Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonsoir...

 

Depuis ce soir, ma page par défaut sur IE 6 est constamment changée (disons... toutes les 5 ou 10 minutes), et qui plus est, par moments, IE se lance (sans que je lui demande quoi que ce soit), pour donc afficher la page par défaut. Qui plus est, c'est un site... on va dire... *oh elle est jolie la fille mais y sont où ses vêtements ?*...

 

J'ai essayé Ad-Aware, a², Anti Trojan, CWShredder, SpyBot, HijackThis... Ca ne change rien...

 

Quelqu'un aurait pas une idée ?

Posté(e) (modifié)

Salut,

et bienvenu sur le forum,

 

tu as fais la totale sans résultat, y sont vicieux ces bho

 

bon faire un tour dans la base de registre, et commences par regarder les clés run

executer et tu tapes : regedit

 

tu cherches les programmes malveillants dans ces clés :

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

HKEY__USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_USER\S-1223-etc\Software\Microsoft\Windows\CurrentVersion\Run

HKEY__USER\S-1234-etc\Software\Microsoft\Windows\CurrentVersion\RunOnce

 

sinon, tu peux aussi regarder dans le dossier C:\Program Files\

verifies si tu ne trouves pas quelques dossiers suspects ?

Modifié par tesgaz
Posté(e)

Alors la base de registres n'a rien de suspect, juste CTFMON.exe qui apparait partout, d'après ce que j'ai pu lire c'est un fichier "normal"... enfin bon.

 

Le dossier Program Files est en ordre, rien de suspect depuis mon dernier passage.

 

J'ai téléchargé et installé PowerIE, même verrouillée la page par défaut change :P

Posté(e) (modifié)

tu as accés à tes options internet ?

 

je pense que ce programme est bien quelque part sur ton DD, donc faut tout reprendre à zero

 

as tu regardé les controles activex donnés par Spybot ?

envoies nous la liste de HijackThis quand Internet est en marche

Modifié par tesgaz
Posté(e)

Logfile of HijackThis v1.97.7

Scan saved at 23:38:30, on 02/02/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

G:\Logiciels\MySQL\bin\mysqld-nt.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\pctspk.exe

C:\WINDOWS\system32\msconfig.exe

G:\Logiciels\Abyss Web Server\abyssws.exe

C:\WINDOWS\system32\msconfig.exe

G:\Logiciels\MySQL\bin\winmysqladmin.exe

G:\Logiciels\WinRoute Pro\winroute.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

G:\Fichiers téléchargés\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blak

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\system32\msconfig.exe

O4 - HKCU\..\Run: [AbyssWebServer] G:\Logiciels\Abyss Web Server\abyssws.exe

O4 - HKCU\..\Run: [WrCtrl] "G:\Logiciels\WinRoute Pro\wrctrl.exe"

O4 - HKCU\..\Run: [msconfig] C:\WINDOWS\system32\msconfig.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: WinMySQLadmin.lnk = G:\Logiciels\MySQL\bin\winmysqladmin.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: ?????? - C:\WINDOWS\system32\openme.htm

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O12 - Plugin for .au: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr

O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2003120...all/xscan53.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera1.mairie-brest.fr/activex/Axi...sCamControl.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8019.3243865741

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{06B2A579-1BA8-4E85-909B-3C7833D108B7}: NameServer = 192.192.192.100

O17 - HKLM\System\CS1\Services\Tcpip\..\{06B2A579-1BA8-4E85-909B-3C7833D108B7}: NameServer = 192.192.192.100

Posté(e)

Bonsoir , tesgaz, bonsoir à tous,

 

Vire les fichiers inutiles :

- cookies

- TIF

- Temp

- corbeille

Recherche les fichiers *.hta, recopie les dans un dossier C:\_ASUPPR (en te souvenant de l'emplacement de chacun) et supprime les.

Posté(e)

bon, si on fait un tour deja y a de quoi virer

 

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: ?????? - C:\WINDOWS\system32\openme.htm

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

 

C:\WINDOWS\System32\pctspk.exe

 

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.31234.com/www/homepage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.fr

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...