Problème démarrage virus Home search
patrice
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour, Voila comme beaucoup quand je lance internet j'ai la page Home search qui apparait (res://dzvfm.dll/index.html#37049) Donc j'ai lancer AD-aware et Spybot, mais ca reviens tjrs. Apres j'ai lancé hijackthis voila ce que j'ai:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\apihw.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\winki32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\SBLive\PlayCenter2\CTNMRun.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Cote Ouest\Serveur\Ffserver.exe
C:\Program Files\Microsoft Office\Office\1036\msoffice.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\Patrice\Mes documents\POUR VIRUS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D563CE3-2AA6-0070-058D-1EB255E989CD} - C:\WINDOWS\javaff.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [winki32.exe] C:\WINDOWS\system32\winki32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NOMAD Detector] "C:\Program Files\Creative\SBLive\PlayCenter2\CTNMRun.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKLM\..\RunOnce: [apihw.exe] C:\WINDOWS\apihw.exe
O4 - HKLM\..\RunOnce: [javala.exe] C:\WINDOWS\system32\javala.exe
O4 - HKLM\..\RunOnce: [sdkcf32.exe] C:\WINDOWS\system32\sdkcf32.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKLM\..\RunOnce: [sdkln.exe] C:\WINDOWS\sdkln.exe
O4 - HKLM\..\RunOnce: [ipnn.exe] C:\WINDOWS\ipnn.exe
O4 - Startup: Serveur de données.lnk = C:\Program Files\Cote Ouest\Serveur\Ffserver.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/fr/techsupp/activedata/symsupportutil.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/04503889054cdc8fd905/netzip/RdxIE601_fr.cab
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/fr/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0318BB5E-0402-4066-A7EE-F86F59A3AFC4}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{0318BB5E-0402-4066-A7EE-F86F59A3AFC4}: NameServer = 80.10.246.1 80.10.246.132
Je ne sais pas quel fichier il faut retirer avec les
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
Pouvez- vous me dire quel est le fichier qui relance une autre page et crée une nouvelle adresse.
Merci d'avance
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\apihw.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\WINDOWS\System32\dslagent.exe
C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\winki32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Creative\SBLive\PlayCenter2\CTNMRun.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Cote Ouest\Serveur\Ffserver.exe
C:\Program Files\Microsoft Office\Office\1036\msoffice.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\Patrice\Mes documents\POUR VIRUS\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D563CE3-2AA6-0070-058D-1EB255E989CD} - C:\WINDOWS\javaff.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [winki32.exe] C:\WINDOWS\system32\winki32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NOMAD Detector] "C:\Program Files\Creative\SBLive\PlayCenter2\CTNMRun.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKLM\..\RunOnce: [apihw.exe] C:\WINDOWS\apihw.exe
O4 - HKLM\..\RunOnce: [javala.exe] C:\WINDOWS\system32\javala.exe
O4 - HKLM\..\RunOnce: [sdkcf32.exe] C:\WINDOWS\system32\sdkcf32.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Program Files\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKLM\..\RunOnce: [sdkln.exe] C:\WINDOWS\sdkln.exe
O4 - HKLM\..\RunOnce: [ipnn.exe] C:\WINDOWS\ipnn.exe
O4 - Startup: Serveur de données.lnk = C:\Program Files\Cote Ouest\Serveur\Ffserver.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/fr/techsupp/activedata/symsupportutil.CAB
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://c:\info6.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/04503889054cdc8fd905/netzip/RdxIE601_fr.cab
O16 - DPF: {69432678-2906-2705-1128-068943397621} -
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/fr/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0318BB5E-0402-4066-A7EE-F86F59A3AFC4}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{0318BB5E-0402-4066-A7EE-F86F59A3AFC4}: NameServer = 80.10.246.1 80.10.246.132
Je ne sais pas quel fichier il faut retirer avec les
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gsdae.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gsdae.dll/sp.html#37049
Pouvez- vous me dire quel est le fichier qui relance une autre page et crée une nouvelle adresse.
Merci d'avance
A voir également:
- Problème démarrage virus Home search
- Forcer demarrage pc - Guide
- Problème démarrage windows 10 - Guide
- Ordinateur lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Demarrage windows 10 - Guide
9 réponses
Bonjour,
As-tu suivi la procédure indiquée ici :
http://www.commentcamarche.net/faq/360-About-blank---Page-de-d%E9marrage-remplac%E9e
As-tu suivi la procédure indiquée ici :
http://www.commentcamarche.net/faq/360-About-blank---Page-de-d%E9marrage-remplac%E9e
Jeff \--WM@CCM--/
salut
ta un virus appellé "lsass" c un bebe de sassaer , j'ai le meme prob , sauf que jusqua mantenant j'ai pu le dribler pour utiliser internet et trouver une reponse , et voila comment : je laisse l'apparition du message puis je cherche l'horloge et je met un quelques heurs avant pour avoir + de temps de recherche et voila , bye et bon chance .
avant d'oublier si ta trouver une reponse n'hesite pas a me l'adresser ,bye
ta un virus appellé "lsass" c un bebe de sassaer , j'ai le meme prob , sauf que jusqua mantenant j'ai pu le dribler pour utiliser internet et trouver une reponse , et voila comment : je laisse l'apparition du message puis je cherche l'horloge et je met un quelques heurs avant pour avoir + de temps de recherche et voila , bye et bon chance .
avant d'oublier si ta trouver une reponse n'hesite pas a me l'adresser ,bye
Troj/Agent-ZA
Alias:TrojanDownloader.Win32.Agent.z, BackDoor-BDD, Win32/TrojanDownloader.Agent.NAB, TROJ_AGENT.Z3
Troj/Agent-ZA est un cheval de Troie qui fonctionne en tâche de fond sous la forme d'un processus de service et qui tente d’autoriser un accès distant non autorisé à l’ordinateur.
Pour s’exécuter au redémarrage du système, le cheval de Troie crée une entrée de registre à l’emplacement suivant :
HKLM\SYSTEM\ControlSet001\Services\__NS_Service\ImagePath
Le cheval de Troie crée les entrées de registre suivantes :
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE\0000\Service
= __NS_Service
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE\0000\DeviceDesc
= Network Security Service
Troj/Agent-ZA supprime aussi l’entrée de registre suivante :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs.
==>supprime les clés crées par le troyen et recrée les clées qu'il a supprimé.
termine aussi tous les processus crées en mémoire par le troyen, ce qui te permettras d'effacer les fichiers infectés.
Alias:TrojanDownloader.Win32.Agent.z, BackDoor-BDD, Win32/TrojanDownloader.Agent.NAB, TROJ_AGENT.Z3
Troj/Agent-ZA est un cheval de Troie qui fonctionne en tâche de fond sous la forme d'un processus de service et qui tente d’autoriser un accès distant non autorisé à l’ordinateur.
Pour s’exécuter au redémarrage du système, le cheval de Troie crée une entrée de registre à l’emplacement suivant :
HKLM\SYSTEM\ControlSet001\Services\__NS_Service\ImagePath
Le cheval de Troie crée les entrées de registre suivantes :
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE\0000\Service
= __NS_Service
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE\0000\DeviceDesc
= Network Security Service
Troj/Agent-ZA supprime aussi l’entrée de registre suivante :
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs.
==>supprime les clés crées par le troyen et recrée les clées qu'il a supprimé.
termine aussi tous les processus crées en mémoire par le troyen, ce qui te permettras d'effacer les fichiers infectés.
bonjour je vous demande de m'aider jesuis desespéré en plus je connais pas grand chose mais pourquoi ma page demarage atteri sur home search de que j'ai vu sa mon ordinateur deconne svp aidez-moi
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ahha, laisse tomber ton navigateur (IE, non ?), tu t'en debarrassera jamais. (prend mozilla, netscape, opéra, firefox...mais pas IE, c'est la cause de ton problème.)
La lumière va plus vite que le son, ainsi on peut avoir
l'air très intelligent jusqu'à se qu'on ouvre la bouche.
La lumière va plus vite que le son, ainsi on peut avoir
l'air très intelligent jusqu'à se qu'on ouvre la bouche.
Bonjour darkcrystal33
Tu me demande de supprimer les clés crées par le troyen et de recréer les clées qu'il a supprimé.
Commnet fait-on pour aller dans les entrées de registre
et pour supprimer les clés et ensuite pour les recréer normalement. Je ne sais pas faire. Merci Patrice
Tu me demande de supprimer les clés crées par le troyen et de recréer les clées qu'il a supprimé.
Commnet fait-on pour aller dans les entrées de registre
et pour supprimer les clés et ensuite pour les recréer normalement. Je ne sais pas faire. Merci Patrice
Bonjour,
Vu sur ce thread une proposition de détruire la clé AppInit_DLLs. Le problème est que cette clé peut contenir plusieurs DLLs sur la même ligne dont certaines parfaitement légitimes. Il est préférable de gérer son contenu (ce qui pose des difficultées car son contenu peut être caché.
La Manip - révision 23 (anti-hijack de la page de démarrage)
Mis à part quelques modifications mineures à travers toute La Manip, la nouveauté d'importance est la gestion des DLLs cachées dans la clé AppInit_DLLs.
Cette gestion est montée de simple surveillance en fin de manip à une étape pleine, l'étape 12.
Je me suis livré à de très nombreux tests (et je vais continuer). Cette étape est illustrée de nombreuses captures d'écrans afin de bien expliquer le problème aux néophytes.
La manipulation nécessite d'entrer dans la base de registre car les utilitaires actuels comme HiJackThis ne gèrent pas le problème convenablement.
Je vais suggérer à Saint Merijn d'analyser en binaire le contenu de cette clé, de sauter par dessus un zéro binaire (NULL) et poursuivre l'analyse de la chaîne de caractères (s'il peut le faire car il a déjà annoncé lui-même qu'il était arrivé à la limite de ce qu'il peut faire en Visual Basic - le langage qu'il utilise pour développer HiJackThis et ses autres applications).
Ensuite, HiJackThis devrait proposer plusieurs lignes O20, une par contenu de la clé, afin de permettre de "fixer" la malveillance et non pas de virer tout ce que contiend cette clé, y compris les entrées légitimes.
Attention : il est fait grand cas de Registrar Lite (de Resplendence) pour lire cette clé. Je démontre dans La Manip que cet utilitaire est comme les autres, il ne voit rien.
La Manip
http://assiste.com/manip.html
Pierre (aka Terdef)
Vu sur ce thread une proposition de détruire la clé AppInit_DLLs. Le problème est que cette clé peut contenir plusieurs DLLs sur la même ligne dont certaines parfaitement légitimes. Il est préférable de gérer son contenu (ce qui pose des difficultées car son contenu peut être caché.
La Manip - révision 23 (anti-hijack de la page de démarrage)
Mis à part quelques modifications mineures à travers toute La Manip, la nouveauté d'importance est la gestion des DLLs cachées dans la clé AppInit_DLLs.
Cette gestion est montée de simple surveillance en fin de manip à une étape pleine, l'étape 12.
Je me suis livré à de très nombreux tests (et je vais continuer). Cette étape est illustrée de nombreuses captures d'écrans afin de bien expliquer le problème aux néophytes.
La manipulation nécessite d'entrer dans la base de registre car les utilitaires actuels comme HiJackThis ne gèrent pas le problème convenablement.
Je vais suggérer à Saint Merijn d'analyser en binaire le contenu de cette clé, de sauter par dessus un zéro binaire (NULL) et poursuivre l'analyse de la chaîne de caractères (s'il peut le faire car il a déjà annoncé lui-même qu'il était arrivé à la limite de ce qu'il peut faire en Visual Basic - le langage qu'il utilise pour développer HiJackThis et ses autres applications).
Ensuite, HiJackThis devrait proposer plusieurs lignes O20, une par contenu de la clé, afin de permettre de "fixer" la malveillance et non pas de virer tout ce que contiend cette clé, y compris les entrées légitimes.
Attention : il est fait grand cas de Registrar Lite (de Resplendence) pour lire cette clé. Je démontre dans La Manip que cet utilitaire est comme les autres, il ne voit rien.
La Manip
http://assiste.com/manip.html
Pierre (aka Terdef)
Salut Pierre,
J'ai suivi tout ce que tu as pu dire sur ce P... de "Search For"
J'ai testé toutes les manip du moment sans résultat durable.
Par contre après avoir bien nettoyé le .dll indésirable et regedit voilà ce qui est furtivement réapparu dans la barre adresse avant l'apparition de Search For:
http://296f8.ilxt.info/index.php?aid=20038
puis
http://CObb8.ilxt.info/gdoz.php?qq=project+management&aid=20038
Crois tu que ça peut faire avancé quelque chose pour comprendre ce foutu problème ?
C'est étonnant , chez les marins,
ce besoin de faire des phrases !
J'ai suivi tout ce que tu as pu dire sur ce P... de "Search For"
J'ai testé toutes les manip du moment sans résultat durable.
Par contre après avoir bien nettoyé le .dll indésirable et regedit voilà ce qui est furtivement réapparu dans la barre adresse avant l'apparition de Search For:
http://296f8.ilxt.info/index.php?aid=20038
puis
http://CObb8.ilxt.info/gdoz.php?qq=project+management&aid=20038
Crois tu que ça peut faire avancé quelque chose pour comprendre ce foutu problème ?
C'est étonnant , chez les marins,
ce besoin de faire des phrases !
bonjour.
moi aussi j'ai le meme pb : le truc "search for" qui s'affiche et qui me hante la vie.
http://4bf65.ilxt.popup..... , http://296f8..... des trucs dans le genre.
Je sais plus ou j'en suis mais j'espere a su trouver une reponse à ce probleme.
mehrtens@wanadoo.fr
ps : j'utilise indows xp, IE (j'ai changé 50 fois de navigateurs) et comprned a peu près le langage informatique compliqué. (je devrai comprendre les manip que vous me conseillerai)
meric par avance
moi aussi j'ai le meme pb : le truc "search for" qui s'affiche et qui me hante la vie.
http://4bf65.ilxt.popup..... , http://296f8..... des trucs dans le genre.
Je sais plus ou j'en suis mais j'espere a su trouver une reponse à ce probleme.
mehrtens@wanadoo.fr
ps : j'utilise indows xp, IE (j'ai changé 50 fois de navigateurs) et comprned a peu près le langage informatique compliqué. (je devrai comprendre les manip que vous me conseillerai)
meric par avance
salut
regarde ceci et essai
Comment enlevez complètement et sans risque le pirate de l'air de SSearch.biz
Voir le symptôme de SSearch.biz
SSearch.biz est un pirate de l'air de browser d'IE. Il change toujours votre homepage d'IE en "ssearch.biz". Changer simplement votre dos de homepage ne fonctionne pas, à côté d'Adware Away, vous peut complètement et sans risque enlever SSearch.biz sans ne faire aucun mal sur votre ordinateur. Veuillez suivre les étapes ci-dessous :
1. Courez Adware loin, étroitement toutes les fenêtres d'IE (importantes)
2. Cliquetez le 'solvant de Spcialized 'dans le panneau gauche.
3. Dans le panneau 'a spécialisé solvant ', cliquettent le 'pirate de l'air loin '.
4. Recherchez le 'pirate de l'air de SSearch.biz 'dans la fenêtre droite et accentuez-le (déclic juste son icône).
(si vous ne pouvez pas la trouver dans l'étape 4, svp faites une mise à jour en ligne, relancement Adware parti et faites de l'étape 1)
5. Déclic pour l'enlever complètement.
6. Pendant le déplacement, votre dessus de bureau disparaîtra, ne s'inquiète pas à son sujet, il sera de retour au prochain démarrage.
7. Ordinateur de réinitialisation.
En plus d'enlever le pirate de l'air de SSearch.biz, Adware loin peut complètement enlever beaucoup dur-à-enlèvent le malware et n'importe quelle nouvelle variante de n'i
mporte quel malware. Téléchargez-le maintenant.
http://adwareaway.com/
la chasse et le balltrap ma vrai passion
voir site perso dans profil
regarde ceci et essai
Comment enlevez complètement et sans risque le pirate de l'air de SSearch.biz
Voir le symptôme de SSearch.biz
SSearch.biz est un pirate de l'air de browser d'IE. Il change toujours votre homepage d'IE en "ssearch.biz". Changer simplement votre dos de homepage ne fonctionne pas, à côté d'Adware Away, vous peut complètement et sans risque enlever SSearch.biz sans ne faire aucun mal sur votre ordinateur. Veuillez suivre les étapes ci-dessous :
1. Courez Adware loin, étroitement toutes les fenêtres d'IE (importantes)
2. Cliquetez le 'solvant de Spcialized 'dans le panneau gauche.
3. Dans le panneau 'a spécialisé solvant ', cliquettent le 'pirate de l'air loin '.
4. Recherchez le 'pirate de l'air de SSearch.biz 'dans la fenêtre droite et accentuez-le (déclic juste son icône).
(si vous ne pouvez pas la trouver dans l'étape 4, svp faites une mise à jour en ligne, relancement Adware parti et faites de l'étape 1)
5. Déclic pour l'enlever complètement.
6. Pendant le déplacement, votre dessus de bureau disparaîtra, ne s'inquiète pas à son sujet, il sera de retour au prochain démarrage.
7. Ordinateur de réinitialisation.
En plus d'enlever le pirate de l'air de SSearch.biz, Adware loin peut complètement enlever beaucoup dur-à-enlèvent le malware et n'importe quelle nouvelle variante de n'i
mporte quel malware. Téléchargez-le maintenant.
http://adwareaway.com/
la chasse et le balltrap ma vrai passion
voir site perso dans profil
je n'arrive pas à scaner correctement avec Search et destroy, l'ordinateur me dit qu'il ne peut pas corriger 5 problèmes :
Dans Log il reste de non corrigé malgré un redémarrage Activity : SchedLgv.txt C : Windows\ SchedLgv.txt
Dans MS Directinput
On ne peut pas corriger 4 problèmes qui commence par :
HKEY_ USERRS\s-1-5-21 …..\Software\Microsoft\Directinput\MostRecentMapperApplication\Name
De plus la page de démarrage il y a toujours HomeSearch
Je ne peux pas non plus verrouiller le fichiers Host en lecture seule dans Ajustement IE
Merci de m’aider Patrice
fait ceci et met moi le rapport pour voir
http://membres.lycos.fr/aricop/forum/dllfix.exe
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
la chasse et le balltrap ma vrai passion
http://pageperso.aol.fr/balltrap34/page1.html
Scan started at 04/07/2004 01:30:49
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\addrz32.exe - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\apiuq.exe - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\apiuq.exe.$$$ - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\appmc.exe - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\atlys32.exe - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\bgavyd.dat - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\bywxhf.dat - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\duguty.dat - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\jspdzx.dat - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\ozvktu.dat - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\phbifm.dat - TrojanDownloader:Win32/Agent.Z -> Infected
C:\WINDOWS\Updreg.exe - TrojanDownloader:Win32/Agent.Z -> Infected
Scanned
============================
Objects: 39266
Directories: 2961
Archives: 1017
Size(Kb): 1509395
Infected files: 12
Found
============================
Viruses found: 1
Suspicious files: 0
Disinfected files: 0
Mail files: 76
j'ai même essayer eScan Antivirus Toolkit Utility mais mon oridnateur s'arrête
Peux-tu m'aider
Merci
je n'arrive pas à scaner correctement avec Search et destroy, l'ordinateur me dit qu'il ne peut pas corriger 5 problèmes :
Dans Log il reste de non corrigé malgré un redémarrage Activity : SchedLgv.txt C : Windows\ SchedLgv.txt
Dans MS Directinput
On ne peut pas corriger 4 problèmes qui commence par :
HKEY_ USERRS\s-1-5-21 …..\Software\Microsoft\Directinput\MostRecentMapperApplication\Name
De plus la page de démarrage il y a toujours HomeSearch
Je ne peux pas non plus verrouiller le fichiers Host en lecture seule dans Ajustement IE
Merci de m’aider Patrice