription   Statut Membre 2
     
    bonsoir,

    spyware/adware remover

    a cette adresse:

    http://www.bulletproofsoft.com/download.html

    supprime toutes ces cochonneries qui vous ennuie

    et c'est fou ce que l'on peut ramasser....
    sans cliquer..juste en visitant
    0
  10. Terdef Messages postés 1034 Statut Contributeur sécurité 133
     
    Bonjour Yoda33

    Met à jour tes liens et supprime absolument toute référence à spyware/adware remover .

    Attention à "Spyware and Adware Remover" de la société BulettProof (BPS Spyware Remover) et à "SpywareNuker" de la société TrekBlue.
    Il s'agit de logiciels commerciaux (payant) bien qu'ils clament haut et fort leurs totales gratuités (en fait ils sont gratuits pour détecter des spywares mais il faut payer pour pouvoir les éradiquer). Ces 2 sociétés ont, ni plus ni moins, fait des copies pirates de bases de signatures de SpyBot ce qui a été découvert très simplement car Patrick Kolla a introduit dans ses bases de fausses signatures totalement inventées par lui de malveillances n'existant pas ce qui permet de tracer les copieurs. Ceci démontre également la notoriété et la fiabilité atteinte par SpyBot. Donc, non seulement ces 2 logiciels sont commerciaux (payants) alors que SpyBot est gratuit mais, en plus, ils ne sont pas à jour car ils utilisent des versions anciennes de la base de signatures de SpyBot et, de surcroît, ils entrent en violation du copyright de Patrick Kolla qui leur intente 2 procès et vous seriez complice en utilisant ces contrefaçons.

    Pierre (aka Terdef)
    0
    1. yoda33 Messages postés 26 Date d'inscription   Statut Membre 2
       
      j ai bien note ce que tu viens d ecrire...
      je suis passe sous spy sweeper

      merci de ton info que je ne connaissais pas
      0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pour vos page de demarrage
    allez voir la
    http://www.technicland.com/article.php3?sid=175
    0
    1. papatangocharly Messages postés 20 Statut Membre
       
      SALUT
      JE TE RETROUVE SUR PLUSIEURS FORUM CONCERNANT LES SPYWAR
      Pourait-ru m'aiser
      Je n'arrive pas a virer le R1 que je trouve avex hyjack


      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.izsnlwbdegedtc.com/5qpvdfQVHOpryTAjD1K8wiGZR8sWWomhWZBTrAIKnJ8w5HRxM7Ti6wt7Ru34708a.html

      au prochain hyjack c'est un autre que"izsnlwbdegedtc" qui apparait
      Que je le "supprime ou pas"
      Si je fais 2 hyjack suivi "izsnlwbdegedtc"ne réapparait jamais c'est un autre


      J'ai des fenêtres de casino et autres et ds favoris indésirables
      C'est également la porte ouverte aus pubs

      merci pour ton aide si tu sais
      Jean
      0
  12. piasek serge
     
    Bonjour, vous pouvez aussi tester avec le scan gratuit http://www.checkspy.com developper par ma sté. Je peux vous assurer que nos bases sont 100% francaise et qu'on ne copie personne.
    Cordialement
    Serge Piasek
    0
  13. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut piasek serge
    ton log est il surr un site referense ex telecharger..com
    j aimmerais en savoir plus dessus
    0
  14. Terdef Messages postés 1034 Statut Contributeur sécurité 133
     
    Bonjour

    'ai trouvé cette intervention, sous diverses formes, sur de très nombreux forums. C'est une véritable opération de cyber-squating.

    Me rendant rue Mongallet il y a quelques jours, je jette un oeil dans le grand cirque SurPlouf et tombe sur une démo furieuse d'un vendeur de leur boite, au milieu d'un escalier. Strictement la même démo que le truc en .ppt sur leur site et rien de plus. Vous surfez sous IE et on voit le nombre de connectés sur tel site, vous surfez sous checkmachin et on le voit plus.

    Bon Dieu ! C'est moi qui espionnait alors ? Et avec leur truc, je peut plus ? Mais ça ne va pas du tout !

    ps : je n'ai pas testé donc je n'en parlerais pas plus.

    Pierre (aka Terdef)
    0
  15. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    merci terdef
    0
  16. MOI
     
    Je n'arrive pas à déterminer à quoi serve les deux processus suivant : PROMon.exe et NMSSvc.exe

    HELP !!
    0
  17. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    Dossier De processus: promon ou promon.exe
    Nom De processus: Promon
    Description: Application de barre de plateau de système qui montre les LED qui fournissent l'information sur le trafic de réseau passant par une pro carte de réseau d'Intel. L'application permet également à des utilisateurs d'appeler les dispositifs diagnostiques, les données de configuration, et les écrans d'installation.
    Compagnie: Intel Corporation.
    Processus De Système: Non
    Risque De Sécurité (Virus/Trojan/Worm/Adware/Spyware): Non
    Erreurs Communes: N/a

    _----------------------------
    pour l autre traduction google
    Tâche de service de station de gestion de réseau d'Intel?s. Cette tâche est installée par les conducteurs pour quelques cartes de réseau d'Intel et fournit l'appui de SNMP (Simple Network Management Protocol). Recommandation: Si vous n'êtes pas sur un réseau, alors vous n'avez pas besoin de cette tâche et vous pouvez la neutraliser avec le Troubleshooter final, ou en le plaçant au "manuel" sous des services dans le panneau de commande pour Windows NT4/2000/xp/2003. Si vous êtes sur un réseau, communiquez avec votre administrateur de réseau pour voir si le SNMP est employé sur votre réseau? si le SNMP n'est pas employé, puis, encore, vous n'avez pas besoin de cette tâche.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  18. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut balltrap pas la de la semaine.

    si tu veux de l'aide, post ton log hijack car R1 ne vient pas seule, il est le resultat d'autres lignes malware.

    jean

    reviens plus tard car heure de l'ecole pour les schroumpfs
    0
  19. papatangocharly Messages postés 20 Statut Membre
     
    Salut jean 38
    merci de te réponse
    voila mon hyjack
    merci
    jean

    Logfile of HijackThis v1.99.1
    Scan saved at 11:03:43, on 10/06/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZONELABS\vsmon.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\WINDOWS\explorer.exe
    C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\jean j\Mes documents\A PAPA PAS TOUCHER\A VIRUS ET METHODE\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dvajvtkdcagekthatlbfjqrq.com/5qpvdfQVHOpryTAjD1K8wiGZR8sWWomhWZBTrAIKnJ_7zZHqGC_regt7Ru34708a.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {99228DFC-F723-0BCB-E6D3-59DD2283B258} - C:\DOCUME~1\JEANJ~1\APPLIC~1\LIVEWI~1\AudioUp.exe
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [Up Bleh Active Exit] C:\Documents and Settings\All Users\Application Data\This Support Up Bleh\axis ante.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [ChicWave] C:\DOCUME~1\JEANJ~1\APPLIC~1\MORESO~1\1 htm the.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D9D8349E-8CD8-45A3-AB24-EF7B5C3BF7BC}: NameServer = 213.36.80.1 192.221.96.3
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing)
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs I

    MERCI
    0
  20. jean38 Messages postés 2534 Date d'inscription   Statut Contributeur Dernière intervention   47
     
    salut
    imprime ceci pour ne rien oublier et tous faire
    tous faire dans l ordre imperativement
    -------------------------
    tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
    adaware (1)
    spyboot (2)
    (ici) http://www.florensac-chasse-trap.com/ section virus
    et aussi ceci
    CleanUp312.exe (3)

    ----------------

    demarre en mode sans echec
    mode sans echec pour cela tu tapote la touche f8
    des le debut de l allumage du pc sans t arreter
    une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
    une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
    -------------------------
    desactive ta restauration systeme
    pour ça tu fais clic droit sur poste de travail
    propriété tu clique sur onglet restauration système
    tu coche la case désactiver la restauration et applique
    ------------

    assure toi de ceci
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais «Ok» pour valider les changements.

    Et appliquer
    ----------------------
    vide tes fichiers temps et tempory internet file sur tous les utilisateur
    utilise ceci pour le faire
    http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

    --------------------
    relance hijack coche ces lignes et ensuite clik sur fix

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dvajvtkdcagekthatlbfjqrq.com/5qpvdfQVHOpryTAjD1K8wiGZR8sWWomhWZBTrAIKnJ_7zZHqGC_regt7Ru34708a.html

    O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL

    O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX

    O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab

    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

    ----------------------
    recherche et suppr ceci
    attention seulement les fichiers
    C:\Program Files\Need2Find<== le dossier

    ---------------
    passe adaware et vire tous se qu il trouve
    ----------
    passe spy boot et vire tous se qu il trouvent
    -------------

    tu vide ta poubelle et tu redemarre en mode normal et refait un hijack
    et precise ou en sont tes soucis

    j'ai d'autres verif sur des fichiers ??? mais après.
    0
    1. papatangocharly Messages postés 20 Statut Membre
       
      Quest ce que tu veux que je supprime

      "recherche et suppr ceci
      attention seulement les fichiers
      C:\Program Files\Need2Find<== le dossier "

      Tout le dossier jaune Need2Find?
      Parceue tu parle des fichiers seulement
      merci encore
      Jean
      0
  21. Utilisateur anonyme
     
    salut papa...

    oui tout le fichier jaune Need2Find et vide ta poubelle

    et recolle un hijack pr jean

    a+
    0
  • 1
  • 2
  • 3