Tjrs page accueil non désirée

eric38210 -  
 Utilisateur anonyme -
bonjour
toujours cette page d'accueil non désirée
j'ai passé ça par hijack this, et le log figure ci-dessous
si je fixe uniquement les 6 premières lignes, ça revient quand même
par ailleurs, lorsque je vais dans le panneau de config, rubrique ajouter/supprimer programmes, je trouve la ligne:
home search assistant; si je clique pour supprimer, j'ai:
échec du raccourci, impossible d'ouvrir
"http://looking-for.cc/uninstall/HomeSearchAssistant.html"
que puis-je faire?

merci d'avance pour votre aide
eric

Logfile of HijackThis v1.97.7
Scan saved at 12:00:13, on 02/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\system32\applu.exe
C:\WINDOWS\system32\ipuh32.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\documents INTERNET\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ggmdz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ggmdz.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ggmdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ggmdz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ggmdz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ggmdz.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {41A0091F-BE0B-897D-16F8-5BD81668DD3F} - C:\WINDOWS\ieqt32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [syscq.exe] C:\WINDOWS\system32\syscq.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [ipuh32.exe] C:\WINDOWS\system32\ipuh32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKLM\..\RunOnce: [applu.exe] C:\WINDOWS\system32\applu.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{745ADE4A-A186-413D-BD5D-0D05515222FE}: NameServer = 212.151.136.250 130.244.127.170

36 réponses

  • 1
  • 2
Résumé de la discussion

Une page d'accueil non désirée et des redirections Internet réapparaissent malgré l’utilisation de HijackThis et un nettoyage partiel des entrées. Plusieurs solutions évoquées incluent l’analyse des rapports HijackThis, l’utilisation d’outils anti-spyware tels que Spybot S&D et Ad-Aware, ainsi que des méthodes comme CWShredder et Spy Sweeper pour éradiquer les parasites. Des conseils pratiques mentionnent l’emploi de Killbox et la suppression des fichiers suspects (par exemple sauks.dll, ggmdz.dll), puis des redémarrages en mode sans échec et le nettoyage des entrées de démarrage et des clés IE. En cas de persistance, plusieurs participants recommandent de mettre à jour systématiquement les antivirus et antispywares et de vérifier les permissions des comptes utilisateurs pour prévenir les réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    salut telecharge c 3 anti spywares
    (spy bot)
    http://www.safer-networking.org/index.php?page=mirrors

    (adware)
    http://www.ordi-netfr.org/tutorialadaware.html

    (CWshredder)
    http://www.spywareinfo.com/~merijn/junk/CWShredder.exe

    pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next

    tu les lance
    ensuite si le probleme persiste refait un hijackthis
    @+++++++
    0
    1. eric38210
       
      merci de tes conseils
      j'ai spy bot et ad aware, et aussi cw shredder; et pour le moment, rien n'y fait.
      0
  2. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    essaie ceci
    http://tools.zerosrealm.com/AboutBuster.zip
    et si ca ne donne rien fait ca et met le resultat
    http://membres.lycos.fr/aricop/forum/dllfix.exe

    -Pose-le sur le bureau.
    -Double-clique.
    -Décompresse-le sur le bureau.
    -Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
    -Une fois la recherche terminée, un fichier txt doit apparaître sous
    le nom "Output.txt" et sera sauvegardé dans le dossier.
    -Copie/colle le contenu de "Output.txt" dans ta réponse.

    la chasse et le balltrap ma vrai passion
    http://pageperso.aol.fr/balltrap34/page1.html
    0
  3. SOUL DANCER
     
    Bonjour,
    J'ai ce problème depuis la fin juin (redirection sur le web, popup only the best, fermeture de fenêtre diverses,...) et je sais à quel point c'est énervant. J'avais NORTON AV et le FIREWALL 2004 et pour ces 2 produits tout était clean. J'ai craqué et j'ai installé INTERNET SECURITY de TREND qui depuis me trouve des tas de saletés et s'en occupe lui ! - Trend identifie ce truc comme étant TROJ_AGENT.BM depuis le 5 août 04 et propose des actions de nettoyage sur son site...a essayer si vous voulez mon avis. (ps - j'ai aussi installé ad-aware 6 et CWShredder ça peut pas faire de mal non plus)
    0
    1. eric38210
       
      je ne sais pas si mon mel précédent est parti; donc je renouvelle mes remerciements pour l'info, dont j'ai pris connaissance à mon retour de vacances
      pour l'anecdote, j'ai aussi ad aware, cwshredder, spyblaster, mais apparemment ça ne suffit pas
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. eric38210
     
    salut jess; oui, j'ai spybot et mes anti spyware sont à jour
    j'ai téléchargé a2 sur ton conseil et je suis en train de scanner
    je referai un hijackthis et mettrai le résultat ici
    a bientot et merci
    0
  6. eric38210
     
    re-bonsoir jess
    voici le dernier log en date; j'ai beau fixer ce que je pense être néfaste (tt ce qui se finit par 96676, ça revient sans arrêt avec une nouvelle dll; ici, ça s'appelle sauks, mais ça peut être n'importe quoi d'autre.
    si tu as une idée de ce qu'il faut virer..merci

    ogfile of HijackThis v1.97.7
    Scan saved at 00:41:37, on 22/08/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    C:\WINDOWS\system32\crqx.exe
    C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\Program Files\Web_Rebates\WebRebates0.exe
    C:\WINDOWS\system32\addvi.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\a2\a2guard.exe
    C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Web_Rebates\WebRebates1.exe
    C:\WINDOWS\netxt32.exe
    C:\Documents and Settings\documents INTERNET\HijackThis.exe
    C:\Program Files\Web_Rebates\WebRebates0.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://sauks.dll/index.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {EF3CFEAB-FA75-300E-3EB8-BE69A89902A8} - C:\WINDOWS\system32\msrb.dll
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-k13w13.exe
    O4 - HKLM\..\Run: [yfnabwdjeow] C:\WINDOWS\System32\nupaqlbc.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKLM\..\Run: [addvi.exe] C:\WINDOWS\system32\addvi.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
    O4 - HKLM\..\RunOnce: [netxt32.exe] C:\WINDOWS\netxt32.exe
    O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{745ADE4A-A186-413D-BD5D-0D05515222FE}: NameServer = 212.151.136.250 130.244.127.170
    0
  7. Utilisateur anonyme
     
    re bon soir
    fait comme ceci

    fais démarrrer->exécuter-> taper services.msc

    recherche s'il y a un service dénommé : "Network Security Service".

    Double clique "Network Security Service"
    Mets-le en "désactivé" et bien sûr "arrêté"->"Appliquer".

    Ensuite ferme internet explorer, relance HijackThis, coches ces lignes puis fais fix :

    C:\WINDOWS\system32\addvi.exe
    C:\WINDOWS\system32\crqx.exe
    C:\WINDOWS\netxt32.exe
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://sauks.dll/index.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    O2 - BHO: (no name) - {EF3CFEAB-FA75-300E-3EB8-BE69A89902A8} - C:\WINDOWS\system32\msrb.dll
    O4 - HKLM\..\Run: [Dsi] C:\WINDOWS\System32\dp-k13w13.exe
    O4 - HKLM\..\Run: [yfnabwdjeow] C:\WINDOWS\System32\nupaqlbc.exe
    O4 - HKLM\..\Run: [addvi.exe] C:\WINDOWS\system32\addvi.exe

    ensuite redémarre en mode sans echec (redemarage+tapotte sur f8 desque l'ordi s'allume) puis choisi "mode sans echec"

    ensuite tu affiche les fichier cacher comme ceci :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Decocher masquer les extentions dont le type est connues

    ensuite tu va dans demarrer/rechercher et tape:
    sauks.dll
    msrb.dll
    dp-k13w13.exe
    nupaqlbc.exe
    addvi.exe
    crqx.exe
    netxt32.exe

    suprime les et vide ta corebeille

    ensuite Démarrer->exécuter-> taper regedit

    1-Aller à:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    Dans services(panneau de gauche) si __NS_Service_3 existe->clic droit->supprimer.

    2-Puis à:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

    Dans Root(panneau de gauche) si LEGACY___NS_Service_3 existe->clic droit->supprimer

    3-Redémarre.

    et dit nous ce que ca donne
    @+++
    0
  8. eric38210
     
    rebonjour
    bon, je pensais bien qu'avec tout ça , ça allait s'arranger..et bien non, il est coriace le bougre !!
    j'ai suivi toutes tes instructions
    dans le hijackthis, je n'ai pas (re)trouvé 2 lignes:
    c:\windows\system32\crqx.exe
    c:\netxt32.exe
    pour netxt, après avoir lancé le démarrage sans échec, jai bien trouvé une ligne netxt32, que j'ai supprimée.
    mais ce que je ne comprends pas, c'est que je n'ai pas trouvé:
    sauks.dll
    msrb.dll
    crqx.exe

    le lézard, c'est que lorsque j'ai redémarré en mode normal et cliqué sur internet exploirer, mon ami sauks.dll est revenu !!
    au fait, je me demandais s'il ne fallait pas aussi aller au préalable dans le panneau de config, système, restauration et désactiver la restauration système ?

    a bientot
    Eric
    0
  9. Utilisateur anonyme
     
    salut esque t'a trouver les clefs dans regedit ?
    as tu afficher les fichier cacher comme suggerer plus haut?
    refait un hijack et colle le resultat ici :-)
    @++++
    0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    utilise la killbox
    Télécharge "TheKillBox" sur :
    http://download.broadbandmedic.com/

    Pose-le sur ton bureau. Lance-le.
    Dans "Paste full path of file.." ->copie/colle:
    sauks.dll

    Décoche "Create backup.."

    Clique "Kill File".

    Redémarre.

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  11. eric38210
     
    bonsoir et merci à balltrap 34 et jess15; il semble que la résolution du problème ait grandement progressée
    j'ai téléchargé killbox , indiqué sauks.dll dans la fenêtre d'affichage; il n'y avait pas de possibilité apparente de faire un kill sans back up; j'ai donc mis delete lors du prochain reboot, et pourla première fois depuis des semaines, je n'ai plus vu sauks.dll mais blank (que j'avais indiquée en option internet;
    pour jess, effectivement , j'avais oublié une partie de la manip indiquée (fichiers cachés)
    je suis presque arrivé au bout, en remettant la page d'accueil de mon fournisseur d'accès , bien qu'il me faille cliquer d'abord sur le bouton de rafraichissement pour l'obtenir
    ah, une dernière question: pourquoi sauks.dll, qui apparemment n'existe plus comme fichier, est-il toujours indiqué comme page par défaut dans outils/options internet/ ?
    encore merci à tous les 2
    Eric
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    refait un hijack pour voir

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
  13. eric38210
     
    bonjour,
    voici donc le dernier hijack en date
    apparemment, il y a toujours trace de sauks.dll et de fichiers se terminant par html.#96676
    je me demande comment virer ça définitivement ?
    a part ça, quand je lance internet explorer, je n'arrive plus sur home search; j'ai bien email.tele2internet.fr à l'affichage, mais toujours obligation de cliquer une fois sur le bouton "actualiser" pour l'avoir effectivement à l'écran
    a

    Logfile of HijackThis v1.97.7
    Scan saved at 07:38:11, on 23/08/2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    C:\WINDOWS\system32\crqx.exe
    C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
    C:\Program Files\Real\RealPlayer\RealPlay.exe
    C:\Program Files\Web_Rebates\WebRebates0.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\a2\a2guard.exe
    C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Program Files\Web_Rebates\WebRebates1.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\documents INTERNET\HijackThis.exe
    C:\Documents and Settings\famille lejeune\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2internet.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
    O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
    O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{745ADE4A-A186-413D-BD5D-0D05515222FE}: NameServer = 212.151.136.254 130.244.127.162
    0
  14. eric38210
     
    re-
    je suis retourné sur download broadbandmetic et avec le petit soft log for vx2, j'ai obtenu ce qui suit en fichiers additionnels; peut-être y a t-il quelque chose en trop ?
    Eric

    Log for VX2.BetterInternet File Finder (msg126)

    Files Found---

    Additional Files---

    Keys Under Notify---
    crypt32chain
    cryptnet
    cscdll
    ScCertProp
    Schedule
    sclgntfy
    SensLogn
    termsrv
    wlballoon

    Guardian Key--- is called:

    User Agent String---
    0
  15. bobrun
     
    bjr j'ai exact le même symptome..
    Quelqu'un peut il m'aider à supprimer ce home search assistant?
    merci
    0
    1. Utilisateur anonyme
       
      salut bobrun colle le resultat de hijack ici apres on te dira quoi faire
      @+++
      0
  16. Utilisateur anonyme
     
    salut eric fait exactement comme je te dit parceque si tu rate une etape la spy risque de revenir ( ca serai bien si tu peu imprime mes instruction )

    va dans démarrrer->exécuter-> taper services.msc

    recherche s'il y a un service dénommé : "Network Security Service".

    Double clique "Network Security Service"
    Mets-le en "désactivé" et bien sûr "arrêté"->"Appliquer".

    Ensuite ferme internet explorer , lance hijack et fix c lignes ..

    C:\WINDOWS\system32\crqx.exe
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://sauks.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\sauks.dll/sp.html#96676

    j'ai un doute au sujet de c lignes je pense que c'est un spyware donc si tu connais pas supime les
    C:\Program Files\Web_Rebates\WebRebates1.exe
    C:\Program Files\Web_Rebates\WebRebates0.exe
    O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
    O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

    ensuite redémarre en mode sans echec (redemarage+tapotte sur f8 desque l'ordi s'allume) puis choisi "mode sans echec"

    ensuite tu affiche les fichier cacher comme ceci :
    clicker sur demarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Decocher masquer les extentions dont le type est connues

    ensuite va dans demarrer/rechercher et tape:
    sauks.dll
    crqx.exe

    si tu connais pas suprime les aussi
    WebRebates1.exe
    WebRebates0.exe

    suprime les et vide ta corbeille
    si t'arrive pas a les suprimer manuelement utlise (the kill box )
    comme ceci:

    Télécharge "TheKillBox" (avant de faire les manipe) sur :
    http://download.broadbandmedic.com/

    Pose-le sur ton bureau. Lance-le.
    Dans "Paste full path of file.." ->copie/colle:
    (le chemin du fichier) donc tu met :

    C:\WINDOWS\system32\crqx.exe
    C:\WINDOWS\system32\sauks.dll
    C:\Program Files\Web_Rebates\WebRebates0.exe
    C:\Program Files\Web_Rebates\WebRebates1.exe

    (a chaque fois clike sur add file pour ajouter un fichier )

    Decoche "Create backup.."

    Clique "Kill File".

    ensuite suprime les fichier inutile

    suprimer les fichier inutiles :
    Demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" tu suprime les cookies et efface l'historique
    et:
    post de travaille/lecteur C/windows/temp et suprime tous ce qu'il y'a a l'interieure

    ensuite Démarrer->exécuter-> taper regedit

    1-Aller à:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

    Dans services(panneau de gauche) si __NS_Service_3 existe->clic droit->supprimer.

    2-Puis à:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root

    Dans Root(panneau de gauche) si LEGACY___NS_Service_3 existe->clic droit->supprimer

    aussi va dans programe files et regarde si il n'y a pas des programes que tu connais pas et qui se sont installer a ton insu , suprime les ...

    ensuite passe un coup d'antispywares ( adware, spybot, cwshredder , a2free )

    redemare en mode normal ......
    @++++++
    0
    1. pascal le ma[r]ri
       
      Salut Jess
      merci pour la killbox qui m'a vengé de mes yeux rougis et permis enfin de virer webrebaste et hot tarts fr

      produit à promouvoir haut et fort

      félicitations au produit aux producteurs aux techniciens aux maquilleuses au chef décors plateau et aux relations publiques jessistes sans lesquelles ce miracle techno-virtuel ne serait jamais arrivé
      0
      1. Utilisateur anonyme > pascal le ma[r]ri
         
        lol de rien :-)
        @++
        0
  17. eric38210
     
    salut jess
    Ca y est ! c'est enfin viré ; je viens de faire un hijackthis après avoir imprimé et suivi toutes tes instructions, et plus de sauks, de #96676, etc...
    en options internet, la page de démarrage est bien celle de tele2, en page par défaut, j'ai une suite de carrés et de points d'interrogation, mais je m'en fous un peu
    j'ai passé spybot, ad aware, spyware blaster et avast; seul avast m'a trouvé une vieille trace d'un trojan, car lorsque j'ai voulu supprimer, ça m'a sorti que le fichier semblait absent
    sinon, c'est tout bon
    je te remercie à nouveau vivement et je conseille à l'internaute qui semblait avoir le même problème que moi de suivre ta procédure
    merci aussi à ball trap 34 pour killbox
    0
  18. Utilisateur anonyme
     
    de rien :-).
    au fait il existe une option dans spybot pour verouiller la page d'acceuil c'est pas du solide mais ca reduit les risque quand meme sur ce lien tu trouvera ou se trouve cette option http://www.zebulon.fr/articles/spybot_1.php

    @++++++
    0
  19. lisa.angel
     
    bonjour!
    J'ai également ce problème de page d acceuil non désirée sur mon pc et je ne sais pas comment faire!
    Par ailleurs, lorsque j ouvres des liens , ils sont redirigés vers un site non desiré nommé "search for"-aussi des probleme pour ouvrir certaines pages.
    Bien qu'ayant téléchargé Ad-aware, le spy est toujours present...
    Pouvez-vous m aider????
    P.S: soyez tres explicites car je suis novice en la matière .
    merci!
    0
  20. Utilisateur anonyme
     
    salut .. angel telecharge c anti spywares
    (spy bot)
    http://spybot.dalnet.com.fr/spybotsd13.exe

    (adware)
    http://www.ordi-netfr.org/tutorialadaware.html

    (CWshredder)
    http://www.soft32.com/download_19014.html

    pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next

    (spy sweeper )
    http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010914s,00.htm

    telecharge cette antitrojan
    http://www.emsisoft.net/fr/

    pense a les mettre a jour avant de les lance
    ensuite tu nous dit ce que ca donne

    ensuite suprimez les fichier inutiles
    demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" suprime aussi les cookies et efface l'historique

    redemare ...
    si le probleme persiste faite un scan avec hijackthis
    http://telechargement.zebulon.fr/138-HijackThis-1.98.2.html (nouvelle version )

    ensuite faire scan/save log et coller le resultat ici apres on te dira koi supprimer

    si t'as des question n'hesite pas :-)

    @++++++++
    0
    1. lisa.angel
       
      bonsoir!
      Bien que j ai telechargé tous les logiciels conseillé rien a faire!
      Ma page de démarrage et fonction de recherche sont tjs parasitées.
      Voici le resultaLogfile of HijackThis v1.98.2

      Scan saved at 02:53:51, on 24/09/2004
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      c:\Program Files\Norton Personal Firewall\NISUM.EXE
      c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\alg.exe
      c:\Program Files\Norton Personal Firewall\ccPxySvc.exe
      C:\WINDOWS\System32\CTSvcCDA.EXE
      C:\WINDOWS\ehome\ehSched.exe
      c:\Program Files\Norton AntiVirus\navapsvc.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\wdfmgr.exe
      C:\WINDOWS\System32\MsPMSPSv.exe
      c:\Program Files\Norton AntiVirus\SAVScan.exe
      C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Program Files\Logitech\Video\LogiTray.exe
      C:\documents and settings\administrateur\local settings\temp\4nfAgYE.exe
      C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
      C:\PROGRA~1\HPPAVI~1\Pavilion\XPEWWBP4\plugin\bin\pchbutton.exe
      C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\WINDOWS\System32\LVComS.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Wanadoo\EspaceWanadoo.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\Program Files\Wanadoo\Watch.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Administrateur\Mes documents\amidouni.sarah\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr9.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr9.hpwis.com/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
      O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
      O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
      O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
      O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\hpdtlk02.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
      O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
      O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
      O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [AVp4wg] C:\documents and settings\administrateur\local settings\temp\AVp4wg.exe
      O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
      O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
      O4 - HKLM\..\Run: [4nfAgYE] C:\documents and settings\administrateur\local settings\temp\4nfAgYE.exe
      O4 - HKCU\..\Run: [ChansonsMP3] rundll32.exe C:\WINDOWS\System32\MSA64CHK.dll,DllMostrar Matrix_HTML:ChansonsMP3:t
      O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
      O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
      O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPEWWBP4\plugin\bin\pchbutton.exe
      O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
      O9 - Extra button: ChansonsMP3 - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\System32\ChansonsMP3 (file missing)
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
      O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094722929015
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
      O16 - DPF: {88C51E90-8E9C-4C96-8A45-574D88B63FAF} - http://acceso.masminutos.com/aplicacion.cab
      O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{6654250F-1455-4911-90CF-C007E35F4BD4}: NameServer = 80.10.246.130 80.10.246.3

      t du scan avec Hijackthis:
      0
  • 1
  • 2