search page aski51

[Invité tesgaz]

oui,

 

tu supprimes les lignes dans HT

 

et juste ceux qui sont dans C:\Windows\ car se n'est pas leurs places

[aski51]

ca y est c'est fait, par contre j'ai du supprimer les fichiers que tu m'avait indiques en mode ss echec, sinon je n'y arrivai pas!

 

voici le tt dernier rapport HT, j'espere que je n'ai rien oublie:

 

Logfile of HijackThis v1.97.7

Scan saved at 16:25:00, on 14/05/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\Program Files\USB Storage RW\shwicon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

c:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Axel\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis1977.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.yahoo.fr/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: Real.com (HKLM)

O9 - Extra button: MoneySide (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B11CC68-6EE1-4906-A923-121D3996F9B8}: NameServer = 130.244.127.161 130.244.127.169

 

dis moi ce que tu en penses.

 

au fait qd je lance Cool web, il me trouve tjrs la mm chose, mais j'ai beau le supprime, qd je relance coolweb le lendemain, il le retrouve qd meme!

je pense que ca vient du pb de la pagede demarrage non?

a+

[Invité tesgaz]

C'est normal,

 

l'intrus est toujours la

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

 

il faut aller suppprimer le fichier dans C:\Windows\system32\hkcmd.exe

 

verifier et le supprimer dans

C:\Windows\system32\DllCache\hkcmd.exe

[aski51]

tu crois que c'est hkcmd.exe qui recree en permanence un fichier dll qui relance ces pages de demarrage non voulus?

 

qd je clique sur les proprietes de ce fichier, il a ete cree sur mon disque le 02/01/2003, cad ya plus d'1 an, et je n'ai ce pb que depuis 1 mois!

tu crois que c'est ss risque pour le pc, si je le supprime?

 

"C:\Windows\system32\DllCache\hkcmd.exe ": je n'ai pas de fichier dllcache sur mon disque

merci pour ton aide precieuse!

a+

[Invité tesgaz]

non, ne le supprimes pas dans les dossiers, je viens de verifer, et il semble que c'est un programme de Intel

 

Application that implements the Intel Hotkey command.

Company: Intel Corporation

 

erreur de ma part

[aski51]

en tt cas pour l'instant, ma page de redemarrage est redevenue normale!

 

mais je reste assez sceptique qd mm, parceque depuis 1 mois que je suis sur le pb, qd j'arrive a retrouver une page ie normale, cette fichue page revient le lendemain...

 

donc j'attends demain pour crier victoire!

je vous tiens au courrant

merci pour ton aide

[aski51]

bon me revoila encore, ca n'aura pas tenu encore!

la page de demarrage "about:blank" est revenue....GRRR ca m'enerve!

 

j'ai refait un scan HT, voila le rapport:

Logfile of HijackThis v1.97.7

Scan saved at 17:53:28, on 15/05/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\Program Files\USB Storage RW\shwicon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Windows Media Player\wmplayer.exe

c:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\Axel\Local Settings\Temp\Répertoire temporaire 3 pour hijackthis1977.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.yahoo.fr/

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {557913D5-5FF7-4194-B9D3-BA7DC4E6E2CB} - C:\WINDOWS\System32\emg.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: Real.com (HKLM)

O9 - Extra button: MoneySide (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B11CC68-6EE1-4906-A923-121D3996F9B8}: NameServer = 130.244.127.161 130.244.127.169

 

 

un nouveau fichier dll a ete cree sous un autre nom!

je vois pas du tt comment je pourrai faire mour me debarasser de ce pb!

je crois avoir essayer plein de trucs, a chaque fois ca disparait une journee, et ca revient!

 

si qqn pouvait me donner qqes conseils ca serait super cool

a+

[Invité tesgaz]

salut,

 

tu as essayé la nouvelle version de Spybot ?

http://www.newdimension-fr.net/news/1180.html

 

bon, supprimes celle-ci en attendant

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\emg.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {557913D5-5FF7-4194-B9D3-BA7DC4E6E2CB} - C:\WINDOWS\System32\emg.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B11CC68-6EE1-4906-A923-121D3996F9B8}: NameServer = 130.244.127.161 130.244.127.169

[aski51]

salut,

 

tu as essayé la nouvelle version de Spybot ?

oui je l'ai essaye avant hier avec toi!

 

pour HT,,je vais les supprimer, mais a mon avis le pb reviendra le lendemain avec un nouveau fichier dll!

 

il doit y avoir un fichier ou un virus sur mon pc qui recree en permanence une dll qd j'en supprime une!

 

t'as deja entendu parler d'1 truc pareil?

 

bon j'efface ces lignes et je reviens

a+

[higgins]

Salut TLM,

j'ai lu le post en entier c'est la galère... est-ce-que par hazard, si tu efface ts comme te le dit tesgaz, que tu coupe ton acces internet, tu éteinds ton pc tu le ralume sans internet, tu travail 5 minutes, tu le ré-éteinds, et tu le ralume tjs sans internet, est ce que ton pb revient?

Précise si tu lance un programme particulier ou si tu surf quand ton problème revient?

 

dans ta liste tu as

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

 

ce n'est pas le meme programme???? pourquoi tu en as 2 ?????

 

@+

GOOD LUCK!

higgins