PROBLEME TROJAN DEMARRAGE IE

Fermé
david - 25 août 2004 à 15:39
 Utilisateur anonyme - 27 août 2004 à 02:43
Salut

J'ai un probleme de trojan me semble t il, mais je n'arrive pas à m'en débarasser. La page de demarrage de internet explorer se bloquait systematiquement sur "Search For.." et le navigateur plante souvent.

J'ai essayé the Cleaner mais rien n'y fait.
J'ai mis ci-dessous mon scan avec HijackThis. Est ce que quelqu'un aurait une solution ? Merci d'avance =)

David

Logfile of HijackThis v1.98.0
Scan saved at 15:34:52, on 25/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\norton\defwatch.exe
d:\norton\rtvscan.exe
D:\norton\vptray.exe
C:\PROGRA~1\FICHIE~1\EACCEL~1\EANTHO~1.EXE
C:\Program Files\Acceleration Software\Anti-Virus\defscangui.exe
C:\PROGRA~1\ACCELE~1\VELOZD~1\velozsys.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\BullsEye Network\bin\bargains.exe
C:\PROGRA~1\ACCELE~1\VELOZD~1\veloz.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\uaddlm.exe
d:\SYMANTEC\NSCTOP.EXE
C:\program files\180solutions\msbb.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\RIOU Rémy\Application Data\strh.exe
C:\WINDOWS\System32\qbirv.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
D:\Yahoo!\Messenger\ymsgr_tray.exe
d:\norton\vpexrt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Acceleration Software\Anti-Virus\defscangui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\david\anti\HijackThis.exe
C:\Program Files\Netscape\Netscape\Netscp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr"); (C:\Documents and Settings\RIOU Rémy\Application Data\Mozilla\Profiles\default\w9tseimj.slt\prefs.js)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {1E82612D-9A63-53E7-8606-115504AA7046} - C:\WINDOWS\System32\wltwpp.dll
O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {C49D112B-C5AF-4A5C-8A55-BD4829971184} - C:\WINDOWS\System32\enl.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll
O4 - HKLM\..\Run: [vptray] d:\norton\vptray.exe
O4 - HKLM\..\Run: [EanthologyApp] C:\PROGRA~1\FICHIE~1\EACCEL~1\EANTHO~1.EXE /b Startup
O4 - HKLM\..\Run: [WebScan] C:\Program Files\Acceleration Software\Anti-Virus\defscangui.exe -k
O4 - HKLM\..\Run: [LSPFix] C:\Program Files\Fichiers communs\eAcceleration\LSPfix\LSPmonitor.exe normal
O4 - HKLM\..\Run: [eMailEncryption] C:\PROGRA~1\ACCELE~1\VELOZD~1\velozsys.exe runstart
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [xcyzgb] C:\WINDOWS\System32\uaddlm.exe
O4 - HKLM\..\Run: [msbb] c:\program files\180solutions\msbb.exe
O4 - HKLM\..\Run: [xyn] C:\WINDOWS\xyn.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Cupo] C:\Documents and Settings\RIOU Rémy\Application Data\strh.exe
O4 - HKCU\..\Run: [Xizxglbi] C:\WINDOWS\System32\qbirv.exe
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: (no name) - {2F099F5D-7003-4441-82C2-707C7C273FEB} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll
O9 - Extra 'Tools' menuitem: Block This Page - {2F099F5D-7003-4441-82C2-707C7C273FEB} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPaiement/kit/WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/AxisCamControl.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13796589-8D49-4C98-AA28-B7D00A4ECC94}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS1\Services\Tcpip\..\{13796589-8D49-4C98-AA28-B7D00A4ECC94}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CS2\Services\Tcpip\..\{13796589-8D49-4C98-AA28-B7D00A4ECC94}: NameServer = 194.117.200.10 194.117.200.15
O18 - Filter: text/html - {6633C50F-F5B5-44E2-BC62-779419CD9FCD} - C:\WINDOWS\System32\enl.dll
O18 - Filter: text/plain - {6633C50F-F5B5-44E2-BC62-779419CD9FCD} - C:\WINDOWS\System32\enl.dll
A voir également:

7 réponses

Utilisateur anonyme
25 août 2004 à 16:41
salut,
Extra button: Messenger<-- éh! ben v'là tu as installé le joyeux sponsor Messenger qui t'a refilé une Toolbar
hii! t'en as du joli monde -->180solutions<-- entre autres réjouissances :-)

je regarde ton log - résultat dans de très grosses minutes - ok?
sinon non! na!....... c'du boulot un log hijack........ et le tien est particulièrement hijacké

@+ ou pataplus? :-]]]



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Utilisateur anonyme
25 août 2004 à 17:04
Avant de batailler dans l'Hijack télécharge ces 2 logiciels (gratuits) fait-les scans - vacciner et supprimer les trojans - spys - dialiers et Cie - t'as trop de trucs - Ensuite tu refais un nouveau log. Hijack

le lien pour télécharger Ad-aware 6.0/ Spybot .s&d 1.3
http://sebsauvage.net/logiciels/spybotsd.html

Pour bien les paramètrer par la suite et comprendre leurs fonctionnement :
- le tuto : http://www.zebulon.fr/articles/spybot_1.php
- le tuto : http://www.cestfacile.org/adaware6ut.htm

+1 scan avec aussi à dl - essai gratuit de 30 jours
http://www.emsisoft.net/fr/software/download/

@+ peut être ...... ........ ..........

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Hello,

Merci pour ta réponse dolly, j'apprécie grandement ton aide =)

Alors j'ai bien téléchargé Spybot, il m'a détecté plus de 100 problèmes et les a corrigés (?).
Ensuite j'ai été prendre Adaware et quand je l'ai lancé, le virus blaster a fait sa réapparition tu sais celui qui te met un compte à rebour d'une minute avant de rebooter ton ordi. J'ai fait un scan pour éradiquer ce virus avec un outil que jai trouve sur le site de ccm mais il est demeuré introuvable. Poutrant à chaque fois que je relancait Adaware, il réapparaissait. je n'ai donc pas insisté avec lui.
Enfin j'ai installé a² qui lui m'a trouvé 4 malwares et les a en principes enlevé.

Voila j'ai refait un scan hijack comme tu m'a demandé, malheureusement il est toujours assez imposant comme tu peux le voir ci dessous...

Si tu peux jeter un oeil et m'indiquer tes idées je t'en serais reconnaissant =)

A partir de ce scan y a t il une liste de fichiers (genre .dll par exemple) que l'on pourrait dresser et qu'il faudrait aller effacer ensuite ? ... ou bien tripatouiller dans la base de registres, j'ai vu qu'on pouvait résoudre aussi les problème ca ?

Voila un grand merci à toi si tu peux y voir plus clair =)

David

Logfile of HijackThis v1.98.0
Scan saved at 20:45:02, on 25/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\norton\defwatch.exe
d:\norton\rtvscan.exe
D:\norton\vptray.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\uaddlm.exe
C:\Program Files\The Cleaner\tca.exe
C:\Program Files\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Netscape\Netscape\Netscp.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\RIOU Rémy\Application Data\strh.exe
C:\WINDOWS\System32\qbirv.exe
C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
C:\Program Files\Club-Internet\Lanceur\lanceur.exe
d:\SYMANTEC\NSCTOP.EXE
C:\WINDOWS\System32\svchost.exe
D:\Yahoo!\Messenger\ymsgr_tray.exe
d:\norton\vpexrt.exe
C:\david\anti\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.netscape.fr"); (C:\Documents and Settings\RIOU Rémy\Application Data\Mozilla\Profiles\default\w9tseimj.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\RIOU Rémy\Application Data\Mozilla\Profiles\default\w9tseimj.slt\prefs.js)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {004EAAE6-AA09-4D76-A696-F657FD5AFE85} - C:\WINDOWS\System32\enl.dll (file missing)
O2 - BHO: (no name) - {1E82612D-9A63-53E7-8606-115504AA7046} - C:\WINDOWS\System32\wltwpp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] d:\norton\vptray.exe
O4 - HKLM\..\Run: [LSPFix] C:\Program Files\Fichiers communs\eAcceleration\LSPfix\LSPmonitor.exe normal
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [xcyzgb] C:\WINDOWS\System32\uaddlm.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Cupo] C:\Documents and Settings\RIOU Rémy\Application Data\strh.exe
O4 - HKCU\..\Run: [Xizxglbi] C:\WINDOWS\System32\qbirv.exe
O4 - Startup: Club-Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPaiement/kit/WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/AxisCamControl.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f001.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O18 - Filter: text/html - {00D16398-9EF6-4215-830C-402D3257B1B1} - C:\WINDOWS\System32\enl.dll
O18 - Filter: text/plain - {00D16398-9EF6-4215-830C-402D3257B1B1} - C:\WINDOWS\System32\enl.dll
0
Utilisateur anonyme
25 août 2004 à 23:06
Re -

à fixer

C:\WINDOWS\System32\qbirv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RIOURM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {004EAAE6-AA09-4D76-A696-F657FD5AFE85} - C:\WINDOWS\System32\enl.dll (file missing)
O2 - BHO: (no name) - {1E82612D-9A63-53E7-8606-115504AA7046} - C:\WINDOWS\System32\wltwpp.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll

Les lignes 04 tu arrêtes les processus par le gestionnaire des tâches par ctrl+alt+supp avant de les fixer dans l'Hijack sinon la procédure échouera.

O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
(bargains X bargains.exe
bargainbuddy.exe Bargain Buddy - advertising spyware installed with Net2Phone & LimeWire amongst others
.)
O4 - HKLM\..\Run: [xcyzgb] C:\WINDOWS\System32\uaddlm.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKCU\..\Run: [Cupo] C:\Documents and Settings\RIOU Rémy\Application Data\strh.exe
O4 - HKCU\..\Run: [Xizxglbi] C:\WINDOWS\System32\qbirv.exe

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\asiclayer.dll
Ces 3 lignes 010 l'Hijack ne peut les réparer, tu devras utiliser cet utilitaire :
http://www.cexx.org/lspfix.htm

O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPaiement/kit/WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/AxisCamControl.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

O18 - Filter: text/html - {00D16398-9EF6-4215-830C-402D3257B1B1} - C:\WINDOWS\System32\enl.dll
O18 - Filter: text/plain - {00D16398-9EF6-4215-830C-402D3257B1B1} - C:\WINDOWS\System32\enl.dll

voilà! quel boulot! n'oublie pas de faire les mises à jour Spybot (peu fréquentes/3 semaines..) et Ad-aware (très fréquentes)
et surtout de paramétrer Spybot comme sur le Tuto en "advanced-mode"

PS : tu métonnes bcp qd tu dis qu'Ad-aware te détecte Blaster (???) ton OS est à jour de ses correctifs?

@+ :-]

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
25 août 2004 à 23:13
arghh! j'ai oublié (ça m'a pris la tête...)
tu fixes en mode sans échec (avis! c'est moche) (tu tapotes par impulsions rapides la touche F8 ou F5 pour passer sous ce mode) tu vides le cache Internet (cookies - fichiers temps - historique) + la Corbeille

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Hello,

Je viens de voir ton message et je te remercie de ton aide....

Comment sais tu au juste quels sont les fichiers à effacer ? Cela vient il de ton experience personnelle, ou est ce que ca pourrait sauter aux yeux de n'importe quel profane ?

Bon je te tiendrai au courant de l'évolution de la situation. En tout cas le probleme de la page de demarrage recursive a disparu pour l'instant, je pense que cest a grace au nettoyage precedent que tu m'avais conseillé.

Bonne journée à toi,

David

PS : si si, dès l'activation de Ad-aware Blaster n'était se lancait automatiquement. depusi que jai desinstallé adaware il na plus pointé le bout de son nez...

Pour les lignes O4, tu m'as dit qu'il fallait arreter les processusavec le gestionnaires de tache mais je me suis deja apercu qu'ils n'etaient pas tous repertoriés par le gestionnaire... Comment peut t on les stopper ?
0
Utilisateur anonyme
27 août 2004 à 02:43
comme tu peux le voir les lignes 04 comportent des noms complètement abracadabrants d'où la difficulté de les retrouver dans les program. du démarrage, ils sont liés avec des programmes vérolés comportants des noms aléatoires parfois ils disparaissent avec les fix parfois ils sont planqués et la recherche est plus difficile

O4 - HKLM\..\Run: [xcyzgb] <--ça c'est débile....
O4 - HKLM\..\Run: [conscorr]<--celui-là tu devrais le trouver pourtant ... c'est un pirate connu - Nom : [ conscorr ]
Commande : conscorr.exe
Statut : X <-- = (X) vérolé
Description : Relié au détournement VX2
O4 - HKCU\..\Run: [Cupo]<-- à moins que tu es un logiciel ou tt autre programmes s'appellant ainsi, musique ou ??? aucune idée - on trouve de vagues associations à ce nom sur Google mais pas en tant que Logiciel.
O4 - HKCU\..\Run: [Xizxglbi]<--pareil ...débile


Comment sais tu au juste quels sont les fichiers à effacer? <-----relit mon post 1. un log hijack c'est beaucoup de travail et de recherches et de pratique un peu aussi d'où mon avertissement


*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0