page About:blank

Question

J'ai une page de demarrage d'IE6 qui s'est installé a mon insu et impossible de m'en debarrasser.
Je change la page de demarrage dans les options internet et a chaque fois cette page "about:blank" avec un pseudo moteur de recherche pour le net se remet en place.
J'ai reinstaller IE6 mais c'est pareil.
J'ai viré les coockies et les fichiers temporaires et toujours pareil.
Quelqu'un a t'il une idée pour me debarrasser de cette page qui ce remet automatiquement des que j'ouvre une page internet.
Merci

Afficher la suite

Fax · Answer

Salut !pour ta page de démarrage, tu devrais consulter ceci : http://www.commentcamarche.net/faq/110-Page-de-d%E9marrage-remplac%E9e-par-une-autreEt je te conseille fortement de suivre la manip d'Assiste.com à cette adresse : http://assiste.free.fr/p/pages_diverses/la_manip.php"A trop vouloir gagner, on finit par tout perdre..."

frank.f4 · Answer

Merci Fax je vais aller voir ça.

hourrrah · Answer

salut frank..,pour les pages de démarrage interférantes, ne pas oublier, si besoin est, le freeware de merijn hijackthis.Téléchargeable, en vue d'un scan éventuel de la base, avec le lien:http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39062380s,00.htmCordialement  et @+ Chi va piano va sano..chi va sano va più lontano e più alto

frank.f4 · Answer

Ca yest j'ai reussi tout simplement en faisant une restauration systeme a une date anterieure.Merci a tous pour votre aide.

Fax · Answer

Resalut !Oui, mais pense quand même à améliorer la sécurité de ton ordinateur, sinon ça recommencera !!!http://assiste.free.fr/p/pages_diverses/la_manip.php "A trop vouloir gagner, on finit par tout perdre..."

Dixneuf · Answer

Il manque dans la liste (comme c'est souvent le cas) CWShredder que l'on peut trouver à l'adresse :http://www.softpedia.com/public/scripts/downloadhero/10-17-150/CWShredder (un produit Merijn, comme HijackThis) semble tout à fait à la pointe de la lutte contre CoolWebSearch, qui "met en ligne" très régulièrement (et tout à fait frauduleusement, puisque le programme s'installe sans l'accord de l'utilisateur) des variantes toujours plus performantes de son spyware préféré ...CWShredder détruit alors le msconfig.exe qui est infecté (rien que ça !) et donne une adresse pour recharger un msconfig propre ... Malheureusement, l'adresse donnée par CWShredder est fausse ... Il faut donc recharger le msconfig propre à l'adresse :http://www.spywareinfo.com/~merijn/winfiles.htmlpuis le dézipper dans C:/Windows (c'est du moins là que doit se trouver le mien, je suis sous Windows 98SE) ...C'est la manipulation la plus radicale que j'aie trouvée, mais le recours à HijackThis, Spybot ou StartUpRun s'avère souvent suffisamment efficace ...A plus ;o)

Berret · Answer

Bonjour,J'ai le même probleme que franck.f4.J'ai installé adware 6.0, mais il ne repère rien :-(virus scan ne trouve aucun virus.voici la log hijackthis, est-ce qu'il y a des choses qui explique mon pb? merci bcp pour votre aide!Logfile of HijackThis v1.97.7Scan saved at 12:04:44, on 01/05/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\PROGRA~1\mcafee.com\agent\mcagent.exeC:\PROGRA~1\mcafee.com\vso\mcvsshld.exec:\progra~1\mcafee.com\vso\mcvsescn.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\WINDOWS\System32\RUNDLL32.EXEc:\progra~1\mcafee.com\vso\mcvsftsn.exeC:\Program Files\Messenger\msmsgs.exec:\PROGRA~1\mcafee.com\vso\mcvsrte.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\McAfee.com\VSO\mcshield.exeD:\HijackThis.exeC:\Program Files\Internet Explorer\IEXPLORE.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhomeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensR1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhomeO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dllO4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exeO4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exeO4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktaskO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM)O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version3/Applet/vchatsign.cabO16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version2/Applet/wchatsign.cabO16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://bin.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cabO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cabO16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://bin.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,76/mcinsctl.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37863.6355092593O16 - DPF: {9FC87BC7-7963-4B70-8485-B1A41034C9A1} (CSonyPicturesGameDownloaderCtl Object) - http://www.shockwave.com/content/angelx/SonyPicturesGameDownloader.cabO16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,16/mcgdmgr.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

balltrap34 · Answer

salutdit moi quelle est ta page de demarragr d origineet ton fournisseur d accesj ai trouver des problemes sur ton hijackj attend ta reponse pour te dire quoi faire

balltrap34 · Answer

il ni a pas que ca il y a unprob avec certaine ligne de mac effee

balltrap34 · Answer

salutce n etait pas un reproche juste un rajoutdesoler que tu l ai mal pris

balltrap34 · Answer

comme beaucoup si il non pas de reponse de suite il abandonne

yves_from_geneva · Answer

about:blank qui affiche une page de recherche an anglais sur XP ,  ...searchx.cc.. :---------------------------------------------------------------------Je me debattais depuis longtemps avec ce hijacker qui est parait il une variante de coolwebsearch. Aucun de tous les outils l'enlevait meme si j'avais reussi pas mal a m'en proteger. La solution trouvée sur un forum anglais : Le problème est que certains fichiers sont cachés. Pour les voir et agir : Charger le soft d'edition de registres et installer Registrar Lite de http://www.resplendence.com ecrire dans la ligne d'adresse : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs noter sa value ( moi j'avais hlpailp.dll par exemple ) Installer la console de recuperation XP: ( Cette console pourrait etre hyper utile en cas de plantage ) Mettre le CD de XP dans le lecteur ( Je sais , pas toujours evident de l'avoir si on l'a pas c'est tres difficile d'installer cette fameuse console ) clic Demarrer Executer taper la ligne avec la bonne lettre du lecteur CD : d:\i386\winnt32.exe /cmdcons Il va y avoir ensuite une install qui se fait en downloadant depuis Microsoft....! ( A savoir) Notez ensuite votre mot de passe administrateur ( Souvent rien ). Redemarrez le PC Choisissez la console Le clavier dvient difficile a utiliser parce que US ! on est normalement dans c:\windows Faites: cd system32 dir verifiez que le fichier de la value , style hlpailp.dll ou autre est la Faites un attrib -r hlpailp.dll ( ou votre nom de fichier ) Puis del hlpailp.dll ( ou votre nom de fichier ) exit pour redemarrer en normal. N'oubliez pas a la fin de nettoyer aussi les ou la dll au nom aleatoire qui s'ecrivait dans system32 ( Reperer par la date ou lancer HijackThis  , http://www.spywareinfo.com/~merijn/downloads.html  la fameuse dll est dans les R0 et R1. ) repasse un coup de CWShredder du meme site a la fin et fin du searchx.cc L'avantage aussi de travailler sur ce genre de problème est de connaitre les outils et les sites pour enlever la vermine en général. ---------------------------------------------------------------------------------------------

yves_from_geneva · Answer

Je sais ça parait compliqué. En fait d'abord ça l'est pas et j'avais tout essayé avant !

yves_from_geneva · Answer

Oups désolé , je n'avais pas fait attention.En effet la solution ci-dessus est conseillée à ceux qui ont de bonnes connaissances informatiques sous-peine de faire des dégats.D'autant que le problème de la page d'accueil n'est pas  grave. La meilleure methode dans ces cas est la prévention : Sous XP mettre le pare-feu dans la connexion, assez facile , ne pas aller sur des sites X ou de hackers, ne pas télécharger n'importe quoi ou provenant  de CD sur les journaux d'info, acheter un bon anti-virus, lire les forums, voila......Salutation à ceux de CCM et bonne continuation...

balltrap34 · Answer

pour about blancktenter cecihttp://209.133.47.200/~merijn/files/CWShredder.exeil faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire next - next

The InquisyThorr · Answer

Bonjour a tous,j'ai eu le meme probleme de about:blank, avec l'appartition du moteur de recherche bizarre et des fenetres popup de pub pour les logiciels anti-spywares etc... enfin une belle crasse.G reussi a le degager (ouf) voila ce que j'en ai tiré...un fichier dll du\windows\system32\ envoie des informations dans le registre qui reviennent quasi instentanément si on "nettoie" le registre, ce fichier dll est utilisé par windows et donc protege contre la suppression, aussi il faut degager le processus qui l'emploie...je ne mets pas de nom paske les noms changent d'une machine a l'autre... pour ma part le malware avait modifié le svchost.exe et ce svchost recreait un fichier dll systematiquement...La demarche fut donc de degager un a un les processus en commencant par les plus evidents et puis lorsque le fichier dll peut enfin etre supprimé, ouvrir la commande MS-DOS et taper SFC /SCANNOW ou /SCANONCE pour checker tous les fichiers systemes (attention requiert le CD Windows)Voila, c peut-etre pas tout a fait clair mais ca marche@++...And The Devil Gave Her A Rose...

hourrrah · Answer

salut,OK..utiliser, en premier, la très bonne solution donnée par balltrap34  avec CWShredder...dans le post <21>.Rappel du lien pour télécharger ce feeware de merijn:http://209.133.47.200/~merijn/files/CWShredder.exe Cordialement  et @+ Chi va piano va sano..chi va sano va più lontano e più alto

stekar · Answer

Il s'agit d'un fichier .dll qui est logé dans c:\windows. Je l'ai identifié avec le logiciel AD AWARE de Lavasoft.Ce n'est pas ce logiciel qui l'a éradiqué, il m'a seulement donné le nom du fichier qui me tracassait. Pour ma part il s'agissait du fichier "mrhop.dll". Suite à ça, j'ai redémarré mon PC en mode MS-DOS pour le virer (car il ne se vire pas sous windows, car il l'utilise pour s'éxecuter) et j'ai rentré la commande "del mrhop.dll". Ensuite plus rien au redémarrage. Ma page maudite était "search for". Bonne chance à tous.

dunun · Answer

Bonjour, j'ai galeré un moment avant de trouver cela et ça marche : (pour ceux qui ont des pb avec la traduction > http://babelfish.altavista.com) 1 Download reglite (http://www.resplendence.com/reglite) 2 install "Reglite" and run it, enter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs into the address bar. 3 Double click on AppInit_DLLs to open a "Data Editor" properties window, if the bottom textfield named "Value" contains a .dll file; then this is the hidden file you need to get rid off. 4 You should not be able to delete this file if you try to clear the value field, IMPORTANT: take note of the path and name of the .dll file. Write it down so you do not forget it. 5 Rename the Folder "Windows" (This is a purple "highlighted" folder in the left hand window) to NOTWINDOWS. Simply click on the folder, click on "Edit" in the menu bar and select "Rename". 6 Click AppInit_DLLs again and clear the value containing the .dll and ok it. This should have removed the .dll 7 Rename the windows folder back to its original name "Windows". 8 Run SpyBot, Ad-Aware and CWShredder 9 Check the following three links for instructions on downloading and running the applications listed: How to use Spybot to remove Spyware How to use Ad-Aware to remove Spyware How to Remove CoolWebSearch with CoolWeb Shredder 10 Next step will be to remove this dll file so make sure you have it noted down. 11 Step 1 12 Download KillBox (http://download.broadbandmedic.com) 13 Unzip and start the application 14 Paste in the dir i.e C:\Windows\System32 ameofdll.dll 15 Menu Select Action -> Delete on Reboot 16 Select File -> Add file 17 Select Action -> Process and Reboot 18 If Step 1 didn't work 19 Step 2 20 Click "Start" => "Run" and type in "cmd" (Without the quotations) and click on "Okay". 21 This will open a command window I will assume you have a basic knowledge of DOS if you have any problems at this point just write back I will outline the commands. 22 Type in dir and press "Enter". You should see the name of the file listed. 23 Go to the system32 folder (This is where the .dll file will typically reside) and type attrib -R "nameofdll".dll 24 Carry out Step 1 again 25 Restart your computer in safemode 26 Open cmd window again as before 27 Type dir and locate the dll name the dll should now have been removed and will not be listed. 28 While in safe mode (How do I boot into "Safe" mode?), run the 3 ad-removal programs again, just to make sure all traces are gone. 29 Boot up pc as normal and you should be trouble free.

hourrrah · Answer

salut dunun,Tu penses sérieusement que qq'un va se lancer dans un truc pareil.....en renommant Windows au passage......à partir en + d'un pas à pas en anglais (la traduction est foklo.. il vaut mieux connaître l'"anglais informatique"..)etc... etc..Destiné aux utilisateurs très très avertis...comprenant très exactement ce qu'ils font.MAIS CE N'EST QUE MON AVIS...Cordialement  et @+ Chi va piano va sano..chi va sano va più lontano e più alto

jojo · Answer

bonsoircela fait plusieurs semaines que je galère avec ce about:blank.plusieurs sypwares ont été installés rien.... sauf celui du popup..."PestPatrol" m'a donné la dll une fois, heureux peu de temps. comme vous un prog en tache ce fond me le remplaçait systématiquement dans tout les "KEY" de la registrie en créant un sp.html dans le tmp ie.la solution du message de  merijn est pour l'instant la bonne solutionRappel du lien pour télécharger ce feeware de merijn: http://209.133.47.200/~merijn/files/CWShredder.exe  super bonne analyse a plus

Wilfried64 · Answer

j'ai le mem problem. j'ai nisecurity, lancer tous les prog, spyboot, asaware,et qque autre ert tjs ce meme problemeLogfile of HijackThis v1.97.7Scan saved at 13:10:31, on 03/07/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Microsoft Hardware\Keyboard	ype32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Hulot Wilfried\Bureau\Virus\hijackthis\HijackThis.exeR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {2937A75A-E48A-4657-A909-1D28BB5B3CBA} - C:\WINDOWS\System32\jkkg.dllO2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXEO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.htmlO8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.htmlO8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.htmlO8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.htmlO9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)O9 - Extra button: ICQ Pro (HKLM)O9 - Extra 'Tools' menuitem: ICQ (HKLM)O9 - Extra button: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM)O9 - Extra button: Wanadoo (HKCU)O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://my.uo.com/fonts/tdserver.cabO16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cabO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cabO16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cabO16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cabO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exeO16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.2390046296O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D0749A8E-1419-4CCE-82A6-5BCAC7EC92D6}: NameServer = 80.10.246.130 80.10.246.3

Hotball64 · Answer

Voile mon nouveau hi jack..Logfile of HijackThis v1.97.7Scan saved at 13:15:40, on 03/07/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Microsoft Hardware\Keyboard	ype32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeC:\Documents and Settings\Hulot Wilfried\Bureau\Virus\hijackthis\HijackThis.exeC:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HULOTW~1\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HULOTW~1\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HULOTW~1\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\HULOTW~1\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\HULOTW~1\LOCALS~1\Temp\sp.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\HULOTW~1\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLLO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {2937A75A-E48A-4657-A909-1D28BB5B3CBA} - C:\WINDOWS\System32\jkkg.dllO2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dllO3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXEO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.htmlO8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.htmlO8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.htmlO8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.htmlO9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)O9 - Extra button: ICQ Pro (HKLM)O9 - Extra 'Tools' menuitem: ICQ (HKLM)O9 - Extra button: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM)O9 - Extra button: Wanadoo (HKCU)O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://my.uo.com/fonts/tdserver.cabO16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cabO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cabO16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cabO16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cabO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exeO16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.2390046296O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D0749A8E-1419-4CCE-82A6-5BCAC7EC92D6}: NameServer = 80.10.246.130 80.10.246.3

julh · Answer

Lut laissez tombé internet explorer utilisé plutot firefox cette explorer est bcp mieux j'ai jamais eu de prb avec en plus il a un anti po-up integrer

Wilfried64 · Answer

bon je n'ai plus le about blanck en demarage en nettoyant la base de registre et plusieur sypwarevoila le nouveau hijack voyez vous des chose nefaste pour moi ???merciLogfile of HijackThis v1.97.7Scan saved at 23:19:08, on 03/07/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exeC:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Microsoft Hardware\Keyboard	ype32.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exeC:\WINDOWS\system32\NOTEPAD.EXEC:\Documents and Settings\Hulot Wilfried\Bureau\Virus\hijackthis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {2937A75A-E48A-4657-A909-1D28BB5B3CBA} - C:\WINDOWS\System32\jkkg.dll (file missing)O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard	ype32.exe"O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXEO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000O8 - Extra context menu item: Easy-WebPrint Ajouter à la Liste à Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.htmlO8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.htmlO8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.htmlO8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.htmlO9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)O9 - Extra button: ICQ Pro (HKLM)O9 - Extra 'Tools' menuitem: ICQ (HKLM)O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://my.uo.com/fonts/tdserver.cabO16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cabO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cabO16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cabO16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cabO16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exeO16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.2390046296O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{D0749A8E-1419-4CCE-82A6-5BCAC7EC92D6}: NameServer = 80.10.246.130 80.10.246.3

Utilisateur anonyme · Answer

salut Wilfried64 ton hijack ma l'aire propre ;)))  y'a juste cette ligne que tu doit fixer O2 - BHO: (no name) - {2937A75A-E48A-4657-A909-1D28BB5B3CBA} - C:\WINDOWS\System32\jkkg.dll (file missing) je te conseille de telecharher power IE6 c un petit programe qui bloque ta page de demarage comme ca aucun spyware ne poura la squatter http://www.technicland.com/powerie6.php3@++++++++++++++

hourrrah · Answer

salut Wilfried64,En regardant trop vite, j'ai cru que toi et  Hotball64, c'était la même personne, d'où mon message à        ...64.Son paquet de sp.html m'inquiétait bcp et était à virer.Toi, avec ce log, rien à dire. R0 est OKSous réserve du O2, signalé ci-dessus par Jess15.L'about bank que tu as en R1 ne pose pas problème.Cordialement  et @+ A chi consiglia, non duole il capo.

Hotball64 · Answer

hotball64 ou wilfried64 je suis les deux ..lolsinon j'ai regle leproblem et encore merci de vos conseils ...

Terdef · Answer

La Manip - révision 23 (anti-hijack de la page de démarrage)Mis à part quelques modifications mineures à travers toute La Manip, la nouveauté d'importance est la gestion des DLLs cachées dans la clé AppInit_DLLs.Cette gestion est montée de simple surveillance en fin de manip à une étape pleine, l'étape 12.Je me suis livré à de très nombreux tests (et je vais continuer). Cette étape est illustrée de nombreuses captures d'écrans afin de bien expliquer le problème aux néophytes.La manipulation nécessite d'entrer dans la base de registre car les utilitaires actuels comme HiJackThis ne gèrent pas le problème convenablement.Je vais suggérer à Saint Merijn d'analyser en binaire le contenu de cette clé, de sauter par dessus un zéro binaire (NULL) et poursuivre l'analyse de la chaîne de caractères (s'il peut le faire car il a déjà annoncé lui-même qu'il était arrivé à la limite de ce qu'il peut faire en Visual Basic - le langage qu'il utilise pour développer HiJackThis et ses autres applications).Ensuite, HiJackThis devrait proposer plusieurs lignes O20, une par contenu de la clé, afin de permettre de "fixer" la malveillance et non pas de virer tout ce que contiend cette clé, y compris les entrées légitimes.Attention : il est fait grand cas de Registrar Lite (de Resplendence) pour lire cette clé. Je démontre dans La Manip que cet utilitaire est comme les autres, il ne voit rien.La Maniphttp://assiste.com/manip.htmlPierre (aka Terdef)

balltrap34 · Answer

re terdefpour sur kill virera la dll en question mais si il y en a d autres il faudrai les faire toutesquand au reg tu as raison mais la je n ai pas le temp de le faire et aussi pas toutes les qualite pour que se soit parfaisla chasse et le balltrap ma vrai passion

hourrrah · Answer

Salut à tous les deux,Echanges de vue très intéressants mais volant à 10000 pieds au-delà de la tête des naufragés moyens en quête d'un dépannage sur CCM.Cordialement  et @+ Amato non sarai, se a te solo penserai.

balltrap34 · Answer

salut hourrrahtu as raison mais cela nous arrive tres tres rarementla chasse et le balltrap ma vrai passion

hourrrah · Answer

salut balltrap34,No problem.. j'ai bien compris que le sujet vous passionnait tous les deux..     ;-)Cordialement  et @+ Amato non sarai, se a te solo penserai.

Terdef · Answer

Salut  Hourrrahj'ai bien compris que le sujet vous passionnait tous les deux.. ;-)Nooon... Sans blague... ;o)) ;o)) ;o))Pierre (aka Terdef)

balltrap34 · Answer

le plus passionner c est terdef et aussi le plus competent a cote je ne suis q un petit amateurla chasse et le balltrap ma vrai passion

Fanch · Answer

Bonjour à tousMoi aussi cette page d accueil me pourrit la viej ai executé Hijack this, ad aware, spybot et CWShredder mais rien n y fait, cette saloperie revient tout le temps....je ne sais pas quoi faire. En plus d'avoir ma page d accueil bloquée, je ne peux aller sur certains sites comme hotmail, cette page de recherche à la noix s affichant à la place...j aimerais bien svp pouvoir m en débarasser rapisement, cette saloperie me prend toutes mes nuits en ce moment. Si cela peut vous aider, vous trouverez ci dessous le dernier rapport de mon Hijackthis. Petites précisions: je tourne sous XP pro et mes connaissances en informatiques sont quasi au niveau 0...Une dernier chose, j ai vu que la manip proposée sur assiste.com a l 'air un peu compliquée. Un néophyte comme est-il capable de l éxécuter favilement et sans risques???Merci d avance...FrançoisLogfile of HijackThis v1.98.2Scan saved at 12:01:14, on 21/08/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\Messenger\msmsgs.exeC:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg4.EXEC:\WINDOWS\System32\wuauclt.exeC:\WINDOWS\System32\ctfmon.exeC:\Documents and Settings\François Daures\Local Settings\Temp\Répertoire temporaire 2 pour hjt.zip\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.htmlR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.htmlR1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {27B4FA72-2458-48E6-90FD-73B81F26C700} - C:\WINDOWS\System32\iljmle.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeO4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exeO4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXEO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [VTPreset] VTPreset.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:
osuch.mht!http://2awm.com/pop/chm/nw1sp.chm::/on-line.exeO18 - Filter: text/html - {3A808B7A-8F16-4EEB-ACF0-395DB18E4627} - C:\WINDOWS\System32\iljmle.dllO18 - Filter: text/plain - {3A808B7A-8F16-4EEB-ACF0-395DB18E4627} - C:\WINDOWS\System32\iljmle.dll

hourrrah · Answer

salut fanch,C'est très clair.. ton probl., c'est le syndrome de la page cachée activée par la malveillance  sp.exe...Cordialement  et @+ Amato non sarai, se a te solo penserai.

hourrrah · Answer

re..fanch...solution: désactiver le processus en supprimant le fichier sp.exe et tous ses acolytes sp.* en mode sans échec.redémarrer le PCUn scan avec hijacktis pour fixer toutes les R0 et R1.Modifier ta page de démarrage dans IE Verrouillage de IE avec spybot 1.3 en mode avancé.Tiens-moi au courant.Cordialement  et @+ Amato non sarai, se a te solo penserai.

balltrap34 · Answer

salutpar contre j ai un gros doute sur celle ciO2 - BHO: (no name) - {27B4FA72-2458-48E6-90FD-73B81F26C700} - C:\WINDOWS\System32\iljmle.dll la chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

salut je resume je recapitule tous ce qui a etait dit donc tu ferme internet explorer , tu lance le hijack , coche c'est lignes ensuite clike sur FIX R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\FRANOI~1\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {27B4FA72-2458-48E6-90FD-73B81F26C700} - C:\WINDOWS\System32\iljmle.dll (j'ai fait des recherche sur google .j'ai rien  trouver qui correspond a cette dll donc je pense que c  un spyware )ensuite suprime les fichiers inutile comme ceci Demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexionet: poste de travaille /lecteurC/ windows/ temp et suprime tous ce qu'il y'a a l'interieure  ensuite va dans demarrer/rechercher et tape : sp.exe et iljmle.dll  suprime les et vide la corbeille @++++

Fanch · Answer

OUAIP!
>
> Ca y est cette saloperie m'a lache la grappe. Merci a tous pour =
> votre aide. Je crois que je serai en train de jeter mon Pc par la
> fenêtre sans vous!!!
>
> J 'ai bien fait la manip que vous m avez indique (merci d'ailleurs de
> vous etre mis a mon niveau informatique...). un seul soucis: quand
> j'ai recherche les fichiers iljmle.dll et sp.exe, ma recherche n'a
> rien trouve: inconnus au bataillon. J'ai quand meme vide la
> corbeille!!!
>
> Mais bon, l'essentiel est que ca ait marche
>
> Merci donc encore (si si je vous assure, ne faites pas les modestes ;-))
>
> Une derniere question: y a-t-il un moyen de bloquer ma page d'accueil
> et surtout d'eviter que cette p..... de page about:blank ne squatte ma
> page de demarrage tel le morpion de base? genre un petit programme ou =
> un truc comme ca?
>
> Quelles securites me conseillez-vous en plus pour lutter contre ce =
> genre de parasites (hormis bien sur un antivirus que j'ai deja)
>
> Merci
>
> Fanch=20

hourrrah · Answer

re.. fanch,
Si tu n'as pas supprimé sp.exe, ça va revenir..très vite
Tu ne l'as peut-être pas vu parce que tu masques les fichiers cachés.

Cordialement et @+
Amato non sarai, se a te solo penserai.

Utilisateur anonyme · Answer

salut hourrrah a raison ca risque de revenir

1.donc redemare en mode sanzs echec
2.Affiche tous les fichiers et dossiers :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Decocher masquer les extentions dont le type est connues

3. va dans demarrer/ rechercher : tape
iljmle.dll
sp.exe
si tu trouve pas sp.exe , essay : reg_sp.exe ou unreg_sp.exe
@++++

hourrrah · Answer

re..re..fanch,
Pour répondre à ta question sur la protection de ta page de démarrage... il ya le verrouillage.. ce n'est pas en béton armé mais cela complique (un peu) la tâche des processus malveillants.
Tu peux utiliser spybot 1.3 en mode avancé pour verrouiller..

Cordialement et @+
Amato non sarai, se a te solo penserai.

fanch · Answer

ok

J'ai bien fait tout ça: afficher tous les dossiers selon la manip que vous m avez donne mais rien à faire, ma recherche ne donne rien sur les fichiers
reg_sp.exe
unreg_sp.exe
sp.exe
iljmle.exe

peut etre faut il configurer la recherche d'une façon spécifique?

Fanch
peut-etre

Utilisateur anonyme · Answer

salut c pas iljmle.exe  mais iljmle.dll refait un hijack stp pour voir si ils sont bien parti @++++++++++

hourrrah · Answer

Re.. fanch..,
Ta recherche est à conduire sur l'entièreté des DD et partitions...
Argument de recherche: *sp*
Il y aura des choses en trop, mais on triera..

Cordialement et @+
Amato non sarai, se a te solo penserai.

fanch · Answer

Merci à vous 2je ne sais pas ce qu'est "un argument de recherche"quand à mon Hijacklog le voiciLogfile of HijackThis v1.98.2Scan saved at 19:53:33, on 21/08/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEC:\WINDOWS\Explorer.EXEC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\Fichiers communs\Real\Update_OBealsched.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg4.EXEC:\WINDOWS\System32\ctfmon.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\François Daures\Local Settings\Temp\Répertoire temporaire 3 pour hjt.zip\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeO4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exeO4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXEO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [VTPreset] VTPreset.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osbootO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: MA111 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA111 Configuration Utility\wlancfg.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:
osuch.mht!http://2awm.com/pop/chm/nw1sp.chm::/on-line.exeO18 - Filter: text/html - {3A808B7A-8F16-4EEB-ACF0-395DB18E4627} - C:\WINDOWS\System32\iljmle.dllO18 - Filter: text/plain - {3A808B7A-8F16-4EEB-ACF0-395DB18E4627} - C:\WINDOWS\System32\iljmle.dllC'est grave docteur?

Utilisateur anonyme · Answer

salut ton log a l'air ok
y'a just c 2 ligne a fixé
O18 - Filter: text/html - {3A808B7A-8F16-4EEB-ACF0-395DB18E4627} - C:\WINDOWS\System32\iljmle.dll
O18 - Filter: text/plain - {3A808B7A-8F16-4EEB-ACF0-395DB18E4627} - C:\WINDOWS\System32\iljmle.dll

aussi y'a cette dll "iljmle.dll " qui apparais tjr
essay de la retrouver en suivant ce chemin

post de travail/ lecteurC/windows/system 32 . dans ce dossier cherche iljmle.dll
n'oublie pas d'afficher les fichier cacher avant de faire la manip
@+++++

hourrrah · Answer

re.. fanch,
L'argument de recherche, c'est ce tu as à rechercher.
ici: *sp* (les * sont des caractères jocker..)
A faire après.. ce que t'indique Jess... pour assurer le coup.

Cordialement et @+
Amato non sarai, se a te solo penserai.

fanch · Answer

Re

Ok les 2 lignes O 18 ont été fixées mais aucune trace du fichier iljmle.dll dans system 32 ni dans la recherche même en affichant les fichiers cachés...

?

Une petite question me trotte dans la tête...en fait je suis un peu étonné par le fait que vous aidiez comme ça les internautes qui ont ce genre de galère. C'est votre passion les hijack ou c'est juste que vous êtes des saints ? ;-)

Sérieux ça m'intrigue; surtout avec des novices dans mon genre!!

Merci encore pou votre patience...bon alors on en fait quoi de ve fichier iljmle.dll introuvable?

Rassurez-moi, vous allez quand même pas passer votre samedi soir à répondre aux questions de ce forume quand même?

@+
Fanch

Utilisateur anonyme · Answer

bien parler hourrrah .pour ma part c'est ma passion j'adore l'informatique , et en plus ce que vous ne savais pas c'est qu' on apprend encore plus en aidant les autre ;-)
pour le fichier dll je pense que c bon il existe plus .on a du le suprimer en fixant les lignes cité plus haut.

sur ce je te dit a la prochaine, peu etre dans d'autre circonstances :-)
@++++++++++

balltrap34 · Answer

salut
je vous est abandonner
en se qui concerne la dll pas sur qu elle ni soit plus refait hijack pour voir et si elle y est toujour ont tentera avec la killbox de la virer

la chasse et le balltrap ma vrai passion
voir site perso dans profil

balltrap34 · Answer

salut hourrrahvi et se week end j ai pas pu trop trainer sur ccmla chasse et le balltrap ma vrai passionvoir site perso dans profil

Page About:blank

54 réponses

Votre réponse

Discussions similaires

Newsletters