cool web search ...Fermé

Question

salut à tous, est ce que qq'un pourrait examiner mon Hijackthis et me dire ce qu il faut faire pq j en ai marre de leurs lien dans mes favoris et pi de cette page de m..... en page d accueil ( et fenetre de q ki arive comme ça). merci d'avance ++Logfile of HijackThis v1.97.7 Scan saved at 19:08:57, on 11/06/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE C:\docume~1	chouk~1\applic~1\winspoll.exe C:\WINDOWS	oppop.exe C:\WINDOWS\System32
vsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Tchoukette & Bikette\Mes documents\Download\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\TCHOUK~1\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\TCHOUK~1\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\TCHOUK~1\LOCALS~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NC NUMERICABLE R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE O4 - HKLM\..\Run: [mo4lybughr] C:\Program Files\Symantec\kez7hrwgu7.exe O4 - HKCU\..\Run: [System Update4] c:\docume~1	chouk~1\applic~1\winspoll.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\INCRED~1\binesources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O13 - DefaultPrefix: O13 - WWW Prefix: O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Tirailleur · Answer

salut,telecharge coolwebshreder ici : http://www.spywareinfo.com/~merijn/files/CWShredder.exeouvre le toutes les fenêtres fermées donc HORS CONNECTIONS et fais fix.

Tirailleur · Answer

salut,telecharge coolwebshreder ici : http://www.spywareinfo.com/~merijn/files/CWShredder.exeouvre le toutes les fenêtres fermées donc HORS CONNECTIONS et fais fix.

Tirailleur · Answer

bah tant qu'aucune fenetre est ouverte ...

Tirailleur · Answer

refais un hijackthis et colle ici le rapport

Tirailleur · Answer

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\TCHOUK~1\LOCALS~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\TCHOUK~1\LOCALS~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\TCHOUK~1\LOCALS~1\Temp\sp.htmlO2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dllferme internet explorer, relance HijackThis et coche ces lignes puis fais fix.Ensuite  Analyse ton PC avec cet antivirus en ligne : http://www.ravantivirus.com/scan/  Clique sur "To continue without subscribing click here" et attends quelques minutes.   Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC".   A la fin de l'analyse, copier/coller le rapport ici.-------dans ton prochain post : colle le rapport de ravantivirus + un nouveua rapport de HijackThis

jimmy · Answer

-_-_-_-_-_ ca c le rapport RAV :Scan started at 11/06/2004 20:25:02 Scanning memory...Scanning boot sectors...Scanning files...C:\Program Files\Symantec\kez7hrwgu7.exe - Trojan:Win32/StartPage.EB -> InfectedC:\WINDOWS\e.exe->(UPXW) - TrojanDownloader:Win32/Small.LC -> InfectedC:\WINDOWS\msxmidi.exe->(UPXW) - TrojanDownloader:Win32/Small.LC -> InfectedC:\WINDOWS	oppop.exe - Trojan:Win32/StartPage.BS -> InfectedC:\WINDOWS\Downloaded Program Files\e.exe->(UPXW) - TrojanDownloader:Win32/Small.LC -> InfectedScanned============================	Objects: 12944	Directories: 1237	Archives: 638	Size(Kb): -1873370	Infected files: 5Found============================	Viruses found: 3	Suspicious files: 0	Disinfected files: 0	Mail files: 38-_-_-_-_ca le rapport Hijackthis :Logfile of HijackThis v1.97.7Scan saved at 20:36:53, on 11/06/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXEC:\docume~1	chouk~1\applic~1\winspoll.exeC:\WINDOWS	oppop.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Tchoukette & Bikette\Mes documents\Download\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NC NUMERICABLER0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXEO4 - HKLM\..\Run: [mo4lybughr] C:\Program Files\Symantec\kez7hrwgu7.exeO4 - HKCU\..\Run: [System Update4] c:\docume~1	chouk~1\applic~1\winspoll.exeO8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\INCRED~1\binesources\WebMenuImg.htmO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO13 - DefaultPrefix: O13 - WWW Prefix: O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabvoila voila, j attend avec impatience ton verdict (merci pour tt )

BmV · Answer

Salut.C'est un spy-ware / ad-ware ; désolé, mais ta procédure est plutôt lourde pour ça.Charge Spybot ici http://sebsauvage.net/logiciels/ (fiable, rapide et gratos !) et scanne ton PC avec ; résultats surprenants ! Et puis aussi : installe donc un firewall ( http://www.firewall-net.com/fr/ ) ....  Je te promets que ça peut être utile .... Si, si ... Mais bon, tu fais comme tu veux ... ;-)A+-=O(_BmV_)O=-  L'amour comme épée,      ||       ||       l'humour comme bouclier.

jimmy · Answer

malheureusement, g deja spybot, ki trouve tjr des truk a effacer, certe, mais bon, les page d accueil de merde revienne tjr !mais bon, pour le pare feu, jvé y reflechir serieusement.merci du conseil

jess15 · Answer

salut jemmy suprime les trojan en mode sans echec comme ce ci Demarrer en mode sans echec : tapotter sur la touche F8 ou f5 sans arret desque tu allume ton PC ensuite va dans  demarrer/rechercher et tappe kez7hrwgu7.exe ,e.exe,msxmidi.exe,toppop.exe tu les suprime et tu vide ta corbeille refait un scan et colle le contenu ici@+++++++++

jess15 · Answer

scan de rav @+++++++++

Tirailleur · Answer

refais un scan rav apres avoir supprimé les fichiers infectés en mode sans echec ( n'oublie pas d'afficher les fichiers cachés : panneau de configuration>otpions des dossiers>onglet "affichage" > coche "afficher les dossiers et fichiers cachés")puis ensuite reposte à nouveau un hijackthis

jimmy · Answer

chui entrin de telecharger Kerio, une foi telecharger , j install tt d suite ou j supprime tt dabord les xxx.exe en mode sans echec ?

Tirailleur · Answer

installe le firewall d'abord, puis supprime les fichiers infectés en mdoe sans echec

Tirailleur · Answer

t'as bien supprimé les fichiers infectés ?

jess15 · Answer

salut ben as tu essayer avec la touche F8 @++++++

jimmy · Answer

F5 ramene normalement aux different mode (que j ai pas) et F8, c le pour rentrer dans le BOOT.KEZ7HRWGU7.EXE-30A35DB6.pf << g ca aussi comme fichier kd jtape le nom du virus, je vire aussi ? sinon, les autre sont supprimé(firewall pas intallé)

jess15 · Answer

ben oui suprime le aussi @++++++++

jimmy · Answer

g tt suprimé, aparament, la page se lance plus (aparament)mais ya une vingtaine de fichier du genre >backup-20040611-190043-297  ki a aparu dans mes Docs. k est ce donc ?? ca a un rapport avec hijackthis ?

jimmy · Answer

re voila un rapport de hijackthis :Logfile of HijackThis v1.97.7Scan saved at 22:47:44, on 11/06/2004Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXEC:\docume~1	chouk~1\applic~1\winspoll.exeC:\WINDOWS\System32
vsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Documents and Settings\Tchoukette & Bikette\Mes documents\Download\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par NC NUMERICABLER0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 64.237.45.18 www.burstnet.comO1 - Hosts: 64.237.45.18 oz.valueclick.comO1 - Hosts: 64.237.45.18 a.tribalfusion.comO1 - Hosts: 64.237.45.18 servedby.advertising.comO1 - Hosts: 64.237.45.18 pagead2.googlesyndication.comO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXEO4 - HKLM\..\Run: [mo4lybughr] C:\Program Files\Symantec\kez7hrwgu7.exeO4 - HKCU\..\Run: [System Update4] c:\docume~1	chouk~1\applic~1\winspoll.exeO8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\INCRED~1\binesources\WebMenuImg.htmO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.htmlO13 - DefaultPrefix: O13 - WWW Prefix: O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabje supprime koi ??g remarker ke dans une ligne, le nom du virus de talh, a réaparu >>O4 - HKLM\..\Run: [mo4lybughr] C:\Program Files\Symantec\kez7hrwgu7.exe

jess15 · Answer

c les element que ta fixer avec hijakthis @++++++++++++++++

jess15 · Answer

oui suprime les backup @+++++

jimmy · Answer

Hijack désintégré, virus supprimés, backup effacés, et bcp d heures perdues mais pas en vain.MERCI A TOUS ! (BmV + Tirailleur + Jess15 )LE RESULTAT EST LA ! ;-)

jess15 · Answer

de rien:))))@++++++++

Tirailleur · Answer

ciao :)

Cool web search ...

24 réponses

Discussions similaires

Newsletters