ouverture Ie

[badrigon]

Lorsque je lance Internet explorer en adresse : about:blank, il m'affiche une page : Search for........ , qui reste muette.

J'ai essayer de changer les options de la page de démarrage mais rien n'y fait.

 

Norton Antivirus me trouve 2 fichier vulnérables :

 

Nom de fichier : msxmidi.exe

Chemin : C:\WINDOWS\msxmidi.exe

Nom de la menace : Adware.Websearch

Action : Logiciel publicitaire

et

Nom de fichier : msxmidi.exe

Chemin : C:\WINDOWS\system32\services\msxmidi.exe

Nom de la menace : Adware.Websearch

Action : Logiciel publicitaire

 

Il n'arrive pas à les supprimer.

 

Ad-aware ne trouve rien

 

Spybot trouve :

 

FlashTrack: Type library (BRed 1.0 Type Library) (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{E6C71E83-E02B-4BC4-958D-A9194916EC19}

 

FlashTrack: Browser helper object (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63CF97E8-4133-438a-A831-CC9C6D47D673}

 

FlashTrack: Class ID (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\CLSID\{63CF97E8-4133-438a-A831-CC9C6D47D673}

 

FlashTrack: Root class (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\BRedObj.BRedObj.1

 

FlashTrack: Root class (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\BRedObj.BRedObj

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

FileFreedom: Global settings (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\Software\Flt

 

WebDialer: Settings (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Internet Explorer\Main\HOMEOldSP

 

 

--- Spybot - Search && Destroy version: 1.3 ---

2004-05-12 Includes\Cookies.sbi

2004-05-12 Includes\Dialer.sbi

2004-05-12 Includes\Hijackers.sbi

2004-05-12 Includes\Keyloggers.sbi

2004-05-12 Includes\LSP.sbi

2004-05-12 Includes\Malware.sbi

2004-05-12 Includes\Revision.sbi

2004-05-12 Includes\Security.sbi

2004-05-12 Includes\Spybots.sbi

2004-05-12 Includes\Tracks.uti

2004-05-12 Includes\Trojans.sbi

 

 

Il dit qu'il corrige le problème, mais c'est inefficace.

 

J'ai scanné mes disques en ligne selon les conseils de Zébulon. Secuser.com m'a trouvé :

TROJ STARTPAGE.KF avec le chemin C:\Documents and Settings\All Users\Application Data\IEService\IEService.dll

TROJ STARTPAGE.KF avec le chemin C:\Program Files\Windows Media Player\wmplayer.exe.tmp

TROJ SMALL.KR avec le chemin C:\WINDOWS\system32\services\msxmidi.exe

TROJ SMALL.KR avec le chemin C:\WINDOWS\msxmidi.exe

que j'ai essayé de supprimer mais ils n'étaient pas cleanable.

 

Sur secuser.com, j'ai récupéré et installé l'utilitaire de désinfection a2free. Cela ne m'a pas permis de nettoyer mon ordi.

 

j'ai téléchargé HijackThis mais il n'a pas voulut s'installer me disant que j'avais MSVBVM60.DLL manquante.

 

J'ai essayé de faire plusieurs (6) restaurations de système différentes, mais impossible de revenir à une configuration antérieure.

 

Sur un coup de sang, j'ai désinstaller Ad-aware, Spybot, a2free et supprimé tous les fichiers restants, puis je suis allé me coucher. Ca fait du bien!

 

Ce matin, je r'attaque par le Tutoriel d'interprétation des listes d'HijackThis de Zébulon.fr. Je suis son conseil et commence par les manips de fin de page.

Je supprime tous les fichiers internet temporaires, les cookies et l'historique.

Je scanne avec norton et il ne me trouve plus rien d'infecté.

Je suis les recommandations du gestionnaire de taches de Zébulon

Je suis les recommandations de msconfig de Zébulon

Je suis les recommandations de Configurer les services de Zébulon

 

J'analyse avec norton et cette fois-ci il ne me trouve rien.

 

J'essaie de scanner mes disques avec l'antivirus en ligne Secuser.com, mais je ne peux pas sélectionner mes partitions, donc j'abandonne

 

Je réinstalle Spybot, mais lors des mises à jour, il me signale des erreurs de parité pour toutes les MaJ.

Je fais la vérification quand même et il me trouve

 

HuntBar: Search hook (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\{8952A998-1E7E-4716-B23D-3DBE03910972}

 

Alexa Related: What's related link (Remplacer le fichier, nothing done)

C:\WINDOWS\Web\related.htm

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DyFuCA: Global settings (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\Software\FCI

 

FileFreedom: Global settings (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\Software\Flt

 

FlashTrack: Type library (BRed 1.0 Type Library) (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{E6C71E83-E02B-4BC4-958D-A9194916EC19}

 

FlashTrack: Browser helper object (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63CF97E8-4133-438a-A831-CC9C6D47D673}

 

FlashTrack: Class ID (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\CLSID\{63CF97E8-4133-438a-A831-CC9C6D47D673}

 

FlashTrack: Root class (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\BRedObj.BRedObj.1

 

FlashTrack: Root class (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\BRedObj.BRedObj

 

WebDialer: Settings (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Internet Explorer\Main\HOMEOldSP

 

 

Je corrige les problèmes. Il me dit que c'est OK et je fais une vaccination.

Je me rends compte que j'ai oublié de désactiver la restauration système.

Je la désactive et je vérife avec spybot.

Il me trouve encore :

FlashTrack: Type library (BRed 1.0 Type Library) (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{E6C71E83-E02B-4BC4-958D-A9194916EC19}

 

FlashTrack: Browser helper object (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{63CF97E8-4133-438a-A831-CC9C6D47D673}

 

FlashTrack: Class ID (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\CLSID\{63CF97E8-4133-438a-A831-CC9C6D47D673}

 

FlashTrack: Root class (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\BRedObj.BRedObj.1

 

FlashTrack: Root class (Clé du registre, nothing done)

HKEY_CLASSES_ROOT\BRedObj.BRedObj

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

WebDialer: Settings (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Internet Explorer\Main\HOMEOldSP

 

 

Je corrige les problèmes, je vaccine et je redémarre l'ordinateur.

 

j'ai toujours perdu MSVBVM60.DLL

 

je réinstalle a2 et je scanne

Il ne trouve rien

 

je relance spybot et il me trouve encore

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

DSO Exploit: Data source object exploit (Modification du registre, nothing done)

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

 

WebDialer: Settings (Valeur du registre, nothing done)

HKEY_USERS\S-1-5-21-1004336348-343818398-839522115-1003\Software\Microsoft\Internet Explorer\Main\HOMEOldSP

 

Je corrige une nouvelle fois et une boite de dialogue me dit : Spybot has detected an important registry entry thas has been changed.

Category : Browser page

Change : value detected

Entry : homeOldSP

old data : about:blank

 

J'autorise la modification, puis je vaccine.

 

Je redémarre l'ordi et j'ai toujours la page Search for qui s'affiche lorsque je lance Internet explorer.

 

D'autre part, j'ai BTV.exe dans c:\programfiles

Avec regcleaner je l'ai supprimé de la liste de démarrage et des logiciels inscrits dans le registre.

J'ai supprimé également son répertoire de c:\programfiles.

Toutefois, à chaque redémarrage, spybot me signale son entrée dans la base de registre.

 

j'ai essayé la manip de ipl 001 à http://forum.zebulon.fr/index.php?showtopi...=0entry358116 mais je n'ai pas de dll indiquée en donnée de la valeur AppInit_DLLs - (Peut être que je m'y suis mal pris).

 

Quelqu'un connait une soluce pour nettoyer mon ordi et aussi récupéré la dll : MSVBVM60.DLL afin d'installer HijackThis?Désolé pour l'explication un peu longue de mon problème et du travail de réflexion qu'il entraine.

 

Merci d'avance.

[ipl_001]

Bonsoir badrigon, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zebulon !

 

Je n'ai lu ton message qu'en diagonale !... je vais y aller à petites doses !

 

Pour ce qui est du module MSVBVM60.DLL, HijackThis est écrit en Visualbasic et il te faut ce module !

Tu le trouveras là -> http://download.microsoft.com/download/vb6.../vbrun60sp5.exe

 

Lis cette page -> http://gerard.melone.free.fr/IT/IT-HJT.html pour t'aider à nettoyer ton système !

[badrigon]

Bonsoir à tous!

 

Merci de me répondre.

 

Je comprends que tu l'ai lu en diagonale. C'est une vraie prise de tête.

 

Je pars visiter les liens que tu me conseilles.

 

à +

[ipl_001]

Rebonsoir badrigon,

 

J'ai lu ton message un peu plus longuement (et j'ai mis des passages en gras) !

 

Es-tu sûr d'utiliser des versions parfaitement à jour de tes utilitaires ? Spybot en est à la v1.3, OK ? HijackThis en est à la 1.98.0, OK ?

 

As-tu utilisé CWShredder ? c'est lui qui peut te sauver !

[badrigon]

Pour continuer la prise de tête, voila le résultat du scan avec HijackThis

 

 

Logfile of HijackThis v1.97.7

Scan saved at 22:17:39, on 17/07/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\mgabg.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\Tablet.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\WINDOWS\System32\PDesk\PDesk.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\System32\host32.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\E-Color\Colorific\hgcctl95.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Program Files\Wacom\TabUserW.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Alert Bookmarks\alert.exe

L:\Telechargement\HijacknThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - (no file)

O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll

O2 - BHO: (no name) - {A86452A2-B5F7-4CE6-92BC-0C1D633B20EB} - C:\WINDOWS\System32\pjij.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MGA_CD_Install] I:\mgasetup.exe /No_Welcome /Lang:Français

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe

O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe

O4 - HKLM\..\Run: [breg] "C:\Program Files\Common Files\Java\breg.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\host32.exe internat.dll,LoadKeyboardProfile

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Colorific.lnk = C:\Program Files\E-Color\Colorific\hgcctl95.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe

O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: Chercher avec Copernic 2001 - C:\Program Files\Copernic 2001 Pro\Search Extension.htm

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O8 - Extra context menu item: Ouvrir avec GetRight - C:\Program Files\GetRight\GRbrowse.htm

O8 - Extra context menu item: SYSTRAN: &Effacer le cache de traduction - C:\Program Files\Systran\Premium\menuClearCache.html

O8 - Extra context menu item: SYSTRAN: &Options - C:\Program Files\Systran\Premium\menuConfigure.html

O8 - Extra context menu item: SYSTRAN: &Traduire - C:\Program Files\Systran\Premium\menuTranslate.html

O8 - Extra context menu item: SYSTRAN: En&registrement - C:\Program Files\Systran\Premium\menuRegister.html

O8 - Extra context menu item: SYSTRAN: Rechercher les &mises à jour - C:\Program Files\Systran\Premium\menuUpdate.html

O8 - Extra context menu item: SYSTRAN: Traduire les &cadres - C:\Program Files\Systran\Premium\menuTranslateAll.html

O8 - Extra context menu item: Télecharger avec GetRight - C:\Program Files\GetRight\GRdownload.htm

O9 - Extra 'Tools' menuitem: Lancer Copernic 2001 (HKLM)

O9 - Extra button: Copernic 2001 (HKLM)

O9 - Extra button: @sysiecom.dll,-2100 (HKLM)

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102 (HKLM)

O9 - Extra button: @sysiecom.dll,-2103 (HKLM)

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105 (HKLM)

O9 - Extra button: @sysiecom.dll,-2115 (HKLM)

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117 (HKLM)

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108 (HKLM)

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111 (HKLM)

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114 (HKLM)

O9 - Extra button: Traduire (HKLM)

O9 - Extra 'Tools' menuitem: &Traduire avec Gist-In-Time (HKLM)

O9 - Extra button: MoneySide (HKLM)

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/tools/activex/fpu.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0171129A-8C0E-4D06-A3BB-84D3F84BDB32}: NameServer = 130.244.127.161 130.244.127.169

O17 - HKLM\System\CS1\Services\Tcpip\..\{0171129A-8C0E-4D06-A3BB-84D3F84BDB32}: NameServer = 130.244.127.161 130.244.127.169

 

J'aimerai avoir des conseils pour savoir ce que je dois supprimer

[Laubean]

Etonnant que tu te retrouves avec un log aussi long si tu as vraiment passe les outils cites plkus haut..

 

pourle log, regarde en page d'accueil de Zebulon, il y a un tutorial.

[ipl_001]

Badrigon... ce n'est pas la dernière version de HijackThis !!! As-tu passé CWShredder ?

D'autre part, tu n'as pas XP ni IE à jour !

 

-----

 

As-tu bien nettoyé ton disque ? ta base de registres ?

Pourquoi y a-t-il des choses dans Temp ?

Je te rappelle qu'il y a des logiciels à passer avant HJT et en particulier CWShredder et que tous tes logiciels doivent être à jour. c'est très important pour ton cas car sp.html est la dernière trouvaille des pirates et un vrai cauchemar pour beaucoup de chercheurs !

Tu vas aussi essayer de passer Sphjfix.exe téléchargeable dans cette page -> http://www.trojaner-info.de/anleitungen/hi...bout_blank.html

 

 

 

Coche et "Fix Check" :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

 

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - (no file)

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

 

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB <- ceci est un cheval de Troie

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [breg] "C:\Program Files\Common Files\Java\breg.exe" <- BTV Dialer ( http://www.pestpatrol.com/PestInfo/b/btv_dialer.asp )

 

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe

 

A vérifier :

O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll

O2 - BHO: (no name) - {A86452A2-B5F7-4CE6-92BC-0C1D633B20EB} - C:\WINDOWS\System32\pjij.dll

O4 - HKLM\..\Run: [MGA_CD_Install] I:\mgasetup.exe /No_Welcome /Lang:Français

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/tools/activex/fpu.cab

[badrigon]

Norton AV 2004 mise à jour

 

Ad-aware était une version chargé il y a 2 ou 3 jours sur le net que j'ai désinstallé car je soupçonne que les virus sont venus de lui.

 

Spybot v1.3

 

HijackThis v1.97.7

 

a2free c'est a squared 2

 

je n'ai pas utilisé CWShredder car c'est tout en anglais et je me suis retrouvé comme une poule devant un couteau

 

je retourne voir CWShredder et essaie de comprendre comment ça marche

[badrigon]

Excuse-moi, mais je m'étais trompé dans les HijackThis, car j'avais chargé plusieurs versions.

 

Voila le log avec la dernière version :

 

Logfile of HijackThis v1.98.0

Scan saved at 22:52:47, on 17/07/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\mgabg.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\Tablet.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\GSICON.EXE

C:\WINDOWS\System32\dslagent.exe

C:\WINDOWS\System32\PDesk\PDesk.exe

C:\Program Files\Logitech\iTouch\iTouch.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe

C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\WINDOWS\System32\host32.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\E-Color\Colorific\hgcctl95.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

C:\Program Files\Wacom\TabUserW.exe

C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alert Bookmarks\alert.exe

C:\WINDOWS\explorer.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARTHUR~1\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {63CF97E8-4133-438a-A831-CC9C6D47D673} - (no file)

O2 - BHO: E.HH - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOCUME~1\ALLUSE~1\APPLIC~1\IESERV~1\IEService.dll

O2 - BHO: (no name) - {A86452A2-B5F7-4CE6-92BC-0C1D633B20EB} - C:\WINDOWS\System32\pjij.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MGA_CD_Install] I:\mgasetup.exe /No_Welcome /Lang:Français

O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE

O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [PCTVRemote] C:\Program Files\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe

O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe

O4 - HKLM\..\Run: [breg] "C:\Program Files\Common Files\Java\breg.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\host32.exe internat.dll,LoadKeyboardProfile

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Colorific.lnk = C:\Program Files\E-Color\Colorific\hgcctl95.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe

O4 - Global Startup: SonnReg.lnk = C:\Program Files\E-Color\Registration\SonnReg.exe

O4 - Global Startup: TabUserW.lnk = C:\Program Files\Wacom\TabUserW.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe

O8 - Extra context menu item: Chercher avec Copernic 2001 - C:\Program Files\Copernic 2001 Pro\Search Extension.htm

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O8 - Extra context menu item: Ouvrir avec GetRight - C:\Program Files\GetRight\GRbrowse.htm

O8 - Extra context menu item: SYSTRAN: &Effacer le cache de traduction - C:\Program Files\Systran\Premium\menuClearCache.html

O8 - Extra context menu item: SYSTRAN: &Options - C:\Program Files\Systran\Premium\menuConfigure.html

O8 - Extra context menu item: SYSTRAN: &Traduire - C:\Program Files\Systran\Premium\menuTranslate.html

O8 - Extra context menu item: SYSTRAN: En&registrement - C:\Program Files\Systran\Premium\menuRegister.html

O8 - Extra context menu item: SYSTRAN: Rechercher les &mises à jour - C:\Program Files\Systran\Premium\menuUpdate.html

O8 - Extra context menu item: SYSTRAN: Traduire les &cadres - C:\Program Files\Systran\Premium\menuTranslateAll.html

O8 - Extra context menu item: Télecharger avec GetRight - C:\Program Files\GetRight\GRdownload.htm

O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2001 Pro\Copernic.exe

O9 - Extra 'Tools' menuitem: Lancer Copernic 2001 - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2001 Pro\Copernic.exe

O9 - Extra button: Copernic 2001 - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2001 Pro\Copernic.exe

O9 - Extra button: @sysiecom.dll,-2100 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2102 - {703436F1-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslate.html

O9 - Extra button: @sysiecom.dll,-2103 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2105 - {703436F2-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuTranslateAll.html

O9 - Extra button: @sysiecom.dll,-2115 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2117 - {703436F3-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuConfigure.html

O9 - Extra button: (no name) - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2108 - {703436F4-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuClearCache.html

O9 - Extra button: (no name) - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2111 - {703436F5-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuRegister.html

O9 - Extra button: (no name) - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)

O9 - Extra 'Tools' menuitem: @sysiecom.dll,-2114 - {703436F6-3E1F-11d3-8F6B-00105A2A1D59} - C:\Program Files\Systran\Premium\MenuUpdates.html (file missing)

O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2001 Pro\Translate.htm

O9 - Extra 'Tools' menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2001 Pro\Translate.htm

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - (no file)

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/ms/x.chm::/load.exe

O16 - DPF: {6DB731A3-B074-4118-8B1C-32511C65D836} (FotovistaPhotoUploader.ctrFpu) - http://www.mypixmania.com/tools/activex/fpu.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O18 - Filter: text/html - {30737371-AD40-4D8A-BFC5-804A752A3A92} - C:\WINDOWS\System32\pjij.dll

O18 - Filter: text/plain - {30737371-AD40-4D8A-BFC5-804A752A3A92} - C:\WINDOWS\System32\pjij.dll

O21 - SSODL: System - {355BB029-AF48-43F0-A5A6-95E95F4AEBCA} - C:\WINDOWS\system32\system32.dll

 

Merci de ton attentin

[ipl_001]

Rebonsoir badrigon,

je n'ai pas utilisé CWShredder car c'est tout en anglais et je me suis retrouvé comme une poule devant un couteau

 

je retourne voir CWShredder et essaie de comprendre comment ça marche

Et moi qui te prenais pour un traducteur professionnel avec tous tes logiciels Systran !

CWShredder ne te demande quasiment rien, c'est une sorte d'antidote ! Tu cliques sur "Fix" en bas à droite (si je me souviens bien) !

 

Je répète :

XP et IE ne pas à jour : va faire une mise à jour http://windowsupdate.microsoft.com/ et çà va durer un bon moment !

tes lignes R0 et R1 font appel à des fichiers sp.html qui sont dans les répertoires Temp... ferme les fenêtres et va me vider tout çà !

En outre, sp.html et about:blank sont nettoyés par Sphjfix.exe et CWShredder

 

Fais çà et on verra après !