Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]interprétaion d'un hijack


roland_v

Messages recommandés

Salut à tous.

 

J’ai un problème avec ma page de démarrage. Elle a été piratée et remplacée par Home search, un soi-disant moteur de recherche un peu louche. Je sais que certains ont posé des questions similaires sur les forums mais ça ne m’a pas vraiment éclairé.

J’ai téléchargé HijackThis et voila ce qu’il me donne au scan.

 

J’ai fixé tous les R0, R1, R2, R3.

Quand j’essaie de fixer O2 - BHO: (no name) - {F951E714-E5B7-E654-6008-4A7363F486C8} - C:\WINDOWS\system32\javamw32.dll , il y a un message comme quoi ça marche pas vraiment. Et je crois que le problème vient de ce fichier javanmw : il s’efface temporairement puis revient ( puis les fichiers R0, R1, R3 reviennent ) .

Que dois-je faire ?

 

Merci à ceux qui pourront m’aider.

 

PS : Je ne comprends pas grand-chose aux ordis, donc soyez simples, svp.

 

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\netin.exe

C:\Program Files\Apoint\Apoint.exe

C:\WINDOWS\System32\ICO.EXE

C:\Program Files\Netcom\Netcom.exe

C:\Program Files\Apoint\Apntex.exe

C:\WINDOWS\crqa.exe

C:\Program Files\SpyKiller\spykiller.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Documents and Settings\Xavier\Local Settings\Temp\Répertoire temporaire 17 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\djdhj.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://djdhj.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://djdhj.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\djdhj.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\djdhj.dll/sp.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://djdhj.dll/index.html#96676

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {F951E714-E5B7-E654-6008-4A7363F486C8} - C:\WINDOWS\system32\javamw32.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE

O4 - HKLM\..\Run: [iSP] C:\Program Files\Sony\ISPselector\ISPselector.exe /SCHEDULER

O4 - HKLM\..\Run: [Netcom] "C:\Program Files\Netcom\Netcom.exe"

O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~2\Cfgwiz.exe /R

O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [crqa.exe] C:\WINDOWS\crqa.exe

O4 - HKCU\..\Run: [spyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

alors il faut d'abord supprimer les programmes au demarrage avec l'outil Msconfig,

voir le sujet ici

http://www.zebulon.fr/articles/msconfig.php

 

et désacitver ces lignes :

C:\WINDOWS\system32\netin.exe

C:\WINDOWS\System32\ICO.EXE

C:\Program Files\Netcom\Netcom.exe

C:\WINDOWS\crqa.exe

 

ensuite demarrer en mode sans echec en tapant sur la touche F8 au boot de ta machine, et supprimer les fichier dans leur repertoire respectif

 

voila, ca devrait deja les supprimer

Lien vers le commentaire
Partager sur d’autres sites

Salut

J’ai essayé de faire ce que tu m’as dit. Pour netcom, ça a l’air réglé. Netin n’apparaît pas dans la liste. Crqa et ico reviennent sans arrêt.

 

Merci d’avance.

 

 

Logfile of HijackThis v1.98.0

Scan saved at 11:56:31, on 30/07/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\netin.exe

C:\WINDOWS\crqa.exe

C:\Documents and Settings\Xavier\Local Settings\Temp\Répertoire temporaire 19 pour hijackthis.zip\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jnelu.dll/sp.html#96676

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jnelu.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jnelu.dll/index.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jnelu.dll/sp.html#96676

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jnelu.dll/sp.html#96676

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jnelu.dll/index.html#96676

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {F951E714-E5B7-E654-6008-4A7363F486C8} - C:\WINDOWS\system32\javamw32.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [crqa.exe] C:\WINDOWS\crqa.exe

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Lien vers le commentaire
Partager sur d’autres sites

Es-tu sûr d'afficher les fichiers masqués ? ( dans panneau de configuration, option des dossiers puis affichage.)

C'est peut-être pour celà que tu ne vois pas netin.exe

Si tu ne vois vraiment pas netin.exe je te conseille de télécharger About:buster qui semble avoir fait ses preuves ( en tout cas pour moi ) :

http://www.downloads.subratam.org/AboutBuster.zip

 

 

Mieux vaut l'exécuter en mode sans échec et réaliser deux scans successifs.

Fait quand même un log avec Hijackthis après, pour montrer ce qu'il dit.

 

 

 

 

Bon courage

Lien vers le commentaire
Partager sur d’autres sites

J 'ai essayé les astuces d'Hellaumax, ça a pas eu trop l'air de marcher. J'ai essayé plein d'autres trucs qui n'ont pas trop eu l'air de marcher.

Mais toujours est-il que maintenant ça fonctionne. Ne me demandez pas pourquoi. J'ai beau rebooter mon PC, ce site de m... ne s'affiche plus.

Donc merci les gars, toutes vos astuces mises bout à bout ont dû finir par me débarrasser de ce spyware.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...