bestsearch toujours incrusté au démarrage

Question

Rebonjour et suite de mes aventures.
Je suis toujours sous Windows 98, ma page de démarrage IE est toujours parasitée par bestsearch.cc/2484.
AdAware trouve trois objets (un coolwebsearch et deux favoris spécialement gonflants).
Spybot trouve : Common hijacker, DSO Exploit, System1060.
Dans les deux cas, je demande la suppression des malfaisants, quoique je ne sache pas ce que sont DSO Exploit et System 1060.
MAIS : au reboot, le hijacker et les deux favoris (gonflants) reviennent.
Coolwebshredder et a2 (emsisoft) ne trouvent rien.
Si quelqu'un peut m'aider, je peux lui envoyer un hijackthis. (où faut-il l'envoyer ?)
J'ai aussi StartupRun dans mon grand sac, mais je ne sais pas trop m'en servir...
Eh ben sur ce, au secours et merci d'avance.
pim2

G. · Answer

Essaye voir un coup de Spysweeper : http://www.webroot.com/wb/products/spysweeper/index.php

pim2 · Answer

Re bonjour
Merci G, mais SpynetSweeper ne suffit pas non plus. A peu près la même chose que pour les autres logiciels : il trouve des malwares, dont un Coolwebsearch. Je lui demande de les virer, il dit qu'il le fait, mais au redémarrage bestsearch et les deux favoris (toujours gonflants) reviennent. J'aimerai que quelqu'un regarde mon hijackthis. Merci.

pim2 · Answer

Voici le scan d'hijackthis :

Logfile of HijackThis v1.98.0
Scan saved at 08:33:40, on 26/08/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\DAP\DAP.EXE
C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\OPWARE32.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\PROGRAM FILES\BABYLON\BABYLON.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\BABYLON\utils\shlhook.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS 1.98.0.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2484/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)
O2 - BHO: XH_SCapIEObj Class - {B564528E-B429-4575-8272-50218C3FD6E0} - :C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\scap0003p.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [OmniPage] C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\opware32.exe
O4 - HKLM\..\Run: [Post-me] C:\PROGRAM FILES\POST-ME\post-me.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra button: ACA Capture Pro - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra 'Tools' menuitem: ACA Capture Pro - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

balltrap34 · Answer

relance hijack coche et fix ces lignes
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2484/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)
O2 - BHO: XH_SCapIEObj Class - {B564528E-B429-4575-8272-50218C3FD6E0} - :C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\scap0003p.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

avant de faire ceci relance ton pc en mode sans echec
et scan avec ton anti virus a jour

la chasse et le balltrap ma vrai passion
voir site perso dans profil

balltrap34 · Answer

redemarre en mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal
une fois en mode sans echec scan avec ton anti virus

la chasse et le balltrap ma vrai passion
voir site perso dans profil

pim2 · Answer

RE-bonjour à tous
J'ai essayé le nettoyage avec Hijackthis.
Marche pô non plus.
Je vois trois solutions :
1) ou bien quelqu'un trouve une autre idée.
2) ou bien je revends l'ordi (à perte, forcément) et je me recycle dans le petit artisanat touristique vivrier.
3) ou bien on fait une pétition pour que la Merijn reprenne du service et actualise encore au moins une fois Coolwebshredder.
Toutes les suggestions sont les bienvenues.
Merci à tous pour le temps que vous m'avez consacré.
pim2

balltrap34 · Answer

rean tu essayer de remettre ta page dans les options internetrefait un hijack pour voir et met nous le rapportla chasse et le balltrap ma vrai passionvoir site perso dans profil

Sebastien.B · Answer

Slt,

Il y a aussi ca à supprimer Balltrap34:

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe

PS: Ca serait bien que tu fasses une selection des applications dont tu as vraiment besoin au démarrage.
---------------------------
http://internetsecurite.free.fr/

Utilisateur anonyme · Answer

Sebastien.B aie aie houlà! pas touche!!! loll
svchost - svchost.exe
Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

ne t'enfonce pas plus......... svp!!
.....repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Utilisateur anonyme · Answer

je regardais le log....
celle-là c'est pas la peine de les fixer

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)

celle-là non plus (c'est 1 abonn. au journal Le Monde)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html

en plus des lignes indiquées par Balltrap - à fixer aussi :
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

si tu ne fais pas les fix en mode sans échec, ça échouera parfois c'est nécessaire d'autres fois non - dans ton cas il semblerait que ce le soit :-))

TT ça hors connexion et ensuite vide le Cache Internet + ta Corbeille - et avec 98 se un petit coup de "nettoyage du disque" fera du bien en dernier (démarrer/programmes/accessoires/outils système/nettoyage du disque)

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

balltrap34 · Answer

salut dolly
si je lui est mis cela
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)

celle-là non plus (c'est 1 abonn. au journal Le Monde)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html

pour la premiere file missing aucune utilite
quand a la seconde cela s apelle avoir fait un copier coller un peu trop rapide lol

la chasse et le balltrap ma vrai passion
voir site perso dans profil

pim2 · Answer

Bonjour à tous
Je vois bien que mon cas vous intéresse. Mais je m'y perd, alors je vous donne un hijackthis tout frais. Pourriez vous faire la synthèse de vos contributions pour dire à un amateur (moi) ce qu'il doit faire en fin de compte ?

Logfile of HijackThis v1.98.2
Scan saved at 11:52:46, on 28/08/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\DAP\DAP.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\OPWARE32.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\PROGRAM FILES\BABYLON\BABYLON.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\PROGRAM FILES\BABYLON\utils\shlhook.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS 1.98.2.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2484/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [OmniPage] C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\opware32.exe
O4 - HKLM\..\Run: [Post-me] C:\PROGRAM FILES\POST-ME\post-me.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra button: ACA Capture Pro - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra 'Tools' menuitem: ACA Capture Pro - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

Merci beaucoup.
pim2

balltrap34 · Answer

rea tu fait un scan avec ton anti virus en mode sans echecla chasse et le balltrap ma vrai passionvoir site perso dans profil

pim2 · Answer

Re re
Dès que tu l'avais demandé, j'avais suivi les instructions et scanné en mode sans échec. Ensuite, j'ai suivi tout le reste de la procédure.
Je vais tout recommencer en mode sans échec dès que j'aurai 5 minutes.
Mais ce qui m'intéressait, c'était de savoir s'il fallait que je vire svchost.exe. Apparemment il y a eu une polémique. Et là, si j'ai bien compris, en scannant avec l'AV en mode sans échec ça règle le problème de ce svc. C'est ça ? Mais si, APRES le scan avec l'AV, svcmachin est encore dans le log d'hijackthis, je le fixe quand même ?
Merci pour votre patience
pim2

balltrap34 · Answer

moi je te dirai ouila chasse et le balltrap ma vrai passionvoir site perso dans profil

Sebastien.B · Answer

Slt,

Avant de scanner avec ton antivirus l'as tu mis à jour?

Voila ce que dit TonyKlein sur SWI :

"Same again for Svchost.exe: Default path is Windows\System32 (or WinNT\System32, depending on the Operating System). Svchost.exe in the Windows folder is ALWAYS bad news.
On a Win 95/98/ME machine Svchost.exe is ALWAYS a baddie, whatever the location: it only lives in NT based systems."

Donc, oui il faut que tu fixes Svchost.exe.

Sebastien.B · Answer

Slt,Alors ou en es tu?--------------------------------------------------http://internetsecurite.free.fr/

pim2 · Answer

Bonjour
Etat stationnaire.
J'ai tout fait en mode sans échec :
1. l'antivirus (PC Cillin)
2. le fix avec hijackthis ( NB : scvhost reste même après que j'ai passé l'antivirus)
3. le changement de la page de démarrage d'IE, et même un nettoyage du disque.
ET CA NE DONNE RIEN : au redémarrage de l'ordi, j'ai toujours mes deux favoris gonflants et ma page d'accueil est toujours bestsearch.cc/2484.
A tout hasard j'ai aussi redémarré l'ordi deux-trois fois de suite.
Si quelqu'un trouve quelque chose qui marche je lui paie une bière.
pim2

pim2 · Answer

Et ben les gars ?Personne n'a envie d'une bière ?pim2

pim2 · Answer

Re re re.... bonjourJe crois qu'il me reste une possibilité.Startup Run détecte svchost au démarrage.Mais j'hésite à le désactiver (je ne sais pas quelles conséquences ça peut avoir sur mon ordi).Y a-t-il encore quelqu'un pour me répondre ?Mercipim2

Sebastien.B · Answer

re,Tu as essayé le mode sans échec? (F8 au démarrage)Une fois que tu y es, affiche les fichiers et dossiers cachés puis  va supprimer le fichier: C:\WINDOWS\svchost.exe --------------------------------------------------http://internetsecurite.free.fr/

pim2 · Answer

Merci mais ça ne marche pas non plus.La suppression de svchost.exe par StartupRun 1.21 non plus.Le tout effectué en mode sans échec.Dans les deux cas, tout revient : la page bestsearch, les deux favoris toujours gonflants ET svchost.exe dans C:\WINDOWS.Quelqu'un veut une bière ?pim2

beuz. · Answer

bonsoir,je n'ai pas encore la réponse pour ton probleme mais déjà voici un peut de lecture.http://www.commentcamarche.net/processus/svchost-exe.php3__________________infini...même au delà

balltrap34 · Answer

salutremet un nouvelle hijack pour voirla chasse et le balltrap ma vrai passionvoir site perso dans profil

pim2 · Answer

Bonjour- beuz. : j'ai Windows 98 se. Or svchost réside sur des versions ultérieures de Windows. Et chez moi il est incrusté dans C:\Windows, ce qui n'est de toute façon pas sa place dans ces systèmes. D'autres helpers l'ont bien expliqué plus haut. Merci quand même, et si tu as une autre idée, je la prends.- Comme le demande balltrap, je mets pour tout le monde mon dernier hijackthis. - Mais avant j'insiste à tout hasard sur ceci : toute la malveillance se remet en place (page web, favoris, svchost.exe) dès que j'active un programme, n'importe lequel. Pas seulement quand j'éteins l'ordi ou quand je  (re)boote.- Au point où j'en suis, c'est plus une bière mais deux (trois?) que j'offre à qui trouve une solution. (Comment ça, "un pack!" ?...)Si vous commencez à fatiguer, indiquez moi SVP un bon tut sur la base de registre et je commencerai à la charcuter moi-même.- Qu'est-ce que vous pensez de la version gratuite de Pest Patrol ?Logfile of HijackThis v1.98.2Scan saved at 23:47:39, on 03/09/04Platform: Windows 98 SE (Win9x 4.10.2222A)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\SYSTEM\KERNEL32.DLLC:\WINDOWS\SYSTEM\MSGSRV32.EXEC:\WINDOWS\SYSTEM\MPREXE.EXEC:\WINDOWS\SYSTEM\mmtask.tskC:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXEC:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXEC:\WINDOWS\SYSTEM\MSTASK.EXEC:\WINDOWS\EXPLORER.EXEC:\WINDOWS\SYSTEM\SYSTRAY.EXEC:\WINDOWS\TASKMON.EXEC:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXEC:\PROGRAM FILES\DAP\DAP.EXEC:\WINDOWS\SYSTEM\STIMON.EXEC:\WINDOWS\STARTER.EXEC:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\OPWARE32.EXEC:\PROGRAM FILES\AHEAD\INCD\INCD.EXEC:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXEC:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXEC:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXEC:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXEC:\PROGRAM FILES\BABYLON\BABYLON.EXEC:\WINDOWS\SYSTEM\WMIEXE.EXEC:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXEC:\PROGRAM FILES\BABYLON\utils\shlhook.exeC:\WINDOWS\SYSTEM\SPOOL32.EXEC:\WINDOWS\SYSTEM\RNAAPP.EXEC:\WINDOWS\SYSTEM\TAPISRV.EXEC:\WINDOWS\SYSTEM\DDHELP.EXEC:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS 1.98.2.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.phpR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security.kolla.de/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.phpR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484/R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2484/sp.phpR0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://security.kolla.de/R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.htmlO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCXO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCXO4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorunO4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS	askmon.exeO4 - HKLM\..\Run: [SystemTray] SysTray.ExeO4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE"O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUPO4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXEO4 - HKLM\..\Run: [EnsoniqMixer] starter.exeO4 - HKLM\..\Run: [OmniPage] C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\opware32.exeO4 - HKLM\..\Run: [Post-me] C:\PROGRAM FILES\POST-ME\post-me.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottimeO4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exeO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osbootO4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /sO4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exeO4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUpO4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exeO4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exeO4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrSchemeO4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exeO4 - HKCU\..\Run: [Babylon Translator] c:\program files\babylon\Babylon.exeO8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htmO8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htmO9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)O9 - Extra button: ACA Capture Pro - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXEO9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXEO9 - Extra 'Tools' menuitem: ACA Capture Pro - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXEO13 - DefaultPrefix: http://69.50.191.50/?O13 - WWW Prefix: http://69.50.191.50/?Ciaopim2

balltrap34 · Answer

salutd apres d autres forum on vas voir quelque choseTélécharger ce petit programme qui nous donnera la liste des services :  http://d21c.com/Tom41/get_active_services_179_161.zip  Le poser sur le bureau. Le lancer. Copier/coller le fichier texte qui apparaît.la chasse et le balltrap ma vrai passionvoir site perso dans profil

pim2 · Answer

CoucouEh ben ça marche pas.Je le lance et op! pas de fichier texte, mais une fenêtre erreur d'exécution, qui dit:Erreur d'exécution Microsoft VBScriptNom du fichier ou de la classe introuvable lors de l'opération Automation : "GetObject".Voilà voilà...

balltrap34 · Answer

requelle windows a tula chasse et le balltrap ma vrai passionvoir site perso dans profil

gomi · Answer

bonjour,j ai a peu pres la meme merde.il s agit d une saloperie qui s initialise au lancement de l IE et recree des trojan a la pelle ; cette merde utilise un processus au lancement mais je ne sais pas lequel.effectiviemment toutes les manip (sans echec, hijack this....)sont sans effet.un petit test :fais un hijack this, fix les fichiers qui  embete puis lance de suite IE et refait un hijack this....a+

cybercoyotte · Answer

Bonjour à tous , Et si vous alliez dans le bdr  là : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\   histoire de voir  s'il n'y a pas de fichier(s) ".exe" louche(s) et  là : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\start page     voir si la page de démarrage " start page"  est bien  celle que vous aviez choisie  au départ .... on ne sait jamais ... Il y  a aussi  CWS  qui est efficace dans  pas mal de cas  : http://www.soft32.com/download_19014.html

pim2 · Answer

Re à tousJe sais, ça devient lassant.Rien de neuf. J'ai toujours Windows 98 2ème édition.J'ai essayé de charger CWS : le fichier zip n'est pas valide.Dans la bdr, il y a évidemment des pages erronées, mais le problème est qu'après avoir été changées, elles reviennent au démarrage.Spywareinfo, le site de merijn (coolwebshredder et autres) est inaccessible. Quelqu'un sait-il s'il y a un site miroir ou un équivalent ?pim2

balltrap34 · Answer

saluttient je l ai l ai CWShredderhttp://pageperso.aol.fr/Balltrap34/CWShredder.exeil faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - nextla chasse et le balltrap ma vrai passionvoir site perso dans profil

pim2 · Answer

Salut balltrap,Ce que je cherche, c'est pas Coolwebshredder (je l'ai), c'est PrcView.Dernière nouvelle : j'ai essayé Pest Patrol sans succès.J'ai surement une variante de CWS avec reloader caché.Problèmes : comment trouver le reloader ? comment le virer ?(Je suis content de constater que la patience est vraiment la première qualité du chasseur. Merci)Salut gomiOn a bien la même sorte de saloperie.Si tu trouves une solution, peux-tu me faire signe ?Merci

balltrap34 · Answer

salut pimfait cecihttp://downloads.subratam.org/Win98fix.zipDécompresse-le dans son propre dossier.  -Ouvre le dossier et double-clique sur RunFix.reg. Réponds "oui" à la question qui suit.  -Redémarre.    2-Le fichier caché doit être visible maintenant!  refait un hijack et met le rapportla chasse et le balltrap ma vrai passionvoir site perso dans profil

pim2 · Answer

Merci balltrap.Mais Coolwebshredder j'ai déjà.Ce que je cherche c'est :1. Une page où je pourrais trouver Merijn (le site spywareinfo est inaccessible, mais j'aimerais soumettre mon problème à Merijn).2. Le logiciel PrcView, qui donne une vision plus complète de la base de registre que la commande Executer->regedit sur Windows (si j'ai bien compris). PrcView était aussi en téléchargement sur Spywareinfo. Donc j'aimerais trouver un autre site où le télécharger.CiaoPS : le fix de Coolwebshredder ne résout pas mon problème.Par contre un scan only de Coolwebshredder indique ça :CWShredder v1.59.1 scan only reportPlease understand that a CWShredder 'Scan only' reportmight not be sufficient to troubleshoot an infected system.You can use HijackThis for that:http://www.merijn.org/files/hijackthis.ziphttp://www.spywareinfo.com/~merijn/files/hijackthis.zipWindows 98 (4.10.2222 A)Windows dir: C:\WINDOWSWindows system dir: C:\WINDOWS\SYSTEMAppData folder: C:\WINDOWS\Application Data…….Hosts file not presentFound CWS.Aboutblank file: C:\WINDOWS\svchost.exe (10822 bytes, A)Registry value: DefaultPrefix [] http://69.50.191.50/?Registry value: WWW Prefix [www] http://69.50.191.50/?Found Win.ini file: C:\WINDOWS\win.ini (9094 bytes, A)Found line in Win.ini: load=Found line in Win.ini: run=Found System.ini file: C:\WINDOWS\system.ini (2257 bytes, A)Found line in System.ini: shell=Explorer.exe- END OF REPORT -

cybercoyotte · Answer

Avez-vous essayé hijackthis ? Histoire de voir ce qui se passe ...ou alors : allez sur le forum de www.pcastuces.com expliquer votre problème ... ils sont vraiment sympas les astuciens .

cybercoyotte · Answer

Oups..... je n'avais pas suivi et ai vu que hijackthis a été utilisé..Désolé ...

gomi · Answer

j ai trouvé la solution : il faut tout passer :avastabout : blasterhijackthisspybot serach and destroycwshredderad awareet le probleme est réglé.gomi

phil · Answer

Super,enfait je n'ai téléchargé que cwsshredder et ça  a fonctionnéMerci car c'était vraiment gonflant.

Bestsearch toujours incrusté au démarrage

40 réponses

Discussions similaires

Newsletters