Méchants :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)

O13 - DefaultPrefix:http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E­%6E%65%74/?my=
O13 - WWW Prefix:http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%­74/?my=

Effacer immédiatement !

Salut cabanel

Est ce que tu peux faire une vérification dans ton registre ?
demarrer>executer tape regedit
deploie [+]
HKEY_LOCAL_MACHINE\
SOFTWARE
Microsoft
Windows NT
CurrentVersion
deploie Image File Execution Options
et dis moi si un dossier explorer.exe et présent.

merci

a+

Salut

Quand tu deploie la clé , il se peut qu'il y ai 2 dossiers windows NT
il faut regarder dans le 1er .
normalement la clé Image File Execution Options doit exister.

a+

C'est normal, quand tu ouvre le registre, il se met automatiquement sur la derniere clé que tu as visité.
clic sur le signe + a gauche de windows NT pour le refermer et regarde juste un peu plus haut si tu vois un autre dossier windows NT

Bon, tu peux reposter un log hijackthis, stp ?

Il se fait tard, a demain pour la suite

a+

J'espère que ça t'aidera. Merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 23:37:28, on 06/04/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OutClock\OutClock.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\TELECHARGEMENTS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/net@tous
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://registration.planetis.com/scripts/selectmode.exe?kit=1&sn=1IQOmx0y7AkO8yp/Z7gndQ%3D%3D&lastname=Ws9MkYFP72E%3D&firstname=ojnCb5fgP9E%3D&address=pE1urf/E9RDnitctDzD5Jg%3D%3D&zip=1mqp/N2ugb0%3D&city=mKz3Sc8mvJ0%3D&areacode=&phone=&email=&online=0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Va sur ce site j'ai télécharger ce logiciel il ma supprimer le meme probleme que toi. Il est rapide et efficace

http://perso.wanadoo.fr/dynamiteboy/spratek/survivor.htm

Salut cabanel

En espérant que ce soit suffisant

-> Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

-> désactive la restauration systéme
Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".

Puis:
- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC (apres l'ecran du bios)

---------------------------------------------


� Lance hijackthis et Fixe:
(cocher au début de chaques lignes valider avec fix checked)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.planetis.com/net@tous
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://registration.planetis.com/scripts/selectmode.exe?kit=1&sn=1IQOmx0y7AkO8yp/Z7gndQ%3D%3D&lastname=Ws9MkYFP72E%3D&firstname=ojnCb5fgP9E%3D&address=pE1urf/E9RDnitctDzD5Jg%3D%3D&zip=1mqp/N2ugb0%3D&city=mKz3Sc8mvJ0%3D&areacode=&phone=&email=&online=0

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Program Files\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain

O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab

� Rechercher et supprimer si présent:

C:\WINDOWS\System32\twink64.exe
cdaEngine0400.dll<= partout ou tu le trouvera
C:\Program Files\WildTangent<= tout le dossier


Ensuite:

Fais un nettoyage des fichiers temps...etc avec ce programme:
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

ou manuellement:

Supprimer tout les fichiers à l'intérieur des dossiers suivants:

* C:\Temp
* C:\Windows\Temp
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* C:\Documents and Settings\tous les utilisateurs\Local Settings\Temp
* C:\Documents and Settings\tous les utilisateurs \Cookies
* Vider la corbeille !

Nettoyage du disque:
Démarrer > Tous les programmes > accessoires > outils système > nettoyage du disque
cocher:
- fichiers et programmes téléchargés
- fichiers internet temporaires
- corbeille
- fichier temporaires
valider ok

-----------------------------

Profite d'être en mode sans echecs pour lancer le scan de ad-aware, spybot, antivirus... et supprime tout ce qu'ils trouvent.

Redemarre normalement et reposte un log hijack pour vérifier l'évolution

Si tu as trouvé, le dossier explorer.exe dans le regitre(en suivant le chemin indiqué) ca change tout !

Reviens dans le registre jusqu'au dossier explorer en question.
tu te met dessus(clic) et tu me dis ce que tu vois dans la fenetre de droite.
Normalement tu devrais voir le chemin d'un fichier.

on approche du but !

a+

(par défaut) REG_SZ valeur non défini
Debugger REG_SZ C:\WINDOWS\SYSTEM32\kb32.exe

Voici les deux fichiers existants sur explorer exe

à +

Kb32.exe c'est le responsable.

Voilà la manip à faire pour virer cette mer**.
Fais bien toutes les étapes une par une, c'est important.

- 1 -

Faut d'abord faire une sauvegarde de la clé en question, en cas de fausse manoeuvre.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\explorer.exe
fais un clic droit sur le dossier explorer.exe puis clic sur exporter
donne un nom à la sauvegarde et enregistre ou tu veux.

- 2 -

redemarre en mode sans echecs

- 3 -

rend toi sur cette clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\deploie Image File Execution Options
et supprime le dossier explorer.exe situé en dessous.
(clic droit dessus puis clic sur supprimer)

- 4 -

redemarre encore en mode sans echecs:

rend visible les fichiers cachés et systemes
et supprime:

C:\WINDOWS\System32\kb32.exe
C:\WINDOWS\Prefetch<= vide tout le contenu sauf layout.ini

puis lance hijackthis et fixe:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)

O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6E%6B%73%2E%6E%65%74/?my=

Redemarre normalement, et relance hijackthis, peut etre qu'une lignes ou 2 seront à refixer.

Ensuite, important:

clic droit sur poste de travail> Propriétés > clic sur matériel puis sur gestionnaire des périfériques

clic sur affichage, et coche "afficher les périfériques cachés"
recherche "Pilotes non plug-and-play"
Déploie (+)
et recherche cette entrée exacte: msdirectx
et dit moi si elle est présente.

ensuite reposte un log hijack.

C'est nickel !

le périférique msdirectx est utiliser par le hijacker pour se régenérer en cas de suppression.
Donc, c'est vraiment important de le désactiver puis de le désinstaller.

clic droit sur poste de travail> Propriétés > clic sur matériel puis sur gestionnaire des périfériques

clic sur affichage, et coche "afficher les périfériques cachés"
recherche "Pilotes non plug-and-play"
Déploie (+)
et recherche cette entrée exacte: msdirectx
clic droit dessus
clic sur désactiver
encore un clic droit dessus puis clic sur désinstaller.

Si tu n'avais pas reactivé la restau systeme, tu peux la reactiver, sinon tu la desactive puis tu la reactive pour supprimer les points de sauvegardes qui aurait pu etres infectés.( pas pratique de retrouver cette saleté au cas ou tu ai besoin de faire une restau systeme).

Voilà

a+

Pour la sauvegarde, gardes la au chaud quelque part.
Et si apres plusieurs redemarrages ou 2/3 jours tout tourne normalement, tu supprime.

Vraiment content que tu ai pu t'en debarrasser.
Pour toi il n' aura fallut que 21 posts pour en venir à bout, mais pour une autre personne qui avait le meme prob que toi il a fallut 171 posts et autant de recherche sur le net pour trouver la manip !!
une fois qu'on connait l'astuce, ca va tout seul..

à bientot, pas trop rapidement j'espere ;-)

a+ et bon surf