Bonjour, J'ai un problème avec Internet Explorer, ma page "About:blank" est remplacée par une page pourrie de recherche en Anglais. J'ai modifié les données dans la base de registre en remplaçant / supprimant les données des lignes "search" mais rien n'y fait, dès qu'on relance Internet Explorer, les lignes de la base de registre reviennent à la valeur "res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%65%6c%70%2e%64%6c%6c/" Ca commence à me péter sérieusement les tuuuuuuuuuuuut :-) Quelqu'un connaît-il se ce genre de pépin ? Comment modifier sous Windaube XP le contenu de cette fameuse page "ABOUT BLANK" ? Merci par avance à tous ceux qui voudront bien me porter secours A+ Olive33

Ayé j'ai trouvé ! J'ai d'abord utilisé le prog HijackThis pour virer les trucs inutiles de mon ordi et j'ai trouvé le fichier qui fout la merde il s'appelle elp.dll et se trouve dans c:\windows\system32 Impossible de le virer sous Windaube mais en passant en ligne de commande (c'est à dire en fenêtre MS DOS), on arrive à le virer en tapant "del elp.dll" J'ai retrouvé mon about:blank initial ! A+ Olive33

Page de demarrage...

Réponse 61 / 164

mike
19 juin 2004 à 17:44

S'il vous plait y'aurait-il queq'un pour m'aider...

J'ai essayer de faire la manip (windows 98) mais je ne trouve pas HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS.
En effet, sous WindowsNT\CurrentVersion je n'ai que les répertoires drivers.desc et driver32.
Qu'est ce que je doit faire svp?

Réponse 62 / 164

bibidesbois66 Messages postés 4 Date d'inscription samedi 19 juin 2004 Statut Membre Dernière intervention 23 juin 2004
19 juin 2004 à 17:49

Salut tout le monde, voilà j'ai aussi reçu ce spyware ou hijack peu importe le nom il y a 3 semaines( ou la page de démarage est about:blank). J'ai téléchargeé ad adware et spybot il a trouvé queqlues spywares mais pas celui -ci. j'ai lu la solution pour l'enlever et j'avoue n'avoir pas compris comment utiliser startuprun.exe.
Est-ce que c'est un programme à téléchargé???
Est un programme installer sur l'ordinateur d'origine???
j'ai essayer de taper "startuprun.exe" dans la commande exécuter mais cela ne fonctionne pas,il me et un message d'erreur me disant qu'il ne trouve pas ce programme.
N'y a t-il pas une solution plus simple pour enlever cette saloperie.
Voilà merci . répondez moi vite svp

kea
20 juin 2004 à 01:56

regarde le message 20

Réponse 63 / 164

bibidesbois66 Messages postés 4 Date d'inscription samedi 19 juin 2004 Statut Membre Dernière intervention 23 juin 2004
19 juin 2004 à 17:54

ah oui j'oubliais j'ai windows xp familiale

Réponse 64 / 164

Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004
19 juin 2004 à 19:53

Bonjour Kea,

J’ai fait toutes les recommandations que tu as expliqué dans le message 6 étant donné que je suis sous XP.

J’ai appliqué le point 3 de ton message en lançant staruprun.exe. Je n’ai rien trouvé d’anormal. Toutefois je précise que je n’ai pas un œil d’expert. Ainsi, je ne peu pas aller dans le regedit.exe pour trouver le fichier
Sinon, j’ai lancé Registrar lite.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\\AppInit_DLLs
En cliquant droit sur AppInit_DLLs j’avais msjcpn.dll qui s’affichait en value. Par contre je ne l’ai pas retrouvé dans le regedit.exe.
J’ai essayé par d:\i386\winnt32.exe/cmdcons pour le retrouver et le cmdcons se semble pas etre sur mon cd.
Par contre, j’ai effectué les opérations 5 et la manip fonctionnant sur win xp et 2000.

Opération 5 j’ai modifié des trucs mais sans grande conviction du fait que je ne sais pas si c’est bon.(n’hésites pas à me recommander des modifs) :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
En start page j’ai mis hotmail.com
Search Bar j’ai rien mis
Search Page j’ai rien mis

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
J’ai mis google.fr à search assistant
Pas moyen de virer la ligne « par défaut ».

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
En start page j’ai mis hotmail.com
Search Bar j’ai rien mis
Search Page j’ai mis google.fr
Local page j’ai rien mis

Une fois la dernière opération effectué pour win XP et 2000, j’ai voulu remodifier l’opération 5. Il me dit qu’il y a erreur. Ca semble impossible.

Ainsi, s’il y a des modifs à faire, surtout communiques moi comment les faire car je ne suis vraiment pas une brute en informatique.

Enfin depuis que j’ai appliqué ton message 6, je ne semble plus avoir de problème.

Tu peu me contacter par msn : herboss@hotmail.com

Par avance merci pour tes précieux conseils. Surtout n’hésites pas à me demander plus amples informations. Herspear

kea
20 juin 2004 à 01:54

avec reglite deja pour bien faire efface la valeur de AppInit_DLLs : msjcpn.dll
puis supprime la dll msjcpn.dll de c:\windows\system32
en mode console
puis fais un nettoyage avec un antispy hijack this adawre ou autre
et remet tes page comme il faut

Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004 > kea
20 juin 2004 à 15:52

Bonjour Kea,

Merci de m’avoir répondu. Ton aide m’est précieuse en ces temps difficile.

Je crois que je viens de faire un boulette car en passant par la console, j’ai viré ce fichier msjcpn.dll. Maintenant le notepad ne se lance plus. Je pense qu’il est effacé de ma bécanne.

Pourrais tu me dire comment le réinstaller sans avoir à réinstaller tout window XP car il n’est pas dans les options d’installation.

Par contre, j’ai utiliser les différents logiciels qui vont peut être te permettre d’y voir un peu plus clair. En voici les résultats :

Dans HijackThis lorsque je sélectionne config en bas à droite, voici ce que je peu lire :

Default start page : about:blank
Default search page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default search assistant : http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Default search customize : http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

Est ce normal?

Voici le log de HijackThis :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\moi\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0DC41AD3-A624-48AD-9610-EB2F1B6F7CF7} - (no file)
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c0bc89769a659b8401/netzip/RdxIE601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37955.2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4

Dis moi ce que tu en penses s’il te plait.

J’ai refait un coup de cwshredder à la fin. Il me signale que mon sythème est clean.

Par contre voici un coup de staruprun :

VTTimer HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
CTSysVol HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
CTDVDDet HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
CTHelper HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
AsioReg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SBDrvDet HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
UpdReg HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MMTray HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MMTray2K HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MMTrayLSI HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
QuickTime Task HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TiscaliParam HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
AdaptecDirectCD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
KernelFaultCheck HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
nwiz HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ATIPTA HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TkBellExe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ccApp HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
RemoteCenter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
NvMediaCenter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
UltraDVDMon HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
GStartup "C:\Program Files\Fichiers communs\GMT\GMT.exe" /startup C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Microsoft Office C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
AcroIEHlprObj Class
WsftpBrowserHelper Class C:\Program Files\WS_FTP Pro\wsbho2k0.dll
CNavExtBho Class C:\Program Files\Norton AntiVirus\NavShExt.dll

N’hésites pas à me dire si il y a des choses en trop ou autre problème.

Par contre, tu ne m’as pas répondu concernant les URL que j’avais mis ou pas à partir de regedit?

J’attends de tes nouvelles avec impatience. Je suis sous msn : herboss@hotmail.com pour discuter ou faire manip en direct si tu le souhaites.

Par avance merci encore. Herspear

PS : mainteant quand je démarre le pc il me demande de sélectionner le mode console ou pas. Y a t-il moyen de retrouver le même lancement qu’avant ?

Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004 > kea
20 juin 2004 à 19:58

Bonsoir Kea,

Je ne sais pas si tu as vu mon message 176 où je te pose quelques questions.

Te serait -il possible d'y jetter un coup d'oeil.

Par avance merci. Herspear

Réponse 65 / 164

steak
20 juin 2004 à 08:36

salut !
j'ai eu ce fameux probleme aussi sous xp , mais je l'ai résolu !
mais apparament , il reste des traces .
mon pc est très long au chargement , et le popup ( only the best ) de la page de démarrage ( home search ) apparait toujours quand je vais sur internet
si quelqu'un pouvait m'aider a résoudre tout ça...
merci par avance !!!
bonne journée !

Réponse 66 / 164

ovomaltine Messages postés 12 Date d'inscription mercredi 17 septembre 2003 Statut Membre Dernière intervention 19 septembre 2004
20 juin 2004 à 12:21

Bonjour,

je n'ai pas trouvé startuprun.exe sur nirsoft.com , comment le
trouver.Sinon j'ai windows 2000 professionnal est-ce ces manips
(message 6 de kea marche).Sinon l'accés par regedit32.exe ne
marche pas avec win 2000 pro mais marche avec regedit.exe
et sinon j'arrive pas à faire apparaître la fenêtre autorisation
lorsque je clique sur main dans "se rendre sur la première clé
main ...." (dixit kea).Dans 5/ 1) en + de start page search page et
search bar j'ai local page donc je suppose qu'il faut aussi renommer par l'url de mon choix.Merci de répondre , ce sera tout pour le moment.

Réponse 67 / 164

mike
20 juin 2004 à 13:59

Salut Kea.

Comme je l'ai deja signaler je n'ai que drivers.desc et driver32 dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.

Et voici ce que j'obtient avec startuprun:

ATIPOLAB Registry -> Machine RunServices ati2evxx.exe No ATI External Event Utility for WindowsNT and Windows9X 4.12.4000 ATI External Event Utility EXE Module ATI Technologies Inc. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
AtiPTA Registry -> Machine Run Atiptaxx.exe No ATI Desktop Component 4.12.2457 ATI Task Icon ATI Technologies, Inc. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Barre d'Outils Olitec Startup Folder -> User C:\OLIFAXVX\TOOLBAR.EXE No OLITEC ToolBar 1, 0, 0, 4 ToolBar OLITEC C:\WINDOWS\Menu Démarrer\Programmes\Démarrage
DSB Registry -> Machine Run C:\Program Files\DSB\DSB.exe No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
ICQ Lite Registry -> User RunOnce C:\PROGRAM FILES\ICQLITE\ICQLITE.EXE -trayboot No ICQLite 555 ICQLite ICQ Ltd. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
IeCatch2 Class Browser Helper Objects C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL No jccatch Module 1, 1, 4, 0 jccatch Module Amaze Soft
LoadPowerProfile Registry -> Machine Run Rundll32.exe powrprof.dll,LoadCurrentPwrScheme No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
LoadPowerProfile Registry -> Machine RunServices Rundll32.exe powrprof.dll,LoadCurrentPwrScheme No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
LoadQM Registry -> Machine Run loadqm.exe No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft IntelliType Pro Registry -> Machine Run "C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe" No Microsoft IntelliType Pro 1.00.245 MS IntelliType Pro Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Office Startup Folder -> User "C:\Program Files\Microsoft Office\Office\OSA9.EXE" -b -l No Microsoft Office 2000 9.0.2617 Microsoft Office 2000 component Microsoft Corporation C:\WINDOWS\Menu Démarrer\Programmes\Démarrage
Moniteur Fax-Voix Startup Folder -> User C:\OLIFAXVX\MONITEUR.EXE No C:\WINDOWS\Menu Démarrer\Programmes\Démarrage
MSStartOptimizer Registry -> Machine Run C:\WINDOWS\SYSTEM\SCVHOST.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MSStartOptimizer Registry -> Machine RunServices C:\WINDOWS\SYSTEM\SCVHOST.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Rappels du Calendrier Microsoft Works Startup Folder -> User C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe No Microsoft® Works 2000 5.00.2004.0 Microsoft® Works Calendar Reminder Service Microsoft® Corporation C:\WINDOWS\Menu Démarrer\Programmes\Démarrage
RegCompres Registry -> Machine Run C:\WINDOWS\SYSTEM\REGCPM32.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
RegCompres Registry -> Machine RunServices C:\WINDOWS\SYSTEM\REGCPM32.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
ScanRegistry Registry -> Machine Run C:\WINDOWS\scanregw.exe /autorun No Système d'exploitation Microsoft(R) Windows(R) 4.10.1998 Vérification du Registre Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SCardSvr Registry -> Machine RunServices C:\WINDOWS\SYSTEM\SCardSvr.exe No Microsoft(R) Windows NT(R) Operating System 5.00.1708.1 Smart Card Resource Management Server Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
SchedulingAgent Registry -> Machine RunServices mstask.exe No Planificateur de tâches Microsoft® Windows® 4.71.1972.1 Moteur du Planificateur de tâches Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
StillImageMonitor Registry -> Machine Run C:\WINDOWS\SYSTEM\STIMON.EXE No Système d'exploitation Microsoft(R) Windows(R) 4.10.2222 Moniteur de périphériques d'images fixes Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SystemTray Registry -> Machine Run SysTray.Exe No Système d'exploitation Microsoft(R) Windows(R) 4.10.2222 Application de la barre d'état système Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMonitor Registry -> Machine Run C:\WINDOWS\taskmon.exe No Microsoft(R) Windows(R) Operating System 4.10.1998 Task Monitor Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinampAgent Registry -> Machine Run "C:\Program Files\Winamp3\winampa.exe" No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
winrar Registry -> User Run No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WOOTASKBARICON Registry -> Machine Run C:\PROGRAM FILES\WANADOO\taskbaricon.exe No Kit de Connexion et de Services 5.6 (3) Gestion de l'icône de la barre des tâches France Télécom R&D HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WOOWATCH Registry -> Machine Run C:\PROGRA~1\WANADOO\Watch.exe No Kit de Connexion et de Services 5.5 (81) Surveillance des modifications France Télécom R&D HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{53707962-6F74-2D53-2644-206D7942484F} Browser Helper Objects C:\Program Files\Spybot - Search & Destroy\SDHelper.dll No Spybot - Search & Destroy 1, 3, 0, 12 Bad download blocker Safer Networking Limited
{A3157B86-BF07-11D8-9F69-4445A30FC817} Browser Helper Objects C:\WINDOWS\SYSTEM\IIDJ.DLL No

bibidesbois66 Messages postés 4 Date d'inscription samedi 19 juin 2004 Statut Membre Dernière intervention 23 juin 2004
20 juin 2004 à 14:16

Salut Mike dit moi comment as-tu trouver startuprun.exe sur le site de nirosoft ou si quelqu'un d'autre le sait qu'il me le dise et qui m'explique dans les détails ou il la trouver ou donner moi un lien ce serait plus facile.merci

mike > bibidesbois66 Messages postés 4 Date d'inscription samedi 19 juin 2004 Statut Membre Dernière intervention 23 juin 2004
20 juin 2004 à 15:10

Je l'ai trouvé sur ce lien:(citer au post 94)

http://freehost14.websamba.com/nirsoft/utils/strun.zip

KEA
20 juin 2004 à 15:11

EN TOUS CAS CETTE DLL EST BIZARRE: IIDJ.DLL

mike > KEA
20 juin 2004 à 15:20

Ok. Mais que dois-je faire alors? stp

kea > mike
20 juin 2004 à 16:15

quel windows tu as

Réponse 68 / 164

steak
20 juin 2004 à 20:53

svp !!!!!
aidez moi !!!!
relisez le message 168 ...
jen peux pu de ce truc ...
merci beaucoup !

Réponse 69 / 164

Terdef Messages postés 985 Date d'inscription mardi 20 mai 2003 Statut Contributeur sécurité Dernière intervention 5 août 2020 132
20 juin 2004 à 22:03

Bonjour Herspear1,

Ce n'est pas facile sur ce forum; je ne sais pas comment mettre des lignes en gras ou en couleur. Je vais jouer sur les interlignes pour mettre en évidence ce que tu dois "fixer" avec HiJackThis.

1 - le mode d'emploi étendu en français de HiJackThis (signification de chaque code de ligne et action à prendre) est à
http://assiste.com/p/frameset/07_hijackthis.php

2 - ton log HiJackThis n'est pas complet. Il manque les premières lignes. Je suis donc obligé de deviner des choses. Par exemple je devine que tu es sous NT à la lecture de certaines lignes mais je peux me tromper.

3 - après avoir fixer les lignes suivantes, tu vas exécuter, pas à pas, les recommandation préventives de La Manip
http://assiste.com/manip.html

4 - je ne vois pas de firewall. C'est une catastrophe sécuritaire.

5 - je ne vois pas d'anti-script, proxy local, anti-pop-up etc. ... Il y a du travail. Suis les recommandations de La Manip.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\Program Files\UPSurfer Pro\UPServ.exe
Tu as un onduleur ?

C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\MMTray.exe
C:\WINDOWS\System32\MMTray2k.exe
C:\WINDOWS\System32\MMTrayLSI.exe
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UltraDVD\DVDMon.exe

C:\Program Files\UPSurfer Pro\UPS.EXE
C'est la tâche de gestion de l'onduleur ?

C:\Program Files\moi\HijackThis.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
????

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {0DC41AD3-A624-48AD-9610-EB2F1B6F7CF7} - (no file)
*** Fixer ***

O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
*** Fixer ***

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
*** Fixer ***
N'a pas à être actif au démarrage de l'ordinateur.
Il s'agit d'un utilitaire d'update de Creative

O4 - HKLM\..\Run: [MMTray] MMTray.exe
*** Fixer ***
N'a pas à être lancer systématiquement au démarrage
"Part of Morgan Multimedia Codecs. Only required when the codecs are used"

O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe
*** Fixer ***
N'a pas à être lancer systématiquement au démarrage
"Part of Morgan Multimedia Codecs. Only required when the codecs are used"

O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe
*** Fixer ***
N'a pas à être lancer systématiquement au démarrage
"Part of Morgan Multimedia Codecs. Only required when the codecs are used"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
Tiscali est ton FAI ?
Pourquoi un dialer ? Tu es en liaison basse vitesse - RTC ?
Tu as créer ta connexion avec les outils de Windows (recommandé) ou avec leur CD (a éviter absolument)?

O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
*** Fixer ***
Le dump mémoire constitue une faille de sécurité majeure.
Absolument tous les "error reporting tools" de tous les logiciels doivent être bloqués.
Lire
http://assiste.free.fr/p/internet_attaques/error_reporting_tool.php
http://assiste.free.fr/p/internet_contre_mesures/anti_error_reporting_tool.php

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
???
Bureaux virtuels NVidia. Tu t'en sert ? D'autant que je vois des drivers pour une carte graphique ATI !?!

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
*** Fixer ***
On n'a pas besoin d'être sous surveillance pour lancer les update de temps en temps.

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"

O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
*** Fixer ***
Superbe spyware de Claria (ex Gator)
http://assiste.free.fr/p/internet_attaquants/gator.php

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
*** Fixer ***
Inutile

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
Peu recommandable

O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
Les zones de Chat, c'est pour chercher des ennuis sur sa machine.

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c0bc89769a659b8401/netzip/RdxIE601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37955.2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
Assure toi que ce sont bien les dns de ton fai sinon fixe
Là, il s'agit de dns de Wanadoo donc c'est fiable

Pierre (aka Terdef)

Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004
20 juin 2004 à 23:28

Bonjour Pierre,

Tout d'abord je tiens à te remercier pour ton temps certainement précieux que tu as réserver pour répondre à mes inquiétudes. Kea doit etre certainement très occupé s'il ne m'a pas répondu.

Si je comprends bien mon odinateur est pouris jusqu'à l'os.

Bon je vais essayer d'appliquer tes recommandations à la lettre est je te dis quoi.

J'ai fait un site internet : http://rootsreggae.free.fr que je met régulièrement à jour d'où la raison pour laquelle mon ordinateur doit impérativement fonctionner.

Mais dit moi est ce que les manips que j'ai fait à partir des conseils de Kea sont bonnes? Ai je fait une erreur quelque part? Pare que je n'ai plus Notepad de disponible.

Sinon, oui je suis en woindow NT, oui j'au un onduleur, je n'ai pas l'adsl, je suis à Tiscali (d'ailleurs j'installe le cd régulièrement parce que ca déconne assez souvent) et je lis mes messages sur ma boite tiscali à partir de Outllok.

Pour Nvidia, je ne sais pas ce que c'est. Par contre j'ai une carte graphique RADEON 7000.

Merci de tes conseils et je te recontacte dès que j'ai fait les fix. Herspear

Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004
21 juin 2004 à 02:57

Bonsoir Pierre,

J'ai fait en partie pour ne pas dire presque la totalité de ce que tu m'avais indiqué de faire.

J'ai installé le search & destroy et suivi l'ensemble des recommandantions.

Cependant je ne peu te faire une image de HijackThis étant donné que depuis l'effacement de ma msjcpn.dll je n'ai plus notepad.

Aussi ce serait bien que tu m'indques comment faire pour réinstaller ce notepad ou cette dll de manière à ce que je puisse t'envoyer le fichier pour analyse et commentaires.

Voilà tiens moi au courant et merci encore. Herspear

Réponse 70 / 164

kea
21 juin 2004 à 08:00

voici un notepad a telecharger pspad :
www.pspad.com
cette dll n'a rien avoir avec ton notepad d'origine: msjcpn.dll

Réponse 71 / 164

Terdef Messages postés 985 Date d'inscription mardi 20 mai 2003 Statut Contributeur sécurité Dernière intervention 5 août 2020 132
21 juin 2004 à 08:22

Bonjour Herspear1

Notepad (dit Bloc-notes) est un exécutable du nom de... notepad.exe. Si si...
Il est à
%SystemRoot%\system32\notepad.exe
Vérifie s'il existe toujours et si tu peux le lancer (double clic sur l'exécutable, directement). Si oui, recrer un raccourcis et vire l'ancien.

msjcpn.dll
Ce nom de dll sent le nom généré à la volée.
Une recherche sur Google confirme ce sentiment. C'est totalement inconnu donc aucun scrupule à virer ça.

Tiens, j'ai regardé ton site. C'est joli et propre.
Regarde sur la page
http://rootsreggae.free.fr/ToshDisco/Videos/Videos.htm
Ton lien Main en bas de page
http://rootsreggae.free.fr/SpearDiscography/SpearDiscography.htm
sort en erreur 404

Tu utilise Dreamweaver pour développer ton site. Installe impérativement un firewall. Soit tu fais dans le gratuit, genre ZoneAlarm Free soit tu tape dans du dur et je te recommande OutPost, le meilleur firewall logiciel.
http://assiste.com/p/internet_utilitaires/outpost.php

Autre recommandation majeure, essentielle, primordiale, vitale...
après installation de ton firewall, interdit, dans ses règles, tout accès au Net à Internet Explorer et installe Mozilla.

Installe également un proxy local chargé de ré-écrire à la volée le flux entrant. Le Proxomitron est gratuit mais est un peu technique
http://assiste.free.fr/p/internet_utilitaires/proxomitron.php
Dans le même genre mais pro et à utiliser les yeux fermés sans jamais mettre les mains dans le cambouis, SpyBlocker qui, en sus, gère une liste hosts et permet le bypass des blocages hosts à travers un site d'anonymisation
http://assiste.com/p/frameset/07_spyblocker.php

En anti-trojans (anti trojans, adware, spyware, keyloggers, dialers, rats, droppers, password stealer et toutes formes de malveillances non virales, mis à part les choses gentilles et gratuites que sont ad-aware et Spybot S&D, je te recommande PestPatrol qui est et reste le plus pointu, et de très loin, de toute cette classe d'outil (loin devant les a², tds, the cleaner etc. ...) Sa version de demo reste opérationnelle indéfiniment, y compris les mises à jour, seule l'éradication n'est pas implantée mais leur site, le plus vaste du monde sur le sujet, donne toutes les billes pour des éradications manuelles. C'est de loin le must.
http://assiste.com/p/frameset/07_pestpatrol.php

Sur une machine pro comme la tienne (une machine de développement), je te recommande d'éviter toutes les sources d'ennuis comme le client de messagerie Incredimail, tous les liveupdate (sauf ton antivirus), tout ce qui est chat, absolument tout ce qui est un gadget généralement porteur de spyware comme les économiseurs d'écran, les skins etc. ...

Grave ton site (le source sous Dreamweaver) sur un cd-rw pour faire tes sauvegardes.

A te lire pour la suite. Si tu n'arrive vraiment plus à utiliser notepad il faudra le trouver sur ton cd d'origine, dans les accessoires, sinon, en trouver un en ligne. De toutes manières, c'est un petit programme autonome indépendant du système. Le mien pèse
66,0 Ko (67 584 octets).

Pierre (aka Terdef)

Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004
21 juin 2004 à 14:08

Bonjour Pierre,

Merci de tes réponses claires ainsi que ton compliment concernant mon site. C’est pas mal de travail d’autant plus que je fait tout tout seul et ce en permanence.

Bon bonne nouvelle; j’ai retrouvé notepad.exe. Il était tout simplement dans le répertoire windows. Est il à la bonne place ? J’ai créé le racouci et cela marche. Par contre, notepad correspond bien au bloc notes non ? Par ce que si je clic propriétés de bloc notes j’obtiens ceci : C:\WINDOWS\system32\actmovie.exe

Sinon, pour l’erreur en MAIN de la page de Peter Tosh je m’en occuperai après avoir réglé l’ensemble des pbs que je connais aujourd’hui.

Par contre, dès que j’arrive sur une page net nouvelle en l’occurrence sur hotmail. Il m’est posé à chaque fois la question « voulez vous autoriser l’éxécution de logiciels tels que contrôles Actives X et les plug ins ? » Cette question est chiante car elle apparaît à chaque changement de page.

De plus je n’ai plus la barre en bas qui me permet de voir ou en est la page en téléchargement. Sais tu la restaurer ?

Sinon, pour te dire exactement ce que je fais sur ma bécanne ce serait mieux que je te l’explique en privé.

Lorsque j’envoie search & destroy, vérification et correction des problèmes. DSO exploit est impossible à retirer malgrès qu’il soit mis en rouge. Je te ferai bine une capture d’écran mais préfère faire cela en privé.

Enfin, je t’envois le résultat maintenant que j’ai retrouvé notepad :
N’hésites pas à trancher vu que tu connais beaucoup mieux le sujet que moi.
J’ai déjà virer quelques lignes selon tes conseils.

Sinon, c’est quoi cette ligne chat avec voilà ? Je n’ai jamais eu à faire avec eux.

En attente de te lire et par avance une nouvelle fois merci. Herspear

Logfile of HijackThis v1.97.7
Scan saved at 13:55:53, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Dialer Tiscali\Dialer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\moi\HijackThis.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c0bc89769a659b8401/netzip/RdxIE601_fr.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37955.2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1

Terdef Messages postés 985 Date d'inscription mardi 20 mai 2003 Statut Contributeur sécurité Dernière intervention 5 août 2020 132 > Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004
23 juin 2004 à 19:04

Bonjour Herspear1

Je ne sais plus du tout où j'en suis dans ce thread qui concerne 36 problèmes pour 36 personnes.

Je t'avais préparé une réponse hier et j'ai eu une coupure de courant dans le quartier après 2 heures de boulot ! Le pied.

Ce Week-End je n'étais pas là.

Aujourd'hui, anniversaire à la maison avec les copains de mon gamin - une bande de 6 - 7 ans. Tout le truc à préparer et maintenant tout le truc à laver ranger etc. ...

Je ne t'oublie pas. Je reprends ton post et te prépare une réponse. Je ne sais même pas si d'autres ont regardé ton log.

A+

Pierre (aka Terdef)

Terdef Messages postés 985 Date d'inscription mardi 20 mai 2003 Statut Contributeur sécurité Dernière intervention 5 août 2020 132 > Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004
23 juin 2004 à 19:18

Re bonjour Herspear1

Non : ton notepad n'est pas à la bonne place.

Oui : notepad correspond au bloc-notes.

Tue actmovie.exe : c'est ta malveillance. Malheureusement tu l'a déjà lancé en cliquant sur notepad et on ne sait pas ce qu'elle à fait / installé etc. ...

Pour tuer une tâche (un processus) en cours d'exécution :
http://assiste.free.fr/p/comment/comment.php#tuer_process

ActiveX
Cette technologie est très dangereuse. En sus, elle n'est pas standard. C'est un truc propriétaire à Microsoft. Il est bon que tu sois averti chaque fois qu'un contrôle ActiveX tente de se lancer / s'installer car c'est par là que s'installe la quasi-totalité des grosses malveillances actuelles. Cette technologie donne accès à toutes les ressources. Il est préférable de l'inhiber complètement. Il est même préférable d'interdire à Internet Explorer tout accès au Net et d'utiliser une alternative propre comme Mozilla qui ne connaît pas les ActiveX et est donc immunisé par nature.

Barre du bas.
? Je ne me souviens plus où est le paramètre. Quelqu'un d'autre va de donner la réponse.

E-mail privé:
Va sur mes forums
http://terroirs.denfrance.free.fr/forum_cuisine_recettes/phpBB2/index.php
De là, tu peux m'envoyer un mail privé

DSO exploit:
C'est un petit bug dans SpyBot. Patrick le corrigera un jour, lorsqu'il aura le temps.

Bon, je te poste déjà ces réponses avant la prochaine coupure de courant. Je deviens de plus en plus méfiant et parano.

Pierre (aka Terdef)

Terdef Messages postés 985 Date d'inscription mardi 20 mai 2003 Statut Contributeur sécurité Dernière intervention 5 août 2020 132 > Herspear1 Messages postés 10 Date d'inscription jeudi 8 avril 2004 Statut Membre Dernière intervention 11 novembre 2004
23 juin 2004 à 20:14

Re bonjour Herspear1

Encore une coupure !!! Grrrrr !!! Je finirais par m'acheter un onduleur.

C’est quoi cette ligne chat avec voilà ? Je n’ai jamais eu à faire avec eux.
Fixe la.

Logfile of HijackThis v1.97.7
Scan saved at 13:55:53, on 21/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE

C:\Program Files\UPSurfer Pro\UPServ.exe
???
Pourrait être la tâche de gestion d'un onduleur (UPS)
Pourrait être, aussi, une tâche de ASAP Pay Phone Software

C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Dialer Tiscali\Dialer.exe
Tu es client Tiscali ?

C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\moi\HijackThis.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
Ca, c'est un truc pour chip S3

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
32 bureaux virtuels pour carte graphique nvidia - il me semble que tu as une ATI ? Alors ? Fixe.

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
???
Tu as une SB Live Platinum 1 ou 2 ? Il y a plein de trucs la concernant dans ton log.

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
???
Tu as bien ultra-dvd-player d'installé ?

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
Fixer

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
Fixer - inutile voire dangereux.

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c0bc89769a659b8401/netzip/RdxIE601_fr.cab
Fixer

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37955.2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
Ce serait les dns de Wanadoo - fixe si ce n'est pas ton FAI - attention, il te faut conserver l'une des 2 lignes O17

O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1
Ce serait un dns de Tiscali - fixe si ce n'est pas ton FAI - attention, il te faut conserver l'une des 2 lignes O17.

A+

Pierre (aka Terdef)

Réponse 72 / 164

Mike
22 juin 2004 à 16:13

Salut KEA!!!

Je pensais m'ètre débarassé de ce about: blank...mais il semble que non. JE ne peut pas suivre la méthode que tu a expliqué (cf post 171):
J'ai windows 98:

Voici ce que j'obtient avec startuprun

DSB Registry -> Machine Run C:\Program Files\DSB\DSB.exe No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
H/PC Connection Agent Registry -> User Run "C:\PROGRAM FILES\MICROSOFT ACTIVESYNC\WCESCOMM.EXE" No Microsoft ActiveSync 3.7.0.3083 Connection Manager Microsoft Corporation HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
IeCatch2 Class Browser Helper Objects C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL No jccatch Module 1, 1, 4, 0 jccatch Module Amaze Soft
LoadPowerProfile Registry -> Machine Run Rundll32.exe powrprof.dll,LoadCurrentPwrScheme No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
LoadPowerProfile Registry -> Machine RunServices Rundll32.exe powrprof.dll,LoadCurrentPwrScheme No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
LoadQM Registry -> Machine Run loadqm.exe No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft IntelliType Pro Registry -> Machine Run "C:\Program Files\Microsoft Hardware\Keyboard\speedkey.exe" No Microsoft IntelliType Pro 1.00.245 MS IntelliType Pro Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Office Startup Folder -> User "C:\Program Files\Microsoft Office\Office\OSA9.EXE" -b -l No Microsoft Office 2000 9.0.2617 Microsoft Office 2000 component Microsoft Corporation C:\WINDOWS\Menu Démarrer\Programmes\Démarrage
Moniteur Fax-Voix Startup Folder -> User C:\OLIFAXVX\MONITEUR.EXE No C:\WINDOWS\Menu Démarrer\Programmes\Démarrage
MSStartOptimizer Registry -> Machine Run C:\WINDOWS\SYSTEM\SCVHOST.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MSStartOptimizer Registry -> Machine RunServices C:\WINDOWS\SYSTEM\SCVHOST.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Rappels du Calendrier Microsoft Works Startup Folder -> User C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe No Microsoft® Works 2000 5.00.2004.0 Microsoft® Works Calendar Reminder Service Microsoft® Corporation C:\WINDOWS\Menu Démarrer\Programmes\Démarrage
RegCompres Registry -> Machine Run C:\WINDOWS\SYSTEM\REGCPM32.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
RegCompres Registry -> Machine RunServices C:\WINDOWS\SYSTEM\REGCPM32.EXE No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
ScanRegistry Registry -> Machine Run C:\WINDOWS\scanregw.exe /autorun No Système d'exploitation Microsoft(R) Windows(R) 4.10.1998 Vérification du Registre Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SCardSvr Registry -> Machine RunServices C:\WINDOWS\SYSTEM\SCardSvr.exe No Microsoft(R) Windows NT(R) Operating System 5.00.1708.1 Smart Card Resource Management Server Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
SchedulingAgent Registry -> Machine RunServices mstask.exe No Planificateur de tâches Microsoft® Windows® 4.71.1972.1 Moteur du Planificateur de tâches Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
StillImageMonitor Registry -> Machine Run C:\WINDOWS\SYSTEM\STIMON.EXE No Système d'exploitation Microsoft(R) Windows(R) 4.10.2222 Moniteur de périphériques d'images fixes Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
SystemTray Registry -> Machine Run SysTray.Exe No Système d'exploitation Microsoft(R) Windows(R) 4.10.2222 Application de la barre d'état système Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMonitor Registry -> Machine Run C:\WINDOWS\taskmon.exe No Microsoft(R) Windows(R) Operating System 4.10.1998 Task Monitor Microsoft Corporation HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WinampAgent Registry -> Machine Run "C:\Program Files\Winamp3\winampa.exe" No HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
winrar Registry -> User Run No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
WOOTASKBARICON Registry -> Machine Run C:\PROGRAM FILES\WANADOO\taskbaricon.exe No Kit de Connexion et de Services 5.6 (3) Gestion de l'icône de la barre des tâches France Télécom R&D HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WOOWATCH Registry -> Machine Run C:\PROGRA~1\WANADOO\Watch.exe No Kit de Connexion et de Services 5.5 (81) Surveillance des modifications France Télécom R&D HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
{53707962-6F74-2D53-2644-206D7942484F} Browser Helper Objects C:\Program Files\Spybot - Search & Destroy\SDHelper.dll No Spybot - Search & Destroy 1, 3, 0, 12 Bad download blocker Safer Networking Limited
{5DAEB746-C462-11D8-9F69-4445CC2B99B2} Browser Helper Objects C:\WINDOWS\SYSTEM\CNJAIH.DLL No
Cette dll (CNJAIH) me semble suspecte...Qu'est ce que tu en pense?
STP tu pourrai me dire la marche a suivre pour la supprimer et pour que ça ne revienne pas???

Merci D'avance...

kea
22 juin 2004 à 17:18

regarde le message 123
cette dll est bien suspecte

n oublie pas de faire un windows update après l avoir supprimer

Réponse 73 / 164

Christelleb75 Messages postés 5 Date d'inscription mardi 22 juin 2004 Statut Membre Dernière intervention 24 juin 2004
22 juin 2004 à 16:32

Bonjour a tous.

Voila j'ai le meme probleme que les gens ici. Ma page de demarrage ne s'affiche plus elle est remplacé par ca http://mysearchnow.com/, c'est une vrai plaie.

J'ai essayé vos manip, mais je dois surement me trompé, je suis pas tres calé point de vu informatique.

Si quelqu'un pouvait m'aidé en m'expliquant simplement se serait vraimment tres gentil. J'ai windows xp pro.

Vous remerciant d'avance.

kea
22 juin 2004 à 16:54

Bonjour

tu telecharge ceci:
http://lop.com/new_uninstall.exe

tu relance ton pc

et tu modifie la page de demarrage dans les options internet

si cela ne fonctionne pas fais moi signe

Christelleb75 Messages postés 5 Date d'inscription mardi 22 juin 2004 Statut Membre Dernière intervention 24 juin 2004 > kea
22 juin 2004 à 18:54

Toujours la meme chose

kea > Christelleb75 Messages postés 5 Date d'inscription mardi 22 juin 2004 Statut Membre Dernière intervention 24 juin 2004
22 juin 2004 à 19:08

dit moi ce que tu as fait

Christelleb75 Messages postés 5 Date d'inscription mardi 22 juin 2004 Statut Membre Dernière intervention 24 juin 2004 > kea
22 juin 2004 à 19:28

j'ai telecharge ceci:
http://lop.com/new_uninstall.exe

j'ai relance mon pc

et j'ai modifie la page de demarrage dans les options internet

si cela ne fonctionne toujours pas.

kea > Christelleb75 Messages postés 5 Date d'inscription mardi 22 juin 2004 Statut Membre Dernière intervention 24 juin 2004
22 juin 2004 à 20:11

telecharge ceci:
http://lop.com/new_uninstall.exe

puis execute new_uninstall.exe en cliquant 2 fois dessus

relance mon pc

et j'ai modifie la page de demarrage dans les options internet

si cela ne fonctionne toujours pas.

Réponse 74 / 164

pupu
22 juin 2004 à 17:17

bjr tous!
kea je viens de suivre ton tuto ainsi que tous le forum, e tmalheureusement je ne sus ipas aussi doué que vous tous en informatique.

bon, j'explique vite fait, j'ai moi aussi ce problème de page de me** te quand je suis ton premier tuto, à la phase de recherhce de la dll dasn la base de registre, rien ne m'indique ou se trouve cette dll.

j'en ai deux que je suspecte de me faire ch***

c'est dpe.dll et nmncjj.dll

quand je lance la recherche elle n'apparaissesnt pas dans les dossiers jaunes..

n'ais je rien compris ou est ce normal?

merci de me répondre et a bientot!

kea
22 juin 2004 à 19:10

ces dll sont bien des spy
donc pour les supprimer tu peut utiliser hijackthis

Réponse 75 / 164

mike
22 juin 2004 à 20:19

Excusez moi mais est ce que quelqu'un pourrai me traduire le message 123... ou juste me dire (en français) ce qu'il faut faire svp.
Parce que l'anglais ce n'est pas mon fort...

Réponse 76 / 164

pupu
23 juin 2004 à 02:12

SUPER KEA!!
j'ai retrouvé ma page de garde !

merci beaucoup!

je garde quand même sous le coude adware...

Réponse 77 / 164

soleil351
23 juin 2004 à 14:52

Bonjour!
Kea je te remercie pour tout ton boulot c'est tres clair.Moi j ai eu le meme probleme, POPUP only the best plus un autre moteur de recherche a coté home search qui s'ouvre en parallele, et ce apres avoir fait toutes les manip que tu dis.
Alors le point positif c'est ke google.fr reste ma page mais je ne me suis pas débarrassé des fichiers dll...
Est ce parce que je n'ai pas réussi atrouvé la deuxieme Cle ou tu dis avoir search et moi j'ai searchurl... Tu n'as pas repondu cette question pourkoi certains d entre nous sur XP n'avons pas cette deuxieme cle Search...
mon mail campelos_city@hotmail.com
Merci c'est qd meme trop fort ce que tu fais pour la communauté!
merci
Paul

Réponse 78 / 164

soleil351
23 juin 2004 à 14:57

bonjour
KEA je n'ai pas la seconde cle avec ecri search mais plutot searchurl tu sais pourkoi et comment faire alors..?
Bravo pour ton travail sur tout!
paul

kea
23 juin 2004 à 16:12

c est pas grave si tu ne l as pas lol

soleil 351 > kea
23 juin 2004 à 16:33

le probleme c que j ai toujours les dll qui sont la et qui se recree et aussi le popup only the best avec chaque ouverture the google...
je dois faire comment pour supprimer cette creation intempestive de dll...
merci kea...

kea > soleil 351
23 juin 2004 à 16:45

regarde le message 20
quel windows tu as

soleil 351 > soleil 351
23 juin 2004 à 16:49

j ai XP mais les dll reviennent a chaque fois tu vois...?

Réponse 79 / 164

soleil351
23 juin 2004 à 17:06

kea
y a pas moyen kon se parle par msn? (campelos_city@hotmail.com)
Je sais plus comment faire depuis 2 jours que j'essaye de suivre ta méthode qui a marché en partie mais toujours ces fichier dll et ce pop up "Only the best " qui s'ouvre a chaque fois!..
tu peux m'aider?
Paul

Réponse 80 / 164

soleil351
23 juin 2004 à 17:44

KEA
peux tu jeter un oeil a mon fichier log apres hijackthis...?
Logfile of HijackThis v1.97.7
Scan saved at 17:41:35, on 23/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\STOPzilla!\szntsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\sdkak.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\d3ou32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\STOPzilla!\Stopzilla.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\paul\LOCALS~1\Temp\Rar$EX00.894\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.voila.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://go.compaq.com/2Q00CPT/040C/bF7.asp
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D78B0424-4E0C-1A6E-D4DC-F1041B9FBD4A} - C:\WINDOWS\system32\msap32.dll
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [STOPzilla] "C:\Program Files\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [sdkak.exe] C:\WINDOWS\sdkak.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Sites Perso (HKLM)
O9 - Extra 'Tools' menuitem: Compaq France (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = u-strasbg.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = u-strasbg.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = u-strasbg.fr

kea
23 juin 2004 à 19:56

bizarre bizarre a supprimer avec hijack:
verifie ton fichier HOSTS edit le avec le blocnote
regarde le message 20 si tu est sous xp ou 2000
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {D78B0424-4E0C-1A6E-D4DC-F1041B9FBD4A} - C:\WINDOWS\system32\msap32.dll
O4 - HKLM\..\Run: [sdkak.exe] C:\WINDOWS\sdkak.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = u-strasbg.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = u-strasbg.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = u-strasbg.fr

Page de demarrage...

164 réponses

Discussions similaires

Newsletters