startsearches.net xoftspyFermé

Question

mon ie se charge directement sur www.startsearches.netg désinstallé une install automatique   xoftspymais ça revient tjsQQ1 as une idée pour le virer vraimentMerci

Utilisateur anonyme · Answer

euh salut,http://setihfr.free.fr/jwhy/reutil/politesse.jpgEn fait si je comprends, t'as pages de demarage a changé?a+

mus · Answer

BONNJOURAlors en fait c'est un de mes clients qui a ça sur son pc ! Son IE se charge automatiquement sur www.startsearches.netsi dans OPTION interet ... on met une page de demarrage comme par exemple : http://www.commentcamarche.net/ça tiend pas & ça revient sur www.startsearches.netil y avait XOFTSPY d'installer automatiquement sur le PC donc mon collégue sur place l'a désinstallé, viré de la base de registre.rebooté la marchine 1er lancement IE, dans l'adresse msg suivant :res://shdocpl.dll/blank.htm2éme lancement re www.startsearches.netdonc voilà si tu as ou QQ1 d'autre a une idéee pour viré définitivement ce probleme ça serai sympa !

Utilisateur anonyme · Answer

re,
Etant donné tu as ete poli lol on va essayer de te sortir de la
télécharge hijackthis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php

Dezippz le dans un dossier prévu a cet effet.
Par exemple C:\hijackthis
lancez le puis:
clic sur "do a system scan and save logfile"
faire un copier coller du log entier sur le forum

a+

mus · Answer

Logfile of HijackThis v1.99.1Scan saved at 11:18:13, on 05/27/2005Platform: Windows 2000 SP4 (WinNT 5.00.2195)MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)Running processes:C:\WINNT\System32\smss.exeC:\WINNT\system32\winlogon.exeC:\WINNT\system32\services.exeC:\WINNT\system32\lsass.exeC:\WINNT\system32\Ati2evxx.exeC:\WINNT\system32\svchost.exeC:\WINNT\System32\svchost.exeC:\WINNT\system32\spoolsv.exeC:\Program Files\Network Associates\VirusScan\Avsynmgr.exeC:\Program Files\SQLLIB\bin\db2jds.exeC:\Program Files\SQLLIB\bin\db2sec.exeC:\WINNT\system32egsvc.exeC:\WINNT\system32\MSTask.exeC:\WINNT\system32\slserv.exeC:\WINNT\system32\stisvc.exeC:\WINNT\System32\WBEM\WinMgmt.exeC:\WINNT\system32\MsPMSPSv.exeC:\WINNT\system32\svchost.exeC:\Program Files\Network Associates\VirusScan\VsStat.exeC:\Program Files\Network Associates\VirusScan\Vshwin32.exeC:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exeC:\Program Files\Network Associates\VirusScan\Webscanx.exeC:\Program Files\Network Associates\VirusScan\Avconsol.exeC:\WINNT\Explorer.EXEC:\WINNT\system32\msole32.exeC:\WINNT\popuper.exeC:\WINNT\system32\shnlog.exeC:\WINNT\SOUNDMAN.EXEC:\WINNT\system32\intmonp.exeC:\WINNT\system32\intmon.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINNT\mHotkey.exeC:\Program Files\Apoint2K\Apoint.exeC:\Program Files\Clevo\AutoMailChkr\MailChkr.exeC:\Program Files\Fichiers communs\Roxio Shared\Project Selector\projselector.exeC:\Program Files\Apoint2K\Apntex.exeC:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exeC:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exeC:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeC:\Program Files\iTunes\iTunesHelper.exeC:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exeC:\Program Files\Logitech\MouseWare\system\em_exec.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exeC:\Program Files\iPod\bin\iPodService.exeC:\DOCUME~1\USER~1.EXP\LOCALS~1\Temp\Sidexa\Sentinelle.exeC:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exeC:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.exeC:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exeC:\Program Files\Sony Corporation\Image Transfer\SonyTray.exeC:\PROGRA~1\IBM\IMNNQ\HTTPDL.exeC:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeC:\PROGRA~1\IBM\IMNNQ\imnsvdem.exeC:\PROGRA~1\WINZIP\wzqkpick.exeC:\Documents and Settings\User.EXPERTOF\Bureau\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.comF2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exeO2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpBA46.tmpO4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logonO4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [CHotkey] mHotkey.exeO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [AutoMailChecker] C:\Program Files\Clevo\AutoMailChkr\MailChkr.exeO4 - HKLM\..\Run: [projselector] "C:\Program Files\Fichiers communs\Roxio Shared\Project Selector\projselector.exe" -rO4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Program Files\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.ExeO4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exeO4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [StatusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /autoO4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exeO4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe -kO4 - HKCU\..\Run: [Sentinelle] "\Serveur\D\sidexa\ExpertOffice\Sentinelle.exe" /SILENTO4 - Global Startup: Démarrage du serveur de recherche HTML.lnk = C:\Program Files\SQLLIB\bin\db2nq.exeO4 - Global Startup: EnDisEU3.lnk = C:\Program Files\IEEE 802.11b WLAN Utility(USB)\EnDisEU3.exeO4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exeO4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exeO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXEO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.comO14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.comO16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://weatherstripping.us/index.htmlO16 - DPF: {11010101-1001-1111-1000-110112345678} - mk:@mSItSTORE:Mhtml:FiLE://C:\html.mHT!http://205.177.122.27/docs/tgp/html.chm::/html.exeO16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exeO16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exeO16 - DPF: {2AB88B69-94C1-54EF-4D23-3D0E483429CF} - http://216.118.71.185/1/gdnFR1865.exeO17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EXPERTOF.localO17 - HKLM\System\CCS\Services\Tcpip\..\{0FCA30A1-A7EC-49F4-BEAF-D71532765448}: NameServer = 69.50.176.156,195.225.176.31O17 - HKLM\System\CCS\Services\Tcpip\..\{44328CDB-FA4A-460A-A4AE-25DA2EED26BE}: NameServer = 69.50.176.156,195.225.176.31O17 - HKLM\System\CCS\Services\Tcpip\..\{BD90992C-CDD6-418D-A0BE-0556B41B8C77}: NameServer = 69.50.176.156,195.225.176.31O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EXPERTOF.localO17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31O17 - HKLM\System\CS1\Services\Tcpip\..\{0FCA30A1-A7EC-49F4-BEAF-D71532765448}: NameServer = 69.50.176.156,195.225.176.31O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EXPERTOF.localO17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31O17 - HKLM\System\CS2\Services\Tcpip\..\{0FCA30A1-A7EC-49F4-BEAF-D71532765448}: NameServer = 69.50.176.156,195.225.176.31O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.156,195.225.176.31O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT
etbf32.exe (file missing)O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exeO23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Avsynmgr.exeO23 - Service: DB2 JDBC Applet Server - Control Center (DB2ControlCenterServer) - Unknown owner - C:\Program Files\SQLLIB\bin\db2ccs.exeO23 - Service: DB2 JDBC Applet Server (DB2JDS) - Unknown owner - C:\Program Files\SQLLIB\bin\db2jds.exeO23 - Service: DB2 Security Server (DB2NTSECSERVER) - International Business Machines Corporation - C:\Program Files\SQLLIB\bin\db2sec.exeO23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeO23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exeO23 - Service: SmartLinkService (SLService) -   - C:\WINNT\SYSTEM32\slserv.exe

Utilisateur anonyme · Answer

mus etant donné c est un pc d un client, tu peux faire de longue manip ou il faut faire au plus simple? je t indique une si faut la modifier tu mle diras !

mus · Answer

si c t possible de faire au plus simple merci

Utilisateur anonyme · Answer

Bonjour,Méthode a suivre dans l'ordre...--------------------------------------------------------------------------------------- ¤Télécharge ces 3 logiciels mais que tu n utilises pas tout de suite: 1/Ad-Aware : http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/11643.html Le patch en Français pour Ad-Aware : http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/25543.html 2/Spybot : http://telecharger.01net.com/windows/Internet/internet_utlitaire/fiches/26157.html  3/Clean Up 312:http://pageperso.aol.fr/Balltrap34/CleanUp312.exe -----------------------------------------¤Démarre en mode sans echec :Pour cela, tu tapote la touche F8 des le debut de l allumage du pc sans t arreter Une fenetre va souvrir tu te deplaces avec les fleches du clavier sur demarrer en mode sans echec puis tape entrée.Une fois sur le bureau si il n y a pas toutes les couleurs et autres c est normal !(Si F8 ne marche pas utilise la touche F5)---------------------------------------------------------- ¤Désactive ta restauration systeme: Clic droit sur poste de travail puis,propriété, tu clique sur onglet restauration système tu coche la case désactiver la restauration et applique ------------------------------------ ¤Affiche tous les fichiers et dossiers : Clique sur démarrer/panneau de configuration/option des dossiers/affichage Cocher afficher les dossiers cacher Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Décocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. Et appliquer !--------------------------------- ¤Vide tes fichiers temps et tempory internet file:utilise ceci pour le faire (tu as telecharger avant)3/http://pageperso.aol.fr/Balltrap34/CleanUp312.exe -------------------------------------------- ¤Relance Hijack This, coche les cases devant ces lignes et ensuite clik sur fix: O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpBA46.tmpO4 - HKLM\..\Run: [MSN Messenger] C:\WINNT\system32\msmsgs.exeO16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://weatherstripping.us/index.html  O16 - DPF: {11010101-1001-1111-1000-110112345678} - mk:@mSItSTORE:Mhtml:FiLE://C:\html.mHT!http://205.177.122.27/docs/tgp/html.chm:: /html.exe O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://195.95.218.82/users/zoom/web/axe/x.chm::/update.exe  O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/5/s1//q.chm::/file.exe O16 - DPF: {2AB88B69-94C1-54EF-4D23-3D0E483429CF} - http://216.118.71.185/1/gdnFR1865.exeO23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT
etbf32.exe (file missing)------------------------------------------ ¤Recherche et supprime  ceci:attention seulement les fichiers en grasC:\WINNT\system32\msole32.exe C:\WINNT\popuper.exe C:\WINNT\system32\shnlog.exe C:\WINNT\system32\intmonp.exeC:\WINNT\system32\intmon.exeC:\WINNT\system32\msmsgs.exeC:\WINNT
etbf32.exe --------------------------------- Passe adaware et vire tous se qu il trouve ---------------------------------- Passe spybot et vire tous se qu il trouve----------------------------------- Tu vide ta poubelle et tu redemarre en mode normal et refait un Hijack ---------------------------------¤Reactive ta restauration systeme:  Clic droit sur poste de travail puis,propriété, tu clique sur onglet restauration système tu décoche la case désactiver la restauration et applique----------------------------lance un scan chez RAV : http://www.ravantivirus.com/scan/ Clique sur "To continue without subscribing click here" et attends quelques minutes. Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC" A la fin de l'analyse, copie/colle le rapport ici -------------Tu caches tes fichiers cachés: Clique sur démarrer/panneau de configuration/option des dossiers/affichage  Décocher afficher les dossiers cacher Coche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" Cocher masquer les extensions dont le type est connu Puis fais «Ok» pour valider les changements. ----------------------------------------------- Precise tes soucis si il en restes....et fais tes mises a jour avec windows update ! Tiens moi au courant a+

mus · Answer

Merci pour la réponse

balltrap34 · Answer

salut
je rajoute qu il faut voir si le services est desactiver et le mettre sur arreter

et pour regis la reactivation de la restauration le faire que l orsque le pc na plus de soucis ainsi que recocher les fichiers

mus · Answer

Ta solution a bien marché merci bien et a la prochaine peut etre ciao

Startsearches.net xoftspy

10 réponses

Discussions similaires

Newsletters