Comment eliminer lop.com et search the web?

[didier92]

Bonjour et à l'aide....

A chaque fois que je me connecte sur internet apparait une toolbar argentée et mes favoris sont associes à d'autres favoris du genre cool stuff ,casino etc.. De plus dans outils /bloqueur des fenêtres publiciatires/paramètre du bloqueur de fenêtres pub intempestives /dans site autorise : je retrouve le site de lop.com et de search the web2 .

J'ai suivi les conseils ( super ) j'ai nettoyé mon ordi avec ad aware spybot et norton j'ai supprimé les fichiers inetrnet temporaires . Rien n'y fait .J'ai enfin passé Hijack mai je ne suis pas un pro et j'ai du mal à savoir si certaines lignes sont pourries .......

Quelqu 'un de patient peut-il aider un nul........

 

Merci

[Invité tesgaz]

Salut,

 

télécharges ce fichier :

http://clement.reinier.free.fr/telechargem...w_uninstall.exe

 

tu cliques dessus, tu inscrit le N° demandé qui est inscrit au-dessus, et c'est tout

[didier92]

Salut,

 

télécharges ce fichier :

http://clement.reinier.free.fr/telechargem...w_uninstall.exe

 

tu cliques dessus, tu inscrit le N° demandé qui est inscrit au-dessus, et c'est tout

486631[/snapback]

 

Merci cela semble simple , je viens de le faire .J'ai enregistre le fichier mais il ne s'ouvre pas , zut...... c'est vraiment dur un nul

[gayboyfr]

Aaaaaaaaaaah, tesgaz : heureusement que tu es la !!!

[Invité tesgaz]

re,

 

je pense qu'il serait bien que tu mettes ton log d'hijackthis sur le forum afin de l'analyser et te donner les bonnes directives

 

car si tu n'arrives pas à exécuter ce fichier, à mon avis, il y a d'autre soucis

[didier92]

re,

 

je pense qu'il serait bien que tu mettes ton log d'hijackthis sur le forum afin de l'analyser et te donner les bonnes directives

 

car si tu n'arrives pas à exécuter ce fichier, à mon avis, il y a d'autre soucis

486642[/snapback]

 

Re REUH.......

Voici mon log

Logfile of HijackThis v1.99.1

Scan saved at 17:22:40, on 12/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\DSentry.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\fgaandv.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\SYSTEM32\tbctray.exe

C:\WINDOWS\system32\ctfmon.exe

c:\progra~1\intern~1\iexplore.exe

C:\Program Files\Digital Line Detect\DLG.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Wireless\Client Manager\CMAGS.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Intern~1\iexplore.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\didier\LOCALS~1\Temp\Rar$EX01.593\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jyxqiordlt.com/Krsx2BYY58FDO1NQ...y/noei2hfh.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uhexxsubfwh.com/Krsx2BYY58EuBth...dsIvhu9Yd3Y.jsp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://uyslqrfalmnuzbbvuxfoofq.info/x/FrXs...1XTBSKytOU.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {274B42D9-0A06-A191-29AD-0C55583DF839} - C:\DOCUME~1\didier\APPLIC~1\BIKELI~1\LOVE WMA.exe

O2 - BHO: (no name) - {7C88B77F-97D8-A5C9-7F94-17B39CE860F5} - C:\DOCUME~1\didier\APPLIC~1\BIKELI~1\LOVE WMA.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [fogpmnbortvmp] C:\WINDOWS\System32\fgaandv.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe

O4 - HKLM\..\Run: [stupid Real Noun Obj] C:\Documents and Settings\All Users\Application Data\Vcslowstupidreal\loadhole.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Flap wipe sect bike] C:\Documents and Settings\All Users\Application Data\AMEN ELSE FLAP WIPE\Dart Gram.exe

O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\SYSTEM32\tbctray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bin Flaw] C:\DOCUME~1\didier\APPLIC~1\ANTICR~2\bookgreat.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O4 - Global Startup: Wireless Client Manager.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {B8F2846E-CE36-11D0-AC83-00C04FD97575} (Lernout & Hauspie TruVoice American English TTS Engine) - http://activex.microsoft.com/activex/contr...nt2/tv_enua.exe

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/ac...ta/SymAData.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/ac.../ActiveData.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

Merci et bon courage

[chercheur]

Bonsoir didier92, Tesgaz , gayboyfr, bonsoir à tous

 

Je démarre une analyse de ton rapport, réponse dans quelques instants.

 

* Pendant ce temps, désinstalle Messenger Plus! 3 qui est un nid à spyware.

C'est en partie la cause de tes infections.

 

Une fois l'ordinateur propre, soit tu mets une autre version, soit tu réinstalle le même mais en n'oubliant pas de décocher la case Autoriser les sponsors.

 

 

* HijackThis doit être enregistré dans un répertoire dédié tel que

C:\HijackThis par exemple

et pas dans un dossier de fichiers temporaires.

Le ménage d'un ordinateur étant effectué régulièrement ( Fichiers Temp et autres ), tu perdrais les sauvegardes d'HijackThis qui sont là pour permettre un retour en arrière sur les modifications effectuées par HijackThis en cas de problème.

[chercheur]

Re,

 

1 Termine les processus suivants

Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->clique sur le processus--->terminer processus

 

fgaandv.exe

MsgPlus.exe

 

 

2 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

 

Messenger Plus! 3

180solutions

 

3 Relance un scan HijackThis et coche les lignes en gras ci-dessous :

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jyxqiordlt.com/Krsx2BYY58FDO1NQ...y/noei2hfh.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uhexxsubfwh.com/Krsx2BYY58EuBth...dsIvhu9Yd3Y.jsp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://uyslqrfalmnuzbbvuxfoofq.info/x/FrXs...1XTBSKytOU.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {274B42D9-0A06-A191-29AD-0C55583DF839} - C:\DOCUME~1\didier\APPLIC~1\BIKELI~1\LOVE WMA.exe

O2 - BHO: (no name) - {7C88B77F-97D8-A5C9-7F94-17B39CE860F5} - C:\DOCUME~1\didier\APPLIC~1\BIKELI~1\LOVE WMA.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [fogpmnbortvmp] C:\WINDOWS\System32\fgaandv.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [sais] c:\program files\180solutions\sais.exe

O4 - HKLM\..\Run: [stupid Real Noun Obj] C:\Documents and Settings\All Users\Application Data\Vcslowstupidreal\loadhole.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Flap wipe sect bike] C:\Documents and Settings\All Users\Application Data\AMEN ELSE FLAP WIPE\Dart Gram.exe

O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\SYSTEM32\tbctray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bin Flaw] C:\DOCUME~1\didier\APPLIC~1\ANTICR~2\bookgreat.exe

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O4 - Global Startup: Wireless Client Manager.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.dell.com/systemprofiler/SysPro.CAB

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab

O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_FR_XP.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab

O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/s...er/PROFILER.CAB

O16 - DPF: {B8F2846E-CE36-11D0-AC83-00C04FD97575} (Lernout & Hauspie TruVoice American English TTS Engine) - http://activex.microsoft.com/activex/contr...nt2/tv_enua.exe

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/ac...ta/SymAData.cab

O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/ac.../ActiveData.cab

 

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

 

4 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

 

Démarre l'ordinateur.

Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.

En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

 

5 Assure toi d'avoir accés à tous les fichiers.

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

 

C:\Documents and Settings\Didier\Application Data\BIKELI~1<-- Désolé, je ne peux pas être plus précis

C:\WINDOWS\System32\fgaandv.exe

C:\Program Files\Messenger Plus! 3 --> sauf si tu veux le réinstaller avec précautions

c:\program files\180solutions

C:\Documents and Settings\All Users\Application Data\Vcslowstupidreal

C:\Documents and Settings\All Users\Application Data\AMEN ELSE FLAP WIPE

C:\Documents and Settings\Didier\Application Data\ANTICR~2<-- Désolé, je ne peux pas être plus précis

 

 

7 Vas dans les fichiers Temp:

- C:\Windows\Temp

- C:\Documents and Settings\ton nom\Local Settings\Temp

- C:\Documents and Settings\autre nom\Local Settings\Temp

et supprime tout ce qu'il y a dedans

 

-Supprime tous les fichiers de Temporary Internet Files via

Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers .

-Supprime les Cookies .

 

-Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C:

coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers

 

-Vide la corbeille

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

 

8 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Modifié le 12 avril 2005 par chercheur

[didier92]

[Re,Re

Tout d'abord merci chercheur , tu mérite bien ton nom.Je dirai plutôt super chercheur.......

Sans vouloir abuser, je voudrai te demander 3 précisions dela part d'un nul.

1.Tu parle tout d'abord d'un répertoire dédié pour enregistrer hijack . Je l'ai enregistré dans mes documents , cela suffit-il ? ( désolé pour le niveau )

2.Comment redémarrer en mode sans échec ?

3. Pour aller dans les fichiers temp , par où est-il préferable de passer ?

 

 

Si tu avais la gentillesse de m'aider encore un peu cela serait superbe. L'informatique c'est pas évident........

Je vais m' y mettre demain soir après une bonne aspirine ....

Merci encore du temps que tu as bien voulu me consacrer

Didier

[chercheur]

Re,

 

1.Tu parle tout d'abord d'un répertoire dédié pour enregistrer hijack . Je l'ai enregistré dans mes documents , cela suffit-il ? ( désolé pour le niveau )

C:\DOCUME~1\didier\LOCALS~1\Temp\Rar$EX01.593\HijackThis.exe

Regarde bien, il est dans un fichier temporaire. Avec Winrar et Winzip, il est mis dans un fichier temporaire. Déplace le fichier comme conseillé au dessus.

 

 

2.Comment redémarrer en mode sans échec ?

Regarde mon point 4 au dessus

 

 

3. Pour aller dans les fichiers temp , par où est-il préferable de passer ?

Regardes le point 7. Tu suis les chemins que je t'indiques.

 

Pour aider, pas de problèmes, je suis là pour ça.

Si tu as encore des questions ou des précisions , n'hésites pas . Il vaut mieux demander, que de faire des bétises.