Hellaumax

Un petit conseil pour commencer : télécharge la dernière version de HijackThis et unzip le dans un répertoire propre avant de l’éxécuter, afin de conserver les back-up ( ça peut toujours servir ). Apparemment tu as un ver nommé Agobot ou Goboat selon les sources responsable de la présence de nvsvc32.exe. Il existe un patch sur securiser.com pour l’éliminer. Enfin, personnellement je fixerai les clés suivantes : O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL O2 - BHO: (no name) - {25508BE1-ADED-374F-C72A-FC06116732D6} - C:\PROGRA~1\REALCU~1\StartWipe.dll O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod-1.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O3 - Toolbar: ballwave - {4CFF688F-A8DE-77F7-6348-CD11816C2401} - C:\PROGRA~1\REALCU~1\StartWipe.dll O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe TRAY.DLL,NvTaskbarInit O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029 Parmi les O16, faut voir, mais je pense que O16 - DPF: {27DA08CF-FCDB-C812-102C-35416A233200} - http://hardcore.xxxhard.com/castingx-aw.exe O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} - http://dialup.carpediem.fr/CABS/cd/1,0,3,8...AccesMembre.cab doivent pouvoit se supprimer sans problème

Commence par télécharger la dernière version de hijackthis : http://www.net-integration.net/tools/hijackthis.html J'aime pas trop le process nvscv32.exe qui est lié au ver Agobot : pour plus d'info http://www.sophos.fr/virusinfo/analyses/w32agobotfd.html. A mon avis, tu dois avoir intérêt à virer ça. Sur le log hijackthis, tu peux fixer R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbifs.dll/sp.html#44272 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://dbifs.dll/index.html#44272 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://dbifs.dll/index.html#44272 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\dbifs.dll/sp.html#44272 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://dbifs.dll/index.html#44272 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\dbifs.dll/sp.html#44272 O2 - BHO: (no name) - {617458C6-6E17-07E1-3E8F-4F74E109BF8F} - C:\WINDOWS\netfr32.dll O4 - HKLM\..\Run: [ierhrarycird] C:\WINDOWS\System32\freflk.exe O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot O4 - HKLM\..\Run: [addyk32.exe] C:\WINDOWS\system32\addyk32.exe O4 - HKLM\..\RunOnce: [crie.exe] C:\WINDOWS\crie.exe O4 - HKLM\..\RunOnce: [atlpo.exe] C:\WINDOWS\system32\atlpo.exe O4 - HKLM\..\RunOnce: [mfcqf32.exe] C:\WINDOWS\system32\mfcqf32.exe O4 - HKLM\..\RunOnce: [appxu.exe] C:\WINDOWS\appxu.exe O4 - HKLM\..\RunOnce: [sdkip32.exe] C:\WINDOWS\system32\sdkip32.exe Les clés O16 et O17 me paraissent un peu louches, mais quelqu'un peut peut-être en dire plus ? Vérifie également que tes versions de Spybot sont à jour. Saches cependant qu'il y a des chances que ça ne suffsent pas...

Ta version de HijackThis n'est pas la dernière. : tu trouveras la version 1.98 en suivant le lien suivant : http://www.net-integration.net/tools/hijackthis.html Verifie également tes versions de Spybot et de CWShedder, si c'est eux que tu as utilisé. Tu dois pouvoir d'ores et déjà fixer les trucs suivants : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {32FD688F-674C-4840-9B03-9D5408A12B9C} - C:\WINDOWS\System32\mfplay.dll J'aime pas trop le process nvscv32.exe qui,je crois, est lié au ver Agobot : pour plus d'info http://www.sophos.fr/virusinfo/analyses/w32agobotfd.html Bon courage, ami

Je pense que tu devrais t'en tirer avec about:buster que tu peux télécharger en suivant le lien suivant : http://www.downloads.subratam.org/AboutBuster.zip Fixe d'abord les éléments suivants avec hijackthis O2 - BHO: (no name) - {56CC3A39-518D-B878-15E2-5F0CAD2770B4} - C:\WINNT\ntvk32.dll O4 - HKLM\..\Run: [mfcqc32.exe] C:\WINNT\system32\mfcqc32.exe Puis fais tourer about:buster en mode sans échec : effectue deux scans et copie le résultat dans un fichier texte de telle sorte que tu puisses le conserver. Refais tourner hijackthis et sauve le log sans rien fixer. Envoie un nouveau post avec le résultats des scans de about:buster et le log de Hijackthis; on y verra sans doute plus clair.

Pour about:blank, un petit utilitaire a été développé : il s'appelle about:buster et on peut le télécharger à cette adresse : http://www.downloads.subratam.org/AboutBuster.zip Son utilisation est couplé avec HijackThis. Pour plus d'infos tu peux consulter le site suivant http://www.malwarebytes.biz qui est quasiment entièrement dédié à about:blank ( mais c'est en anglais). J'ai réussi à me débarrasser de about:blank en fixant par HijackThis toutes les clés suspectes autres que celles liées à la page de démarrage ( R0, R1...). Puis en faisant tourner about:buster en mode sans échec ( il y a deux scans successifs à faire ). Depuis, plus de problèmes alors que ni spybot, ni-adaware ni CWSshedder n'en était venu à bout.

C'est bon, j'ai bien récupéré les versions à jour de CWShedder et de Hijackthis. Et je me suis rendu compte que j'avais 2 problèmes distincts : ce que Adaware détectait comme étant Coolwebsearch a été sans problème éliminé par CWShedder. Mais ma page de démarrage continuait de changer ( elle devenait systématiquement "res://jkgcr.dll/index.html#96676") et des pops-up s'ouvraien régulièrement pour me proposer d'acheter un anti-spyware Faire tourner spybot, adaware, CWShedder et hijackthis en mode sans échec ni changeait rien. Il semble en fait que j'avais récupéré un truc appellé about:blank, qui a apparemment posé pas mal de soucis à pas mal de monde. Mais heureusement il existe un petit programme qui couplé avec hijackthis arrive à le supprimer : il s'agit de about:buster que l'on peut télécharger à l'adresse suivante http://www.downloads.subratam.org/AboutBuster.zip Il existe un forum en anglais http://www.malwarebytes.biz qui est quasiment entièrement dédié à about:blank Je ne suis pas un spécialiste en informatique, mais j'ai pu apprécier les compétences de ceux qui circulent sur ce forums, je me dis donc que ça doit pouvoir les intéresser. En tout cas merci de m'avoir aidé.

Désolé si je vous fais perdre votre temps, mais je croyais réellement que ma version de hijackthis était à jour... je ne l'ai installé sur mon PC qu'il y a une petite semaine... Mais je ne me souviens pas bien quand je l'ai télécharger... Je réclame un peu de clémence, tout ceci est encore très confus pour moi Quant à CWSShedder, j'ai un message d'erreur qui me dit que le serveur est indisponible...( j'ai justement réessayer hier soir ) Pour Spybot et Adaware je suis sûr car j'ai utilisé les boutons dont tu parles ... ( je ne suis pas très doué mais quand même...) Je vais essayé tout ce que tu me proposes . Il y a un truc dont je suis sûr : O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe est à conserver car c'est indispensable pour la restauration du système de Windows Milenium ( c'est spybot qui le dit ). En tout cas merci pour votre aide,

J'ai essayé en mode sans échec...Sans résultats

Mes versions sont à jour. En fait, j'ai l'impression qu'un programme regénère le spyware. En effet, Adaware détecte coolwebsearch à chaque fois, mais le nom du .exe qui y est associé change à chaque fois ( un coup ça va être aaprd.exe, le coup d'après fghn.exe) Ca me donne vraiment l'impression d'être aléatoire. Donc le nettoyage avec spybot et adaware virent bien ce qui semble être le spyware, mais si je relance IE, je le retrouve et adaware redétecte alors un nouveau exe ( avec un nouveau nom...) Par Spybot, j'ai supprimé les programmes qui se mettaient en route au démarrage et qui me semblaient suspects. Par contre, je n'ai pas essayé en mode sans échec. Je fais ça ce soir ( là, je suis au boulot...oups ) En tout cas, merci de votre aide

J'ai oublié de le dire, mais j'ai aussi passé Spybot. En fait, après utilisation de Spybot, Adaware, CWShrdder et HijackThis, tout semble OK, mais il suffit que je relance IE pour que tout revienne ( je me demande même si ça ne revient pas même sans relancer IE )

Voilà un petit problème que je n'arrive pas à résoudre. J'ai un spyware ( qui change la page de démarrage et m'ouvre des pop-up ou me renvoie vers des moteurs de recherche) et je n'arrive pas à le supprimer. J'ai fait tourner AdAware qui identifie CoolwebSearch, mais CWShredder n'arrive pas à le virer ( en fait il revient constamment, même sans rebooter ). J'ai certains trucs pas catholiques avec HijackThis, mais je pense que je ne vais pas à fond ( faut dire que je suis pas très téméraire comme garçon et que j'ai un peu peur de faire une grosse bêtise Alors si quelqu'un veut bien m'aider, voilà le log de Hijackthis : Logfile of HijackThis v1.97.7 Scan saved at 18:43:22, on 14/07/2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAM FILES\WANADOO\CNXMON.EXE C:\PROGRAM FILES\MESSAGER WANADOO\STARTMESSAGER.EXE C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\MFCTJ32.EXE C:\WINDOWS\SYSTEM\SYSHH32.EXE C:\MES DOCUMENTS\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jkgcr.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jkgcr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jkgcr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\jkgcr.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 208.147.189.1:80 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (file missing) O2 - BHO: (no name) - {E7F1CA25-18BA-5AA2-86D0-F9E3A0C2CA0D} - C:\WINDOWS\SYSWY32.DLL O2 - BHO: (no name) - {66A66251-B04A-1EC7-8753-60550DA62F4F} - C:\WINDOWS\SYSTEM\TDPBIUQ.DLL (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [systemTray] SysTray.Exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe O4 - HKLM\..\Run: [MFCTJ32.EXE] C:\WINDOWS\MFCTJ32.EXE O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [sSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [sYSHH32.EXE] C:\WINDOWS\SYSTEM\SYSHH32.EXE O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_link.htm O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRAM FILES\FLASHGET\jc_all.htm O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Kangaroo (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Wanadoo (HKCU) O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200107...meInstaller.exe O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...38118.401099537 J'ai fixé les R1 ou les trucs type syshh32.exe, mais il s'en crée toujours de nouveaux Par avance merci