page d'accueil IE

cain · le 9 avril 2004

re, re :-(

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX__SpybotSDDisabled (file missing)

ne supprime pas celle ci c'est acrobat reader, je vais au lit la je vois plus rien et te dit des bétises

le 10 avril 2004

salut,

tu peux virer cela aussi :

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\SYSTEM\khooker.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)

O9 - Extra button: Copernic Agent (HKLM)

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04f219225980e9...RdxIE601_fr.cab

anatole · le 18 avril 2004

Bonsoir,

Avec retard je vous remercie pour toutes ces infos que je vais exploiter pour bien nettoyer mon ordinateur

Encore une fois merci bocoup :-(

joe shishido · le 22 avril 2004

je suis nouveau sur ce forum trés sympathique et utile.

j ai le meme probléme qu anatole.

je ne connais pas grand chose en informatique,j ai juste essayé de changer de domaine de registre mais en vain.

que dois je faire?utiliser les logiciels que vous avez recommandé....

voici la pge d accuiel en question

http://searchpage.cc/1507/

tout en bas de celle ci ils disent cliquer en cas de probleme,j ai cliqué mais je ne comprends pas les instructions

Modifié le 22 avril 2004 par joe shishido

le 22 avril 2004

Salut joe shishido,

et bienvenu sur zebulon,

alors ce trojan/virus se supprime avec Spybot apres avoir fait la mise a jour

spybot

http://www.safer-networking.org/index.php?lang=fr&page=news

pour le configurer :

http://clement.reinier.free.fr/modules.php...showpage&pid=24

en fait il créer 2 processus : winnet.exe et l'autre je crois que c'est common.exe

dans un dossier de C:\programs files\comon quelque chose\

une fois que tu as passé spybot, il faut passer hijackThis qui supprime les entrées dans la BDR

http://209.133.47.200/~merijn/files/HijackThis.exe

bon courage

() ce malware s'intalle avec Imech

joe shishido · le 22 avril 2004

merci à toi jéspére que je vais réussir et merci encore.

joe shishido · le 22 avril 2004

2 liens parmi les 3que tu m as donné me reconduise sur la page d accueil en question...

le 22 avril 2004

c'est l'inconvéniant de ce type de malware, faire en sorte que tu ne puisses pas réparer ton OS, la meilleure solution, c'est de récupérer ce type de programme par l'intermédiaire d'un copain qui n'a pas de soucis, ou éventuellement avec des bouquins que tu peux trouver chez ton marchand de journeaux favori ( CDUtilities, etc..)

joe shishido · le 22 avril 2004

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\autoupdt.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\WINDOWS\System32\LVCOMS.EXE

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

C:\Documents and Settings\lannuzel\Application Data\usis.exe

C:\WINDOWS\System32\wcpsvit.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\eMule\Incoming\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://nkvd.us/1507/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://nkvd.us/1507/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://nkvd.us/1507/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://nkvd.us/1507/

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://nkvd.us/1507/

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\WINDOWS\winqe\winqe32.dll

O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\msbn\mssearch.dll

O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\winqe\msiesh.dll

O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\System32\mshelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVCOMS.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Olitec\USB ADSL\CnxDslTb.exe

O4 - HKLM\..\Run: [NsUpdate] C:\WINDOWS\NsUpdate.exe UPDATE

O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE

O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [image] rundll32 C:\WINDOWS\image.dll,Install

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [skwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe

O4 - HKCU\..\Run: [Rwtp] C:\Documents and Settings\lannuzel\Application Data\usis.exe

O4 - HKCU\..\Run: [WINT] C:\WINDOWS\System32\wcpsvit.exe

O4 - HKCU\..\RunServices: [image] rundll32 C:\WINDOWS\image.dll,Install

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O13 - DefaultPrefix: http://www.nkvd.us/1507/

O13 - WWW Prefix: http://www.nkvd.us/1507/

O13 - Home Prefix: http://www.nkvd.us/1507/

O13 - Mosaic Prefix: http://www.nkvd.us/1507/

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\scdfexlx.exe

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200305...meInstaller.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033...all/xscan53.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O16 - DPF: {E4DF3688-8FE4-4715-B430-AC0FA547C696} - http://barremagique.tiscali.fr/download/Ti...arreMagique.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{667D14F8-B345-4B33-A3FC-027DCB313BB1}: NameServer = 213.36.80.1 213.36.80.1

j ai scanne avec hijackthis,voici ce qu il a trouvé,

que dois je faire aprés

le 22 avril 2004

alors,

ceux là , faut les virer :

C:\Documents and Settings\lannuzel\Application Data\usis.exe

C:\WINDOWS\System32\wcpsvit.exe

C:\WINDOWS\System32\LVCOMS.EXE

ceux la ne servent a rien au démarrage :

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\CTHELPER.EXE

et pour le reste comme tu es polué par ce virus/trojan :

il faut que tu démarres en mode sans echec pour eradiqué les process et les clés de ta base de registre