probleme page de demaarage

grey · le 19 août 2004

Bonjour a tous,

voila j ai un probleme avec internet explorer, a chaque demarrage il me met une page d accueil differentes que celle que j avais prédefinis.

J ai passe spybot, aluria's spyware elimilator, et CW shredder

ils m ont retiré un paquet de chose mais ce probleme persiste

apres avoir utiliser Hijack j ai vu certaine chose a éliminer mais a chaque redemarrage cela revient. J ai donc essayer en mode sans echec mais pareil

Donc je viens vers vous en esperant que vous ayez une reponse

voila le log Hijack

Logfile of HijackThis v1.97.7

Scan saved at 14:40:19, on 19/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\rundll32.exe

c:\progra~1\intern~1\iexplore.exe

c:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trxhnbjgrwdcpdeokjbxlzzw.com/UE...efg4r5kwGp0.cgi

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr8.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-fr8.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr8.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jsnudcoisynozieuuwf.com/UEpT_zw...ZQX4KXA4Md.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\eeo3ebhodtrj.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: License gpl poll - {A6419595-AEEC-6FDA-1003-DBAAE4376BB2} - C:\PROGRA~1\SPAMLI~1\Audio 1.dll (file missing)

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [skipref] C:\PROGRA~1\KEEPTH~1\scrholebib.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe

O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\System32\57744.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe

O4 - HKCU\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll

O4 - Startup: ASE Scheduler.lnk = C:\Program Files\Aluria Software\ASE\ASE Scheduler.exe

O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe

O4 - Global Startup: Image Transfer.lnk = ?

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O9 - Extra button: MoneySide (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC..._1014_FR_XP.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2B7DD6BA-9D75-40AF-AC6E-B4E0C33B5F87}: NameServer = 80.10.246.142 80.10.246.13

je me posait la question si il etait normal d avoir C:\WINDOWS\System32\wuauclt.exe en deux exemplaire, et surtout si sous xp (me semble avoir lu qlq part que c etait un process millenium)

Ensuite je supose que tt ce que j ai mis en bleu est a enlever mais malgres le fait de le faire en mode sans echec avec hijack cela revient a chaque fois

Merci d avance

greg2D · le 19 août 2004

Hello,

Si je ne me trompe pas cela est dû a la presence d'un virus,alors si c'est le cas un bon sacan et au cas ou cherche sur le web un log. nommé "stinger.exe" je crois et qui est spécifique dans l'erradiction de certain virus.

Je ne suis pas sûr a 100%.

higgins · le 19 août 2004

Salut, la dernière version de hijackthis est la 1.98 au passage.

va dans msconfig, onglet démarrage enlève tout ça,

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [skipref] C:\PROGRA~1\KEEPTH~1\scrholebib.exe

O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe

O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\System32\57744.exe

O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe

O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll

repasse un coup de adaware et Cie et hijackthis

puis tu remets

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [skipref] C:\PROGRA~1\KEEPTH~1\scrholebib.exe

que si tu sais ce que c'est.

voila déjà pour débuter

fait un scan en ligne également!

higgins

Edit: bien sur modifie ta page d'acueil et tes page de recherche

Modifié le 19 août 2004 par higgins

Connexion

Pas encore inscrit ?

probleme page de demaarage

Messages recommandés

grey

Lien vers le commentaire

Partager sur d’autres sites

greg2D

Lien vers le commentaire

Partager sur d’autres sites

higgins

Lien vers le commentaire

Partager sur d’autres sites

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer