MSN en page de démarrage

[Belenos]

Bonjour,

 

J'ai parcouru le forum à la recherche de la bonne info, mais je ne suis pas serrein sur l'utilisation du HijackThis.

 

A chaque démarrage de IE, et même dans la base de registre, je me retrouve tout le temps avec

... osoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home comme valeur dans le Start Page du registre HKEY_LOCAL_MACHINE/software.../main

 

Voici mon log HijackThis:

 

Logfile of HijackThis v1.99.1

Scan saved at 14:39:42, on 06/09/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\WINNT\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

F:\logigiels\norton\navapsvc.exe

F:\logigiels\norton\IWP\NPFMntor.exe

C:\WINNT\System32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\WINNT\System32\snmp.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINNT\system32\ZONELABS\vsmon.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINNT\System32\msdtc.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\WINNT\system32\PwsTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\mqsvc.exe

F:\logigiels\Adobe\acrobat\Distillr\AcroTray.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINNT\System32\mdm.exe

C:\WINNT\system32\inetsrv\inetinfo.exe

C:\WINNT\regedit.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

C:\WINNT\system32\NOTEPAD.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - F:\logigiels\norton\NavShExt.dll

O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - F:\logigiels\norton\NavShExt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [PWSTray] PwsTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = F:\logigiels\Office\Office\OSA9.EXE

O4 - Global Startup: Acrobat Assistant.lnk = F:\logigiels\Adobe\acrobat\Distillr\AcroTray.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A7FCA1D0-3D8D-45B3-B56C-2811B36EF731}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{C237B29F-4929-4B64-B6E3-DD698444FBE5}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{FF8195DD-6870-41E7-A882-E20924B1E213}: NameServer = 192.168.1.1

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - F:\logigiels\norton\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - F:\logigiels\norton\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - F:\logigiels\norton\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

 

 

 

 

En gros, je ne sais pas trop quoi cocher, quoi fixer ?

 

Merci pour un coup de main.

 

Belenos

[Thanos]

salut Belenos et bienvenue sur le forum

 

Je ne comprends pas bien ton problème?? tu n'arrives pas à modifier ta page d'accueil dans les options d'IE?

Ceci => http://www.microsoft.com/isapi/redir.dll?p...&ar=msnhome est tout à fait normal dans la clé que tu cites([HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]), ca correspond à la page d'accueil par défaut dans IE.

Mis à part l'Adware-GameSpy visible sur ton pc, rien de méchant!

Pour t'en débarrasser (as tu scanné ton pc avec ton antivirus?tu ne reçois aucune alerte?) fais ceci =>

 

-Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Étape 1:

 

* Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_CLASSES_ROOT\GSDA.GSDACtl]
[-HKEY_CLASSES_ROOT\CLSID\{578D8287-FB03-466E-A404-DD772E6CBEAE}]
[-HKEY_CLASSES_ROOT\CLSID\{70BA88C8-DAE8-4CE9-92BB-979C4A75F53B}]
[-HKEY_LOCAL_MACHINE\Software\Classes\GSDA.GSDACtl]
[-HKEY_LOCAL_MACHINE\Software\Classes\GSDA.GSDACtl.1]
[-HKEY_LOCAL_MACHINE\Software\Classes\GSDA.GSDAProp]
[-HKEY_LOCAL_MACHINE\Software\Classes\GSDA.GSDAProp.1]

-Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

-Choisis "Enregistrer sous" et choisis "Bureau"

-Dans le champs "Nom du fichier" en bas de page donne le nom suivant:remove.reg

-Dans le champs"Type" en bas de page ,choisis: "tous les fichiers"

-ensuite clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

-quitte le Bloc Notes. ne clique pas sur le fichier maintenant!

 

=>Voici ce à quoi doit ressembler l'icone du fichier reg que tu viens de créer:

si ce n'est pas le cas,reprends les informations ci dessus et recommence!

 

Étape 2:

 

*Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".

Choisir le compte usuel (et non Administrateur).

 

en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" http://service1.symantec.com/support/inter...020905112131924

 

(n'ayant pas accès à Internet, tu as préalablement copié ces instructions dans un fichier texte)

 

Étape 3:

 

* Démarre Hijackthis"Do a system scan only", et coche les lignes suivantes :

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab

-Ferme tous les programmes et clique sur "Fix Checked"

 

Étape 4:

 

*Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

*Désenregistre la dll suivante comme ceci =>

 

Passe par démarrer=> Exécuter et dans le champs tu copie/colle l'instruction suivante=>

regsvr32 -u C:\WINDOWS\system32\gsda.dll

 

Tu devrais reçevoir un message te disant "DllRegisterServer ... succeeded"

 

*Supprime le fichier en gras dans C:\WINDOWS\System32:

 

C:\WINDOWS\System32\gsda.dll

 

* Double clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

* Vide la corbeille.

 

Étape 5:

 

* Lance ATF-Cleaner:Double-clique sur ATF-Cleaner.exe

 

-Coche la case suivante:"select all"

 

-Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

Étape 6:

 

Redémarre normalement et poste un rapport comme ceci stp =>

 

- Télécharge DiagHelp.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé DiagHelp

- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)

- Une fenêtre va s'ouvrir, choisis l'option 1

- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

 

et poste un nouveau rapport hijackthis après avoir renommé le fichier VERSION TRADUITE ORIGINALE.EXE (dans C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE )en Belenos.exe

 

@+

[Apollo]

Soir Belenos et mes respects Charly

 

Puis-je te demander pourquoi vous faites renommer ceci?

 

et poste un nouveau rapport hijackthis après avoir renommé le fichier VERSION TRADUITE ORIGINALE.EXE (dans C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE )en Belenos.exe

Merci d'aider ma curiosité et désolé pour l'invasion. (réponds en MP si tu veux)

 

Bonne nuit.

Modifié le 7 septembre 2006 par liegeois

[Thanos]

salut l'ami Liégeois

 

Non, tu fais bien de poser la question Les "créateurs" d'infections sont de petits malins et ils connaissent hijackthis aussi bien que nous! aussi le fait de renommer hijackthis permet dans certains cas de mettre à jour une infection qu'ils ont pris le soin de cacher au scan: regarde ce cas traité par Gof . Premier rapport , rien de spécial...second rapport après avoir renommé hijackthis , on voit apparaitre les lignes 02 et 20 => http://forum.zebulon.fr/index.php?showtopi...mp;#entry797111

 

@+

Modifié le 7 septembre 2006 par charles ingals