Salut
pour le backdoor installe ceci
et antitrojan a2free là
http://www.emsisoft.com/en/


si encore pbm alors ceci
Tu charges HijackThis là et enregistre le dans un répertoire spécifique:
HijackThis direct download: http://209.133.47.12/~merijn/files/HijackThis.exe
http://www.spywareinfo.com/~merijn/downloads.html
Ou là
http://www.spychecker.com/download/download_hijackthis.html
tu le lances et sauves le fichier log que tu copie/colle ici
ou bien tu le mets là
http://hijackthis.de/fr
et tu examines quels fichiers sont notés suspects : ceux en rouge tu peux faire cocher puis FIX sans problème, ceux en orange sont suspects tu dois vérifier avec google quel genre de pgm c’est : bon/mauvais
tu trouves là des explications sur le logiciel
http://forum.pcastuces.com/sujet.asp?SUJET_ID=69304&Page=1
et là http://www.zebulon.fr/articles/HijackThis.php

a+

Bonjour, J'ai exactement le même problème, et impossible de m'en débarrasser...
J'ai passé adaware, spybot, spywareblaster et un paquet d'antivirus en ligne+ le mien, personne ne trouve rien.
J'ai exécuté Hijackthis et contrôlé toutes les lignes, tout est OK sauf la ligne suivante :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

Mais quand je la "fixe", rien ne change.
J'ai essayé de modifier la ligne correspondante dans la base de registe, mais peine perdue, elle se remet toujours à http://www.hotoffers.info/179/, même topo en mode sans echec...
Et là, je n'ai plus d'idée !
Si quelqu'un pouvait m'aider, ce serait sympa !

Merci d'avance
Isa Quand je ne sais pas je demande à ceux qui savent...

Salut

telecharger cette utilitaire gratuit
http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Block­ers/CWShredder.shtml
tu arretes tes applis et tu te met en hors connection et tu scannes

si problem persiste colles nous ton log hijack pour voir ,,

Rien trouvé avec CWS...
Voici mon hijack :

Logfile of HijackThis v1.99.1
Scan saved at 15:45:38, on 11/03/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVAE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAM FILES\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ATI\ATIDESK\ATISCHED.EXE
C:\PROGRAM FILES\SPAMPAL\SPAMPAL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [JobHisInit] C:\Program Files\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Program Files\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - Startup: ATISched.lnk = C:\ATI\ATIDESK\atisched.exe
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = efpo1.dealer.iveco.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = efpo1.dealer.iveco.com,iveco.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.2.0.20,194.2.0.50


Merci d'avance !

Isa Quand je ne sais pas je demande à ceux qui savent...

Bonjour à tous


Ok avec Bernie 61, mais (sans préjuger de l'infection ou pas de ton système) le message que tu reçois ressemble à s'y méprendre aux conneries envoyées par de "faux" logiciels de désinfection (qui sont payants et qui infectent parfois...)
Vérifie que ton service "affichage des messages " est bien désactivé...

Ou puis je touver mon service "affichage des messages" (je suis en W98) ?
Quand je ne sais pas je demande à ceux qui savent...

Re

Vas voir la, cest bien expliqué
http://www.emsisoft.net/fr/kb/articles/tec021115/

Salut

relance ton pc et tapottes sur touche f5 ou f8 et demarrer en mode sans echec

puis tu fixe ses lignes

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = efpo1.dealer.iveco.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = efpo1.dealer.iveco.com,iveco.com

Le problème, c'est que je n'ai qu'un seul TCP/IP qui va avec ma carte réseau, et comme je suis en réseau, je ne peux pas désactiver les partages de fichiers et d'imprimantes... Quand je ne sais pas je demande à ceux qui savent...

Réponse à tufs :
Je dois vraiment fixer ces lignes là ? elles correspondent à mon reseau !
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = efpo1.dealer.iveco.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: SearchList = efpo1.dealer.iveco.com,iveco.com
pour ce qui est de la R0, j'ai déjà essayé en mode dans echec, et ça ne fait rien du tout ...

Réponse à Rumbacampus : c'est bon, j'ai ajouté TCP/iP carte d'accès à distance et oté le partage...
Mais ça n'a pas changé grand chose ...
Quand je ne sais pas je demande à ceux qui savent...

Re

Va voir là pour backdoor
http://securityresponse.symantec.com/avcenter/venc/data/back­door.trojan.html
Je crois que tu as A2Free?
Si oui, démarre en mode sans echec et lance ce programme.
(au fait, tu lance bien tous tes nettoyeurs en mode safe ?)
@+

Et oui, je lance en mode safe, mais malgré tout, cette saleté est toujours là....
C'est à s'arracher les cheveux...

B'jour

c'est cette url qui pose problème?
http$://www.hotoffers.info/179/

essaye/ hors connexion

1) dans le log hijack de supprimer cette url et de mettre un autre page neutre : style www.google.fr/

voir ici comment remettre un autre url dans un log
http://www.ordi-netfr.org/tutorialhijackthis.html

2) Options Internet
onglet Confidentialité/Sites Web/rentrer cette url (sans le $ et le http - bien sûr) http$://www.hotoffers.info/179/
la mettre en 'toujours bloquer"

ensuite Onglet Sécurité/Icône : clic/Sites sensibles/rentrer à nouveau l'url

onglet Général
Fichiers Temp../Paramètres/Afficher les Objets/vérifie clic droit/Propriétés/sur chaque objet qu'aucun ne soit en rapport avec ce site et supprime si....

Ensuite/vide ton cache/onglet Général : supprimer les cookies/supprimer les fichiers Temp/supprimer l'Historique


essaye de te connecter à nouveau pour voir




*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

Bonjour a tous les soucieux de cette M....
La solution qui pour moi a fonctionné est celle ci ...

Telecharger ce petit logiciel : KILLBOX
que l'on trouve ici ==>

http://www.forospyware.com/showpost.php?p=49&postcount=6228
( obligation d'enregistrement)
puis supprimer le " SYSTR.dll " ca doit etre celui qui relance même apres eradication la page www.Hottofer******
Cocher dans killbox la suppression après redemarrage, puis fixez dans HijackThis la ligne

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/179/

PB résolu de mon côté !!!

CF : le site ou se trouveKILLBOX est en espagnol j'ai expliqué ce qui a fonctionné poour moi mais ils preconise d'autre choses encore ... a vos dico !!!!