Problème browser hijacker ! help !!!

lacrymo -  
 Ascari -
bonjour à tous,
depuis un moment certaines pages web sous IE4 me conduisent inévitablement à une autre page, toujours la même : http\\:njsant.outhost.info. J'ai donc essayé tous les antivirus possibles (norton, adaware, avast, antivirXP,etc...) sans résultat.
Deplus, impossibilité de télécharger Spybot et HijackThis, quelque soit le site source, un message d'erreur apparait à la fin du téléchargement, ces logiciels ne peuvent atterir sur mon HDD.
Enfin, impossible de supprimer certains programmes sans qu'il y ait retour sur mon bureau.
Que faire ? Commande Regedit fonctionnant mais comment repérer la faille par ce biais ?
Merci pour vos réponses.

18 réponses

  1. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    Aprés un petite recherche il semblerait que les sociétées qui se cachent derriére http://www.njsant.outhost.info/ soient sous réserve:

    http://websearch.com/ (Hijacker)
    et
    http://www.eacceleration.com/ (Adware)

    pour plus d'infos et/ou comment les enlever manuellement voir les deux liens suivants:

    http://www.pestpatrol.com/PestInfo/w/websearch.asp
    http://www.pestpatrol.com/PestInfo/e/eacceleration.asp

    (ps: tu peux aussi télécharger la version démo de pestpatrol et l'utiliser si tu préferre)

    *** http://vil.nai.com/vil/stinger/ ***
    *** http://www.ravantivirus.com/scan/ ***
    0
  2. lacrymo
     
    j'ai essayé vos recommandations voila le résultat :
    avec Stinger j'avais déjà essayé: RAS
    avec Shredder: pas d'infection, tout va bien d'après lui, système clean
    Après avoir téléchargé Spybot et Hijackthis chez un ami, arrivé chez moi, rien n'apparait sur le CD-R
    Enfin, j'ai pû, en renommant le fichier Hijackthis que j'avais envoyé par mail, arriver à ce log, qu'en pensez vous? Merci

    Logfile of HijackThis v1.94.0
    Scan saved at 18:02:53, on 16/05/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.gueux.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://
    R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL=http://
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
    N1 - Netscape 4: user_pref("browser.startup.homepage", "www.net-up.com"); (C:\Program Files\Netscape\Users\osannier\prefs.js)
    O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\SYSTEM32\BHOECART.DLL
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\AUTOCHK.EXE
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [UBCFI] C:\WINDOWS\UBCFI.exe
    O4 - HKLM\..\Run: [ADGKNQ] C:\WINDOWS\ADGKNQ.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [SpyBlocker] C:\Program Files\SpyBlocker Software\spyblocker.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Documents and Settings\sannier\Mes documents\mes telechargements\olivier\TeaTimer.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://c:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /300
    O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: Popup Eclair Bypass (HKLM)
    O9 - Extra 'Tools' menuitem: Popup Eclair Bypass (HKLM)
    O12 - Plugin for .asx: C:\PROGRAM FILES\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npdsplay.dll
    O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
    O12 - Plugin for .pdf: C:\PROGRAM FILES\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\nppdf32.dll
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_FR_XP.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
    O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Program Files\Formation interactive Microsoft\o10c\mitm0026.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
    O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/scan/Msie/bitdefender.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.112.238.45/activex/AxisCamControl.ocx
    O16 - DPF: {981D847D-2C06-4FB7-A09C-4F0A48601B2C} (DiagSetup Class) - http://techcity.aol.fr/download/img/DiagSetup.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38116.308900463
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut a tu bien fait comme ca
    http://209.133.47.200/~merijn/files/CWShredder.exe
    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix/ next/ next
    si ce n est pas le cas refait le
    et si ca ne change rien on agirat sur le hijackthis
    0
  5. lacrymo
     
    c fait, mais comme tout a l'heure, à chaque étape, message "not present" et en fin, pages IE4 "non infected" et "not infected", pour finir après le dernier "next", "your system is completly clean" mais la page pirate s'ouvre toujours...
    Etape suivante!!!
    0
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    sur ton hijack il ny a pas le debut
    dit moi quelle est ta page de demarrage d origine(ex:free,club internet)
    0
  7. lacrymo
     
    la page de démarrage sous IE6 est www.aol.com
    pour le début du log je viens de faire une startuplist que voici :

    StartupList report, 16/05/2004, 21:58:55
    StartupList version: 1.52
    Started from : c:\windows\TEMP\Rar$EX01.820\HijackThis.EXE
    Detected: Windows XP SP1 (WinNT 5.01.2600)
    Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    * Using default options
    ==================================================

    Running processes:

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\srvany.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
    C:\WINDOWS\system32\resetservice.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\CFGSAFE\AUTOCHK.EXE
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
    C:\Program Files\a2\a2guard.exe
    C:\Program Files\AOL Compagnon\companion.exe
    C:\Program Files\AOL 8.0a\aoltray.exe
    C:\Program Files\AOL Compagnon\companion.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\AOL Compagnon\companion.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\AOL 8.0a\waol.exe
    C:\Program Files\AOL 8.0a\shellmon.exe
    C:\Program Files\AOL Compagnon\companion.exe

    --------------------------------------------------

    Listing of startup folders:

    Shell folders Common Startup:
    [C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
    AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
    Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0a\aoltray.exe

    --------------------------------------------------

    Checking Windows NT UserInit:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    UserInit = C:\WINDOWS\system32\userinit.exe,

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    SpeedTouch USB Diagnostics = "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    Zone Labs Client = C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    SpyBlocker = C:\Program Files\SpyBlocker Software\spyblocker.exe

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    popupeclair =

    --------------------------------------------------

    Enumerating ICQ Agent Autostart apps:
    HKCU\Software\Mirabilis\ICQ\Agent\Apps

    C:\PROGRAM FILES\LINGOCOM\LINGOWARE.EXE\

    --------------------------------------------------

    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

    Shell=*INI section not found*
    SCRNSAVE.EXE=*INI section not found*
    drivers=*INI section not found*

    Shell & screensaver key from Registry:

    Shell=Explorer.exe
    SCRNSAVE.EXE=C:\WINDOWS\System32\ssstars.scr
    drivers=*Registry value not found*

    Policies Shell key:

    HKCU\..\Policies: Shell=*Registry value not found*
    HKLM\..\Policies: Shell=*Registry value not found*

    --------------------------------------------------

    Enumerating Browser Helper Objects:

    NAV Helper - c:\Program Files\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

    --------------------------------------------------

    Enumerating Task Scheduler jobs:

    Symantec NetDetect.job
    Maintenance-Défragmentation des programmes.job
    Maintenance-Nettoyage de disque.job
    Norton AntiVirus - Analyser mon ordinateur.job
    Rappel d'expiration de la désinstallation.job

    --------------------------------------------------

    Enumerating Download Program Files:

    [ppctlcab]
    CODEBASE = http://www.pestscan.com/scanner/ppctlcab.cab
    OSD = C:\WINDOWS\Downloaded Program Files\OSD406.OSD

    [PPSDKActiveXScanner.MainScreen]
    InProcServer32 = C:\WINDOWS\Downloaded Program Files\PPSDKActiveXScanner.ocx
    CODEBASE = http://www.pestscan.com/scanner/axscanner.cab

    [Microsoft Office XP Professional Step by Step Interactive]
    InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MITM0026.DLL
    CODEBASE = file://C:\Program Files\Formation interactive Microsoft\o10c\mitm0026.cab

    [HouseCall Control]
    InProcServer32 = C:\WINDOWS\DOWNLO~1\xscan53.ocx
    CODEBASE = http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab

    [AvxScanOnline Control]
    InProcServer32 = C:\WINDOWS\DOWNLO~1\BITDEF~1.OCX
    CODEBASE = http://www.inoculer.com/scan/Msie/bitdefender.cab

    [MessengerStatsClient Class]
    InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\MESSENGERSTATSCLIENT.DLL
    CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

    [Update Class]
    InProcServer32 = C:\WINDOWS\System32\iuctl.dll
    CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38116.308900463

    [{CEBC955E-58AF-11D2-A30A-00A0C903492B}]
    CODEBASE = http://windowsupdate.microsoft.com/R970/V31Controls/x86/w98/fr/actsetup.cab

    [Shockwave Flash Object]
    InProcServer32 = C:\WINDOWS\System32\macromed\flash\swflash.ocx
    CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    --------------------------------------------------

    Enumerating Windows NT logon/logoff scripts:
    *No scripts set to run*

    Windows NT checkdisk command:
    BootExecute = autocheck autochk *

    Windows NT 'Wininit.ini':
    PendingFileRenameOperations: C:\DOCUME~1\sannier\LOCALS~1\Temp\delus.exe||C:\DOCUME~1\sannier\LOCALS~1\Temp\_iu14D2N.tmp|||?

    --------------------------------------------------

    Enumerating ShellServiceObjectDelayLoad items:

    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
    CDBurn: C:\WINDOWS\system32\SHELL32.dll
    WebCheck: C:\WINDOWS\System32\webcheck.dll
    SysTray: C:\WINDOWS\System32\stobject.dll

    --------------------------------------------------
    End of report, 6 598 bytes
    Report generated in 2,133 seconds

    Command line options:
    /verbose - to add additional info on each section
    /complete - to include empty sections and unsuspicious data
    /full - to include several rarely-important sections
    /force9x - to include Win9x-only startups even if running on WinNT
    /forcent - to include WinNT-only startups even if running on Win9x
    /forceall - to include all Win9x and WinNT startups, regardless of platform
    /history - to list version history only
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    Salut
    Relance hijack coche et fix ces lignes

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL=http://
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.gueux.net/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://
    R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL=http://
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm

    Ces 2 la dit moi si ca te dit quelque chose rien trouver a leur sujet ne les coches pas

    O4 - HKLM\..\Run: [UBCFI] C:\WINDOWS\UBCFI.exe
    O4 - HKLM\..\Run: [ADGKNQ] C:\WINDOWS\ADGKNQ.exe
    0
  9. lacrymo
     
    salut,
    je desepere, aucun effet, la même page de m... s'affiche encore et toujours.
    faut-il que je redemarre ?
    je sens qu'on va aller se coucher sans reponse au pb !! SNIFF!
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oui redemarre et dit moi un ca en ait
    0
  11. lacrymo
     
    MARCHE PÔ !!!!!!!!
    je vais finir par revendre cette becane à la c..
    Je pense qu'AOL qui est mon provider utilise IE pour l'affichage de ses pages, je me suis assuré que c'était mon navigateur par défaut.
    kes qui reste comme soluce ???
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    retente de telecharger ceci ou fait toi le telechager par quelqu un
    http://209.133.47.200/~merijn/files/CWShredder.exe

    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next
    si tu na personne donne moi ton adresse msn si tu en a une je te l enverrai
    0
    1. lacrymo
       
      je l'ai fais 2 fois hors connexion et fenetres fermees, aucun rapport avec coolwebsearch trouvé, il me met le message "your system was completly clean"
      sommes nous dans une impasse ?
      0
  13. lacrymo
     
    j'voudrais bien, mais j'peux point !
    pas possible de telecharger spybot, ni de le lancer a partir d'un CD? ni de l'ouvrir dans un mail, quelque chose bloque l'execution de ce programme, je suis bien bloqué à ce niveau là !
    je pense qu'on y verra plus clair demain, sinon on va y passer la nuit
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ok dur dur
    a demain
    0
  15. busard
     
    Salut

    J'ai eu un probleme identique: page de demarrage pirate reccurente, firewall et antispyware inoperants et des processus etrangers tournaient sur ma becane.
    Du coup j'ai gravé mes documents, formaté mon disque, j'en ai eu pour 2h pour tout reinstaller et j'ai mis mon firewall à jour ainsi que spybot et adaware, mais maintenant je suis tranquille.
    0
  16. Ascari
     
    J'ai trouvé une soluce ki a tres bien fonctionné pour moi il s'agit de restaurer windows xp.
    Le probleme c'est qu'il faut avoir un point de restauration antérieur au probleme.
    Voila a vous de jouer.
    0