Sujet Précédent Sujet Suivant

Bestsearch toujours incrusté au démarrage

Fermé
pim2 - 25 août 2004 à 17:49
 phil - 26 sept. 2004 à 15:42
Rebonjour et suite de mes aventures.
Je suis toujours sous Windows 98, ma page de démarrage IE est toujours parasitée par bestsearch.cc/2484.
AdAware trouve trois objets (un coolwebsearch et deux favoris spécialement gonflants).
Spybot trouve : Common hijacker, DSO Exploit, System1060.
Dans les deux cas, je demande la suppression des malfaisants, quoique je ne sache pas ce que sont DSO Exploit et System 1060.
MAIS : au reboot, le hijacker et les deux favoris (gonflants) reviennent.
Coolwebshredder et a2 (emsisoft) ne trouvent rien.
Si quelqu'un peut m'aider, je peux lui envoyer un hijackthis. (où faut-il l'envoyer ?)
J'ai aussi StartupRun dans mon grand sac, mais je ne sais pas trop m'en servir...
Eh ben sur ce, au secours et merci d'avance.
pim2
A voir également:

40 réponses

  • 1
  • 2
Réponse 1 / 40
G. Messages postés 239 Date d'inscription mercredi 28 juillet 2004 Statut Membre Dernière intervention 13 septembre 2010 12
25 août 2004 à 19:03
Essaye voir un coup de Spysweeper : http://www.webroot.com/wb/products/spysweeper/index.php
0
Réponse 2 / 40
pim2
26 août 2004 à 08:36
Re bonjour
Merci G, mais SpynetSweeper ne suffit pas non plus. A peu près la même chose que pour les autres logiciels : il trouve des malwares, dont un Coolwebsearch. Je lui demande de les virer, il dit qu'il le fait, mais au redémarrage bestsearch et les deux favoris (toujours gonflants) reviennent. J'aimerai que quelqu'un regarde mon hijackthis. Merci.
0
Réponse 3 / 40
pim2
26 août 2004 à 08:43
Voici le scan d'hijackthis :

Logfile of HijackThis v1.98.0
Scan saved at 08:33:40, on 26/08/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\DAP\DAP.EXE
C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\OPWARE32.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\PROGRAM FILES\BABYLON\BABYLON.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\BABYLON\utils\shlhook.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS 1.98.0.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2484/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)
O2 - BHO: XH_SCapIEObj Class - {B564528E-B429-4575-8272-50218C3FD6E0} - :C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\scap0003p.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [OmniPage] C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\opware32.exe
O4 - HKLM\..\Run: [Post-me] C:\PROGRAM FILES\POST-ME\post-me.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra button: ACA Capture Pro - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra 'Tools' menuitem: ACA Capture Pro - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?
0
Réponse 4 / 40
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
26 août 2004 à 12:31
relance hijack coche et fix ces lignes
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2484/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)
O2 - BHO: XH_SCapIEObj Class - {B564528E-B429-4575-8272-50218C3FD6E0} - :C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\scap0003p.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

avant de faire ceci relance ton pc en mode sans echec
et scan avec ton anti virus a jour

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
pim2
26 août 2004 à 12:55
Bonjour
Est-ce que pour scanner avec l'antivirus, et pour relancer hijackthis, je dois rester en mode sans échec ?
La question est peut être idiote - dans ce cas excuse moi - je n'ai jamais relancé de logiciels en mode sans échec.
Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 40
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
26 août 2004 à 12:57
redemarre en mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal
une fois en mode sans echec scan avec ton anti virus

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 6 / 40
pim2
26 août 2004 à 15:23
RE-bonjour à tous
J'ai essayé le nettoyage avec Hijackthis.
Marche pô non plus.
Je vois trois solutions :
1) ou bien quelqu'un trouve une autre idée.
2) ou bien je revends l'ordi (à perte, forcément) et je me recycle dans le petit artisanat touristique vivrier.
3) ou bien on fait une pétition pour que la Merijn reprenne du service et actualise encore au moins une fois Coolwebshredder.
Toutes les suggestions sont les bienvenues.
Merci à tous pour le temps que vous m'avez consacré.
pim2
0
Réponse 7 / 40
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
26 août 2004 à 20:18
re
an tu essayer de remettre ta page dans les options internet
refait un hijack pour voir et met nous le rapport

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 8 / 40
Sebastien.B Messages postés 52 Date d'inscription dimanche 4 avril 2004 Statut Membre Dernière intervention 2 septembre 2004
26 août 2004 à 22:01
Slt,

Il y a aussi ca à supprimer Balltrap34:

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe

PS: Ca serait bien que tu fasses une selection des applications dont tu as vraiment besoin au démarrage.
---------------------------
http://internetsecurite.free.fr/
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
26 août 2004 à 22:30
salut c est pour cela que je lui est demander de scanner en mode sans echec avec son av

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 9 / 40
Utilisateur anonyme
26 août 2004 à 22:13
Sebastien.B aie aie houlà! pas touche!!! loll
svchost - svchost.exe
Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Sebastien.B Messages postés 52 Date d'inscription dimanche 4 avril 2004 Statut Membre Dernière intervention 2 septembre 2004
27 août 2004 à 00:44
Slt,

Tu as déjà vu Svchost.exe dans C:\Windows ? (le vrai est dans C:\Windows\System 32)

Donc à supprimer!

--------------------------------------------------
http://internetsecurite.free.fr/
0
Réponse 10 / 40
Utilisateur anonyme
27 août 2004 à 01:05
ne t'enfonce pas plus......... svp!!
.....repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent


*Devise : Je m'intéresse à l'avenir parceque
 c'est là que je vais passer le reste de ma vie*
0
Sebastien.B
27 août 2004 à 11:12
Slt,

Autant d'entrées oui, mais ca ne veut pas dire que tu vas retrouver Svchost.exe à divers endroits du disque dur c'est juste que dans tes processus lancés tu auras plusieurs fois Svchost.exe

De plus de nbreux virus jouent la dessus en changeant une lettre dans Svchost.exe pour donner par exemple Scvchost.exe ou sinon certains virus mettent svchost.exe dans C:\Windows pour tromper la personne en leur faisant croire que c'est légitime.

http://www.sysinfo.org/startuplist.php?submit=&filter=svchost.exe&submit.x=5&submit.y=13&submit=%3E


http://support.microsoft.com/default.aspx?scid=kb;EN-US;314056
"The Svchost.exe file is located in the %SystemRoot%\System32 folder. At startup, Svchost.exe checks the services part of the registry to construct a list of services that it must load. Multiple instances of Svchost.exe can run at the same time. Each Svchost.exe session can contain a grouping of services. Therefore, separate services can run, depending on how and where Svchost.exe is started. This grouping of services permits better control and easier debugging"
0
Réponse 11 / 40
Utilisateur anonyme
27 août 2004 à 02:02
je regardais le log....
celle-là c'est pas la peine de les fixer

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)

celle-là non plus (c'est 1 abonn. au journal Le Monde)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html

en plus des lignes indiquées par Balltrap - à fixer aussi :
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

si tu ne fais pas les fix en mode sans échec, ça échouera parfois c'est nécessaire d'autres fois non - dans ton cas il semblerait que ce le soit :-))

TT ça hors connexion et ensuite vide le Cache Internet + ta Corbeille - et avec 98 se un petit coup de "nettoyage du disque" fera du bien en dernier (démarrer/programmes/accessoires/outils système/nettoyage du disque)



*Devise : Je m'intéresse à l'avenir parceque
 c'est là que je vais passer le reste de ma vie*
0
Réponse 12 / 40
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
27 août 2004 à 14:53
salut dolly
si je lui est mis cela
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - :C:\Program Files\Spybot\SDHelper.dll (file missing)

celle-là non plus (c'est 1 abonn. au journal Le Monde)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html

pour la premiere file missing aucune utilite
quand a la seconde cela s apelle avoir fait un copier coller un peu trop rapide lol

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 13 / 40
pim2
28 août 2004 à 12:07
Bonjour à tous
Je vois bien que mon cas vous intéresse. Mais je m'y perd, alors je vous donne un hijackthis tout frais. Pourriez vous faire la synthèse de vos contributions pour dire à un amateur (moi) ce qu'il doit faire en fin de compte ?

Logfile of HijackThis v1.98.2
Scan saved at 11:52:46, on 28/08/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCPFW.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAM FILES\DAP\DAP.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\OPWARE32.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCGUIDE.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\POP3TRAP.EXE
C:\PROGRAM FILES\BABYLON\BABYLON.EXE
C:\PROGRAM FILES\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 9\WEBTRAP.EXE
C:\PROGRAM FILES\BABYLON\utils\shlhook.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS 1.98.2.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2484/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2484/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2484
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2484/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abonnes.lemonde.fr/web/desk/0,26-3424,1-0,0.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAM FILES\PANICWARE\POP-UP STOPPER\DPPS2.EXE"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [OmniPage] C:\PROGRAM FILES\CAERE\OMNIPAGEPRO10.0\opware32.exe
O4 - HKLM\..\Run: [Post-me] C:\PROGRAM FILES\POST-ME\post-me.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\MINITEL\Watch.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [Babylon Translator] c:\program files\babylon\Babylon.exe
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Capturer ! - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra 'Tools' menuitem: Capturer ce web - {47055D63-DFCD-11d3-8406-00500445A7D0} - C:\PROGRAM FILES\GOTO\MEMOWEB 4 - DéCOUVERTE\IEBtn\Launcher (file missing)
O9 - Extra button: ACA Capture Pro - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O9 - Extra 'Tools' menuitem: ACA Capture Pro - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\PROGRAM FILES\ACASYSTEMS\ACACAPTUREPRO421\SCAPPRO.EXE
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

Merci beaucoup.
pim2
0
Réponse 14 / 40
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
28 août 2004 à 12:52
re
a tu fait un scan avec ton anti virus en mode sans echec

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 15 / 40
pim2
28 août 2004 à 15:20
Re re
Dès que tu l'avais demandé, j'avais suivi les instructions et scanné en mode sans échec. Ensuite, j'ai suivi tout le reste de la procédure.
Je vais tout recommencer en mode sans échec dès que j'aurai 5 minutes.
Mais ce qui m'intéressait, c'était de savoir s'il fallait que je vire svchost.exe. Apparemment il y a eu une polémique. Et là, si j'ai bien compris, en scannant avec l'AV en mode sans échec ça règle le problème de ce svc. C'est ça ? Mais si, APRES le scan avec l'AV, svcmachin est encore dans le log d'hijackthis, je le fixe quand même ?
Merci pour votre patience
pim2
0
Réponse 16 / 40
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
28 août 2004 à 21:43
moi je te dirai oui

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Réponse 17 / 40
Sebastien.B
29 août 2004 à 11:37
Slt,

Avant de scanner avec ton antivirus l'as tu mis à jour?

Voila ce que dit TonyKlein sur SWI :

"Same again for Svchost.exe: Default path is Windows\System32 (or WinNT\System32, depending on the Operating System). Svchost.exe in the Windows folder is ALWAYS bad news.
On a Win 95/98/ME machine Svchost.exe is ALWAYS a baddie, whatever the location: it only lives in NT based systems."

Donc, oui il faut que tu fixes Svchost.exe.
0
Réponse 18 / 40
Sebastien.B
30 août 2004 à 12:04
Slt,


Alors ou en es tu?

--------------------------------------------------
http://internetsecurite.free.fr/
0
Réponse 19 / 40
pim2
31 août 2004 à 10:17
Bonjour
Etat stationnaire.
J'ai tout fait en mode sans échec :
1. l'antivirus (PC Cillin)
2. le fix avec hijackthis ( NB : scvhost reste même après que j'ai passé l'antivirus)
3. le changement de la page de démarrage d'IE, et même un nettoyage du disque.
ET CA NE DONNE RIEN : au redémarrage de l'ordi, j'ai toujours mes deux favoris gonflants et ma page d'accueil est toujours bestsearch.cc/2484.
A tout hasard j'ai aussi redémarré l'ordi deux-trois fois de suite.
Si quelqu'un trouve quelque chose qui marche je lui paie une bière.
pim2
0
Réponse 20 / 40
pim2
31 août 2004 à 19:24
Et ben les gars ?
Personne n'a envie d'une bière ?
pim2
0

Discussions similaires

5 bips au demarage de hp
Zak12345 -
Karim -

13 réponses
Clavier bloqué au demarrage :(
Alex -
Pascale -

8 réponses