[résolu]Spyware gréffé sur disk dur

[pikocha]

Salut !!

 

Alors voila ... depuis qq jours je n'arrive pas à me défaire d'un spyware !!

Il m'a changé ma page d'accueil internet et des fenetres n'arretent pas de s'ouvrir kan je me connect me proposant des anti-spyware et ma page d'accueil se présentent sous la forme d'un moteur de recherche "my web search" et impossible de remetre une autre page d'accueil !!!

 

J'ai tout essayé pour le virer mais impossible ... g tenté spybot, spykiller et je viens d'essayer Hijackthis mais je n'y comprend pas grd chose ... voici la list des erreurs trouvées par Hijackthis sur mon PC :

 

Logfile of HijackThis v1.98.0

Scan saved at 19:08:35, on 03/07/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\VM_STI.EXE

C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\WINDOWS\System32\ozrmmz.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Greg\Bureau\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Greg\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Greg\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\Greg\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\Greg\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Greg\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\Greg\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {03022046-5809-4581-B68D-ADD48E5CDF73} - C:\WINDOWS\madopew.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [bootWarn] C:\Program Files\Norton SystemWorks\Norton AntiVirus\BootWarn.exe /a

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [xipzceul] C:\WINDOWS\System32\ozrmmz.exe

O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwe...etup1.0.0.6.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/WebInstall.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...323/mcfscan.cab

O18 - Filter: text/html - {252EF6BB-D3FB-422C-835C-9D571949292A} - C:\WINDOWS\madopew.dll

O18 - Filter: text/plain - {252EF6BB-D3FB-422C-835C-9D571949292A} - C:\WINDOWS\madopew.dll

O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - C:\Program Files\YAMAHA\MidRadio Player\midradio.ocx

 

Mais je n'ai aucune idée desquels il faut éliminer et je voudrais pas faire de betises !! Sinon kan les fenetres s'ouvrent une @ internet apparait :

 

l'@ est : c1dcon.dt8.biz et c vrai ke cela ne me dit pas grand chose !!!

 

Si vous pouviez trouver une solution à mon problème

 

En vous remerciant

[anonn1]

j'ai le meme probleme que toi depuis 2 jours , impossible de virer ce truc ,

se met en page d'acceuil sous" c:\searchpage.html#1525" ou "about blank" .

on espere...........

[castotwo]

Salut

 

Pour moi, votre pb ressemble plutot à un virus...

allez faire un tour de activescan et de secuser (2 antivurs gratuit en ligne)

 

en esperant pour vous que je me trompe

 

Ciao

[ipl_001]

Bonsoir pikocha, anonn1, castotwo, bonsoir à tous,

 

Avant de lancer HijackThis, il y a un certain nombre de choses à passer sans oublier de mettre les programmes parfaitement à jour !

 

- tu n'as pas nettoyé ton disque dur ! supprime les fichiers temporaires et tout ira déjà mieux !

- passe CWShredder

 

Parcours ce "Tutoriel d'interprétation des listes d'HijackThis" -> http://www.zebulon.fr/articles/HijackThis.php

 

Garde aussi un oeil sur cette discussion -> http://forum.zebulon.fr/index.php?showtopic=46335 !

[Sinus]

http://assiste.free.fr/p/frameset/06_37.php

Aucun spyware n'y résiste.

[ipl_001]

Bonsoir Sinus,

 

Tu fais référence à "La Manip" qui est une merveilleuse page mais surtout orientée Prévention or là, il s'agit d'Eradication, ce qui ne se traite pas tout à fait de la même manière !

[Sinus]

Dans la manip il est décrit le fonctionnement de spybot et son utilisation, donc ça aide pas mal pour l'erradiction.

[anonn1]

merci a vous de votre aide , le bidule est parti de mon PC grace a vous .

anonn1

[ipl_001]

Bonjour annon1, bonjour à tous,

merci a vous de votre aide , le bidule est parti de mon PC grace a vous .

anonn1

Je suis content que tu sois débarassé de la bête !

Pour nous aider à mieux répondre, pourrais-tu nous dire s'il te plait, ce qu'a été ta procédure et ce qui a été déterminant ?

[anonn1]

j'ai fais ça avec hijackthis , j'ai reconnu ce qui se rapportait a la page pirate "about blank" et "esearch" . et je l'ai supprimé / corrigé .

ça n'a pas marché du premier coup , j'ai recommencé la meme manip 4 fois et puis c'est parti pour de bon .

je ne saurai pas en dire plus .

merci et a+