Sujet Précédent Sujet Suivant

Page de demarrage...

Fermé
olive33 - 23 avril 2004 à 19:40
 kea - 13 mai 2005 à 11:27
Bonjour,

J'ai un problème avec Internet Explorer, ma page "About:blank" est remplacée par une page pourrie de recherche en Anglais. J'ai modifié les données dans la base de registre en remplaçant / supprimant les données des lignes "search" mais rien n'y fait, dès qu'on relance Internet Explorer, les lignes de la base de registre reviennent à la valeur "res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%79%73%74%65%6d%33%32%5c%65%6c%70%2e%64%6c%6c/"
Ca commence à me péter sérieusement les tuuuuuuuuuuuut :-) Quelqu'un connaît-il se ce genre de pépin ? Comment modifier sous Windaube XP le contenu de cette fameuse page "ABOUT BLANK" ?

Merci par avance à tous ceux qui voudront bien me porter secours

A+ Olive33
A voir également:

164 réponses

Précédent
Réponse 41 / 164
jos123 Messages postés 74 Date d'inscription dimanche 6 juin 2004 Statut Membre Dernière intervention 7 décembre 2007 6
11 juin 2004 à 11:21
Kea, vous avez raison. Power J6 sert seulement pour les utilisateurs (connnus) d´un PC. Il n´arrête pas les Hijackers.
En plus, il ne sert pas à résoudre le pb, une fois advenu.
En tout cas, je songe à un éditeur de registre (tous les éditeurs de registre) avec password, éditeur donc qui ne serait accesible que pour celui qui y connait. ce password. C´est embêtant pour tout le monde. Mais pas plus que les hijackers eux-mêmes. En catimini,
j ´ai lancé un message aux faiseurs de Power J6. Nous verrons qu´ est ce que ça donne. On me dit qu´ils sont en train d´améliorer le produit.
0
Réponse 42 / 164
kalash
11 juin 2004 à 14:05
Salut tlm,

je l'ai eu hier ce spyware à la con.
Allez sur ce lien "http://www.2-spyware.com/parasite-searchpage.html" , telechargez "download removal software", lancez le et redémarrez votrePC.
Puis changer votre page de démarrage.

PS : Avec ce genre de spyware, rien ne sert de verrouiller ta page de démarrage.

--bye
0
kea
11 juin 2004 à 17:02
je ne croit pas que l'on parle de lamême chose ou du même spy celui ci crerr une key registry qui reste invisible avec ton antispy ou autre cette key est la suivante
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
avec un regedit normal tu ne voit rien dans la valeur alors explique moi comment ton remover fait pour enlever une clef qui ne se voit pas lol
voici le logiciel qui permet de voir la valeur : Registrar Lite
merci pour l infos de ton remover mais deja il ne resoud pas ce type de blèm et de plus la faille existera toujours et la rebellote
tu te le rechoppe soyez inteligent et proteger vous definitivement

d'ailleurs le remover je l ai tester et cela ne fonctionne pas
0
kalash > kea
11 juin 2004 à 17:50
Si si, on a bien parlé du spyware searchpage.cc. lol.
Le EMOVER marche tres bien (testé hier) sous XP, bonhomme. Mais malgré mon firewall, spybot, adaware, a2 et antivirus, il arrive quand meme a rentrer!!!!! Ils sont tenaces. Pire que la peste.
Si ça c'est pas de la protection!!!!!!
Changer IE en Firefox ou mozilla, y a moins de merde, bcp moins, cé kler!
0
kea > kalash
11 juin 2004 à 19:42
non la on parle d'une variante de coolseachweb
qui malgrès un nettoyage avec tous les anti spy et autre
se relance via une dll créer avec un nom aleatoire par une autre dll qui se trouve nommer dans la key du registre
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
et dont la valeur est cacher et ne peut être supprimer par un antivirus ou autre
regarde le message 20 et tu comprenderas
0
Terdef Messages postés 985 Date d'inscription mardi 20 mai 2003 Statut Contributeur sécurité Dernière intervention 5 août 2020 132
8 juil. 2004 à 13:43
Bonjour,

Ne jamais aller sur ce site http://www.2-spyware.com/ qui tente de l'intimidation pour vous vendre son truc.

Regardez ses avis sur le moindre composant : absolument tout peut être un spyware.

Et je ne parle pas de leur pop-up d'intimidation.

Ne jamais utiliser leur outil ni leur prétendu scan.

Bloquez ce site dans hosts.

Pierre (aka Terdef)
0
Réponse 43 / 164
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
12 juin 2004 à 01:55
salut
pour trouver le chemin de la dll qui reinstal
Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
Texte à taper :

Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]

Pour désinstaller le " réinstalleur " secret, faites ceci :

Démarrer->exécuter-> taper regedit

Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Surlignez Windows dans le panneau de gauche.

Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".

Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :

----------------------------
This is now one looks when there is only one file loading.
0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...

Ceci est un exemple. Notez le nom qui apparaît.
---------------------------

Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
Dans le menu, choisissez "Delete on Reboot ".
Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".

Redémarrer l'ordinateur.

Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.

Ne pas se connecter une fois les dl faites jusqu'à la fin.
0
kea
12 juin 2004 à 02:29
la manip est expliquer message 20
0
Réponse 44 / 164
Bingg
12 juin 2004 à 09:00
Salut Kéa j'aimerai bien réussir ta manipulation mais je ne trouve ni StartupRun ni strun.exe sur Google...
Tu n'aurais pas une adresse directe à donner... ou m'envoyer le logiciel par mail s'il te plait?
Merci
Au fait j'ai Windows XP
->¤Bingg¤
0
Bingg > kea
12 juin 2004 à 19:51
Pourquoi mon antivirus me signale-t-il un virus sur ce site lorsque je télécharge le zip
0
kea > Bingg
13 juin 2004 à 01:30
moi j utilise pccillin iet il me signale rien du tous je vient de scanner le zip
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 164
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
13 juin 2004 à 00:32
salut
quel virus trrouve ton anti virus
c est peut etre un active x tous ssimplement
0
Réponse 46 / 164
luccio
14 juin 2004 à 14:21
je pensais enfin avoir trouvé la solution à mon problème de page de démarrage à about:blank en lisant le msg de kea mais je dois me rendre à l'évidence... J'ai toujours le meme problème. J'ai téléchargé registrar, j'ai trouvé la clef appinit_dll qui m'a donné le chemin de la dll incriminée : sqlca.dll. Or cette dll n'existe pas (je vois pourtant tout les fichiers y compris ceux qui sont cachés, et meme en mode sans échec). Donc ça vient d'autre part. Y a aucun run au démarrage qui est suspect. Mon antivirus ne me donne rien de suspect également...
Je deviens fou!
0
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
14 juin 2004 à 23:33
salut
tente ceci
Copier ce contenu dans le bloc notes. Appelez-le fix.reg .Sauvegardez-le type " tout fichier ". Puis double-cliquez dessus pour enlever certaines entrées possibles du registre.
Texte à taper :

Windows Registry Editor Version 5.00 [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html] [-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]

Pour désinstaller le " réinstalleur " secret, faites ceci :

Démarrer->exécuter-> taper regedit

Naviguez à : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Surlignez Windows dans le panneau de gauche.

Cherchez dans le panneau droit : AppInit_Dlls . Cliquez droit et choisissez " modifier données binaires ".

Voici ce que l'on peut voir s'il y a une dll cachée à réinstaller :

----------------------------
This is now one looks when there is only one file loading.
0000 00 00 3A 00 5C 00 77 00 ..:.\.w.
0008 69 00 6E 00 64 00 6F 00 i.n.d.o.
0010 77 00 73 00 5C 00 73 00 w.s.\.s.
0018 79 00 73 00 74 00 65 00 y.s.t.e.
0020 6D 00 33 00 32 00 5C 00 m.3.2.\.
0028 6D 00 73 00 6B 00 6B 00 m.s.k.k.
0030 67 00 2E 00 64 00 6C 00 g...d.l.
0038 6C 00 00 00 l...

Ceci est un exemple. Notez le nom qui apparaît.
---------------------------

Démarrez " TheKillBox ". Dans Paste Full Path of File to Delete" copiez : c:\windows\system32\lenomtrouvé.dll
Dans le menu, choisissez "Delete on Reboot ".
Dans la fenêtre qui apparaît, cliquez le menu " File ", puis "Add File". c:\windows\system32\lenomtrouvé.dll
doit apparaître dans cette fenêtre. Puis dans le menu " Action " choisisssez : "Process and Reboot".

Redémarrer l'ordinateur.

Rechercher dans le registre la dll qui doit être visible maintenant supprimer l'entrée. Puis supprimer le fichier.

Ne pas se connecter une fois les dl faites jusqu'à la fin.
0
Réponse 47 / 164
luccio
14 juin 2004 à 14:27
Pour info mon hijack

Logfile of HijackThis v1.97.7
Scan saved at 14:27:49, on 14/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
e:\applications\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
E:\Applications\No-IP\DUC20.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
E:\Applications\Serv-U\ServUDaemon.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
E:\Applications\Logitech\iTouch\iTouch.exe
E:\Applications\Advertising Killer\AKiller.exe
E:\Applications\ie new window maximizer\ieneww~1.exe
E:\Applications\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\WINNT\system32\LVCOMSX.EXE
E:\Applications\Serv-U\ServUTray.exe
E:\Applications\Logitech\MouseWare\system\em_exec.exe
E:\Applications\GetRight\getright.exe
E:\Applications\eMule\emule.exe
E:\Applications\No-IP\DUC20.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
e:\applications\Kaspersky Anti-Virus Personal Pro\Avp32.exe
e:\applications\Kaspersky Anti-Virus Personal Pro\Avp32.exe
E:\APPLIC~1\INCRED~1\bin\IncMail.exe
E:\Applications\hijackthis\HijackThis.exe
E:\APPLIC~1\INCRED~1\bin\IMApp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\applications\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\APPLIC~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AF8E2A6C-7BB6-4E2E-BAAC-AE8D38F305B9} - C:\WINNT\system32\hdjfn.dll (file missing)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - E:\Applications\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Applications\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Advertising Killer] E:\Applications\Advertising Killer\AKiller.exe
O4 - HKLM\..\Run: [IE New Window Maximizer] E:\Applications\ie new window maximizer\ieneww~1.exe
O4 - HKLM\..\Run: [MBM 5] "E:\Applications\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ServUTrayIcon] E:\Applications\Serv-U\ServUTray.exe
O4 - HKCU\..\Run: [IncrediMail] E:\APPLIC~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpyKiller] E:\Applications\SpyKiller\spykiller.exe /startup
O4 - Startup: Connexion Free.lnk = C:\Program Files\Free.fr\connect.exe
O4 - Startup: Emule.lnk = E:\Applications\eMule\emule.exe
O4 - Startup: No-IP DUC.lnk = E:\Applications\No-IP\DUC20.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = E:\Applications\GetRight\getright.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\APPLIC~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Maximizer (HKLM)
O9 - Extra 'Tools' menuitem: IE New Window Maximizer (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: MoneySide (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: Interface Chat Voila - http://chat7.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat10.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
0
kea
14 juin 2004 à 23:53
pour supprimer la dll qui se trouve dans la key appinit il faut installer la console windows sinon nada tu ne la trouve pas
suis pas à pas mon tuto message 20
0
luccio > kea
15 juin 2004 à 08:25
je ne suis pas sous win xp mais sous win2k...
0
kea > luccio
15 juin 2004 à 09:22
c est la m^me procedure sous xp et 2000
0
Réponse 48 / 164
Tirailleur Messages postés 177 Date d'inscription mercredi 19 mai 2004 Statut Membre Dernière intervention 28 juin 2004 1
15 juin 2004 à 15:19
salut,

ferme internet explorer, relance HijackThis, coche ces lignes puis fais "fix checked" :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\LUCCIO1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {AF8E2A6C-7BB6-4E2E-BAAC-AE8D38F305B9} - C:\WINNT\system32\hdjfn.dll (file missing)
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab.

Redémarre.
reposte un nouveau HijackTHis et dis nous où tu en es
0
kea
15 juin 2004 à 15:51
cette manip ne fonctionne pas pour ce type de problème
ni hijackthis ni les autres logiciel ne resolve ce pb
0
Réponse 49 / 164
mandr@x
15 juin 2004 à 23:20
moi j'ai utilisé CWShredder , et fini la galère, si vous le voulez :
lien pour le DL
http://www.spywareinfo.com/~merijn/downloads.html



Pour virer les pages de démarrages imposées ......

CWShredder: (zipped) A small utility for removing CoolWebSearch (aka CoolWwwSearch, YouFindAll, White-Pages.ws and a dozen other names). Spybot S&D and Ad-aware tend to forget essential parts of the hijack, so until they update, you can use this to completely remove the hijack. This program is updated to remove the new variants once they come out.
0
kea
15 juin 2004 à 23:30
cette manip non plus ne fonctionne pas
je pense que sa a dejà été essayer merci de bien lire le sujet c est ecrit et d ailleurs les solution y sont
0
Gobbo's
15 juin 2004 à 23:52
Bonjour à tous,

Concerne Windows XP PRO.
je viens de régler mon problème ce soir en lançant strun.exe qui m'a identifié la cause du problème : sdkrd32.dll.
Une fois identifiée, et supprimée en mode console de récupération, j'ai lancé HijackThis.exe afin d'éliminer les dernières traces.
Par contre, concernant CWShredder, ne m'a personnellement rien apporté dans la résolution de mon problème.

Un grand merci à tous et plus particulièrement à KEA.

Bon courage à ceux qui galère encore, mais si vous lisez bien ce forum vous y trouverez la solution

Gobbo's
0
Réponse 50 / 164
Typhon59 Messages postés 8 Date d'inscription mardi 15 juin 2004 Statut Membre Dernière intervention 24 juin 2004
16 juin 2004 à 00:07
tiens je crois que j'ai le meme probleme que toi...
ca me fait bien ..... aussi
d'apres ce que j'ai vu ce serait un "hijack this" ??
mais bon no sé comment fo faire pr celui la il est bien chiant surtout que c'est a chq demarrage d'internet explorer qu'il change la base de registre
0
Gobbo's
16 juin 2004 à 00:18
Salut Typhon59

Concerne XP PRO
Non,
Strun.exe te permet d'identifier la DLL qui te modifie tes pages de démarrage, de recherche etc...que tu peux ensuite virer en mode console.
HijackThis.exe est le second outil que j'ai utilisé pour finaliser le nettoyage du registre.

Bye
0
Réponse 51 / 164
PattaP
16 juin 2004 à 02:05
Salut Kea, j'ai réussi à avoir le fameux spyware, ou appelez cela comme vous voulez, le problème du About:Blank, j'ai vu que tu avais écrit comment faire, dans le message 20 je crois, mais le problème, c'est que j'ai windows 98... Alors stp, pourrais-tu m'aider, et me répondre via email stp, et si tu as msn, me mettre sur ta liste, jaimerais vraiment beaucoup que tu m'aides, j'ai failli défoncer mon écran tout à l'heure... ça fait ... 5 jours que j'ai ce foutu problème... en tout cas, réponds moi stp...!
0
kea
16 juin 2004 à 07:36
There is no AppInit registry key in Windows 98. To find the reloader, I used PrcView (a download is available here:
http://www.spywareinfo.com/~merijn/files/pv.zip). I ran PrcView with an Explorer window open to find all operating dlls.
(Must run Runme9x and choose option 1—Explorer dll’s). I started by eliminating all dlls that were not in C:\Windows\System.
I then began checking the listed dlls that had no version no. or description.
I would search my C drive for each dll and also did a Google search for each dll. All the dlls (except one),
were found during a search of my C drive (and clicking “Properties” would usually provide information regarding the creator and version)
and using a Google search. However, there was one dll that returned no matches on the Google search, and was not located on the search of my C drive.
THIS WAS THE DEVIL. In my case, the name was resbb.dll. Merijn suggests that the offending dll will have a base code of 61c00000 and a size of 61440,
but that was not the case for me.
REMOVE THE HIDDEN RELOADER. I first used Killbox (instructions are available at http://www.spywareinfo.com/~merijn/cwschronicles.html),
but I do not think that worked. On reboot, the offending dll was still visible with PrcView. To finally wipe out this devil,
I followed the instructions provided by Shadowwar here: http://www.wilderssecurity.com/show...00&postcount=25

1. Reboot in safe mode (press F8 at reboot)
2. Select command prompt only.
3. Once I got to dos at c:\ prompt, I typed: cd windows
4. At the next prompt, I typed: cd system
5. At the C:\WINDOWS\SYSTEM\> prompt, I typed: del resbb.dll
6. Turned the power off, and then restarted.

On restart I got an Error message that resbb.dll could not be located. BEST ERROR MESSAGE I EVER GOT.

I ran the clean-up tools, but all showed AOK. System works fine now.

For anyone trying to tackle this problem with Windows 98, I strongly recommend reviewing the Merijn’s CoolWebSearch Chronicles and the entire thread
0
Christophe > kea
16 juin 2004 à 11:03
Salut Kea,

C'est la solution que tu m'avais déjà donnée en msg 109 et je t'en remercie beaucoup. Cette solution permet en effet de se débarrasser de la dll cachée qui "reloade" les dll aléatoires (si j'ai bien compris). Ainsi je n'ai plus cette dll dans c:/windows/system. Et pour l'instant ma page de démarrage est restée stable sur google.fr depuis hier. Donc tout semble aller bien...

MAIS... ce qui me semble curieux c'est que HijackThis me donne encore les lignes suivantes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

La page sp.html est liée à Searchx. Si je fix les 4 lignes où elle apparaît, elles reviennent automatiquement au bout de quelques minutes lorsque IE est ouvert...

Alors je me demande si je suis bien clean... Je ne crois pas...

Qu'en penses-tu ?

MERCI !
0
kea > Christophe
16 juin 2004 à 14:16
si ces pages revienne sans arret à l'ouverture de IE c est pas normal
tu as du mal faire la manip car il y à une dll qui se met dans windows/system et une autre qui est cacher et c'est elle qui se replique pour ce mettre dans : windows/system
qu' est ce que tu obtient comme log avec
http://www.spywareinfo.com/~merijn/files/pv.zip
en cliquant sur runme9x.BAT
puis sous dos :
tu tape : 1 qui correspond à : 1. Explorer Dll's
tu obtient un log (fichier texte) colle le ici
0
Christophe > kea
16 juin 2004 à 14:22
Merci de ta réponse Kea,

Voici le log de RunMe9x:


Module information for 'EXPLORER.EXE'
MODULE BASE SIZE PATH
COPERNICFIND.DLL 1780000 53248 C:\PROGRAM FILES\COPERNIC 2000\COPERNICFIND.DLL
MYDOCS.DLL 792a0000 69632 C:\WINDOWS\SYSTEM\MYDOCS.DLL 4.72.3510.2300 Interface utilisateur pour le dossier Mes documents
CRTDLL.DLL 7fc00000 180224 C:\WINDOWS\SYSTEM\CRTDLL.DLL 3.50 Microsoft C Runtime Library
IMGUTIL.DLL 70510000 40960 C:\WINDOWS\SYSTEM\IMGUTIL.DLL 6.00.2800.1106 IE plugin image decoder support DLL
JSCRIPT.DLL 6b700000 589824 C:\WINDOWS\SYSTEM\JSCRIPT.DLL 5.6.0.8513 Microsoft (r) JScript
RSABASE.DLL 7ca00000 110592 C:\WINDOWS\SYSTEM\RSABASE.DLL 5.00.1877.7 Microsoft Base Cryptographic Provider (Export Version)
SOFTPUB.DLL 47a80000 73728 C:\WINDOWS\SYSTEM\SOFTPUB.DLL 5.131.1877.4 Fournisseur de polices de certificats de confiance Microsoft
WINTRUST.DLL 71590000 57344 C:\WINDOWS\SYSTEM\WINTRUST.DLL 5.131.1877.5 Microsoft Trust Verification APIs
SCRAUTH.DLL 1740000 102400 C:\PROGRAM FILES\FICHIERS COMMUNS\SYMANTEC SHARED\SCRIPT BLOCKING\SCRAUTH.DLL 1, 0, 0, 33 ScriptBlocking Authenticator
BROWSELC.DLL 718e0000 77824 C:\WINDOWS\SYSTEM\BROWSELC.DLL 6.00.2800.1106 Bibliothèque de l'interface utilisateur du navigateur Shell
CFGMGR32.DLL 7f7f0000 45056 C:\WINDOWS\SYSTEM\CFGMGR32.DLL 4.10.1998 Configuration Manager Win32 Interface
NTDLL.DLL bfee0000 20480 C:\WINDOWS\SYSTEM\NTDLL.DLL 4.10.1998 Win32 NTDLL core component
ES.DLL 1a00000 118784 C:\WINDOWS\SYSTEM\ES.DLL 1998.09.1003.0 COM+ EventSystem Library
SENS.DLL 60100000 69632 C:\WINDOWS\SYSTEM\SENS.DLL 5.50.4807.2300 System Event Notification Service (SENS)
ESTIER2.DLL 17f0000 61440 C:\WINDOWS\SYSTEM\ESTIER2.DLL 1998.09.1003.0 COM+ EventSystem Service Library
ESSHARED.DLL 1800000 69632 C:\WINDOWS\SYSTEM\ESSHARED.DLL 1998.09.1003.0 COM+ EventSystem Shared Utilities
WEBCHECK.DLL 70340000 274432 C:\WINDOWS\SYSTEM\WEBCHECK.DLL 6.00.2800.1106 Contrôleur de site Web
LINKINFO.DLL 7fb80000 36864 C:\WINDOWS\SYSTEM\LINKINFO.DLL 4.10.1998 Windows Volume Tracking
IMM32.DLL bfe20000 16384 C:\WINDOWS\SYSTEM\IMM32.DLL 4.10.1998 Win32 IMM32 core component
MSLS31.DLL 48080000 159744 C:\WINDOWS\SYSTEM\MSLS31.DLL 3.10.349.0 Microsoft Line Services library file
SHDOCLC.DLL 1640000 569344 C:\WINDOWS\SYSTEM\SHDOCLC.DLL 6.00.2800.1106 Bibliothèque d'objets et de contrôles de documents de l'environnement
MSI.DLL 24400000 1708032 C:\WINDOWS\SYSTEM\MSI.DLL 1.10.1029.1 Windows Installer
MSSHRUI.DLL 7f910000 98304 C:\WINDOWS\SYSTEM\MSSHRUI.DLL 4.10.1998 Extensions du Shell pour le partage
RASAPI32.DLL 7f860000 225280 C:\WINDOWS\SYSTEM\RASAPI32.DLL 4.10.2222 Bibliothèque de liaisons dynamiques d'Accès réseau à distance
WSOCK32.DLL 75dc0000 40960 C:\WINDOWS\SYSTEM\WSOCK32.DLL 4.10.1998 API de socket BSD pour Windows
MSWSOCK.DLL 79480000 86016 C:\WINDOWS\SYSTEM\MSWSOCK.DLL 4.10.2222 APIs de l'extension Microsoft WinSock
WS2_32.DLL 75e20000 73728 C:\WINDOWS\SYSTEM\WS2_32.DLL 4.10.2222 Windows Socket 2.0 32-Bit DLL
WS2HELP.DLL 78630000 24576 C:\WINDOWS\SYSTEM\WS2HELP.DLL 4.10.1998 Windows Socket 2.0 Helper for Windows 98
SECUR32.DLL 7f850000 40960 C:\WINDOWS\SYSTEM\SECUR32.DLL 4.10.2222 Microsoft Win32 Security Services
MSVCRT20.DLL 7fc30000 282624 C:\WINDOWS\SYSTEM\MSVCRT20.DLL 2.11.000 Microsoft® C Runtime Library
SVRAPI.DLL 7f940000 32768 C:\WINDOWS\SYSTEM\SVRAPI.DLL 4.10.1998 32-bit common Server API library
MSNET32.DLL 7f300000 77824 C:\WINDOWS\SYSTEM\MSNET32.DLL 4.10.2224 Bibliothèque d'API réseau 32 bits Microsoft
MSPWL32.DLL 7fb40000 40960 C:\WINDOWS\SYSTEM\MSPWL32.DLL 4.10.1998 Password list management library
TAPI32.DLL 7f950000 122880 C:\WINDOWS\SYSTEM\TAPI32.DLL 4.10.2222 DLL client API de téléphonie Microsoft® Windows(TM)
NETAPI32.DLL 7f980000 20480 C:\WINDOWS\SYSTEM\NETAPI32.DLL 4.10.1998 32-bit network API DLL
NETBIOS.DLL 7f820000 32768 C:\WINDOWS\SYSTEM\NETBIOS.DLL
MPR.DLL 7fbf0000 57344 C:\WINDOWS\SYSTEM\MPR.DLL 4.10.1998 DLL d'interface réseau WIN32
SHFOLDER.DLL 71930000 32768 C:\WINDOWS\SYSTEM\SHFOLDER.DLL 6.00.2800.1106 Shell Folder Service
WININET.DLL 70200000 614400 C:\WINDOWS\SYSTEM\WININET.DLL 6.00.2800.1106 Extensions Internet pour Win32
CRYPT32.DLL 5cf00000 389120 C:\WINDOWS\SYSTEM\CRYPT32.DLL 5.131.1877.5 Crypto API32
MSOSS.DLL 5e380000 151552 C:\WINDOWS\SYSTEM\MSOSS.DLL 5.131.1877.3 Microsoft Trust ASN APIs
OLEAUT32.DLL 65340000 634880 C:\WINDOWS\SYSTEM\OLEAUT32.DLL 2.40.4518
MSHTML.DLL 63580000 2818048 C:\WINDOWS\SYSTEM\MSHTML.DLL 6.00.2800.1226 Visionneuse HTML Microsoft (R)
MLANG.DLL 70440000 585728 C:\WINDOWS\SYSTEM\MLANG.DLL 6.00.2800.1106 Multi Language Support DLL
URLMON.DLL 1a400000 499712 C:\WINDOWS\SYSTEM\URLMON.DLL 6.00.2800.1226 Extensions OLE32 pour Win32
VERSION.DLL bfe70000 24576 C:\WINDOWS\SYSTEM\VERSION.DLL 4.10.1998 Win32 VERSION core component
RPCRT4.DLL 7fb90000 335872 C:\WINDOWS\SYSTEM\RPCRT4.DLL 4.71.2900 Remote Procedure Call DLL
SHD401LC.DLL 880000 61440 C:\WINDOWS\SYSTEM\SHD401LC.DLL 5.50.4914.1400 Shell Doc Object and Control Library - IE 4.01 compat
BROWSEUI.DLL 71160000 1036288 C:\WINDOWS\SYSTEM\BROWSEUI.DLL 6.00.2800.1106 Bibliothèque de l'interface utilisateur du navigateur
SHDOC401.DLL 50000000 507904 C:\WINDOWS\SYSTEM\SHDOC401.DLL 5.50.4914.1400 Shell Doc Object and Control Library - IE 4.01 compat
OLE32.DLL 7ff20000 790528 C:\WINDOWS\SYSTEM\OLE32.DLL 4.71.2900 Microsoft OLE for Windows and Windows NT
SHDOCVW.DLL 71700000 1347584 C:\WINDOWS\SYSTEM\SHDOCVW.DLL 6.00.2800.1203 Bibliothèque d'objets et de contrôles de documents de l'environnement
SHELL32.DLL 66800000 1413120 C:\WINDOWS\SYSTEM\SHELL32.DLL 4.72.3812.600 DLL environnement Windows
EXPLORER.EXE 400000 180224 C:\WINDOWS\EXPLORER.EXE 4.72.3110.1 Explorateur Windows
COMCTL32.DLL bfb70000 557056 C:\WINDOWS\SYSTEM\COMCTL32.DLL 5.81 Common Controls Library
SHLWAPI.DLL 63180000 413696 C:\WINDOWS\SYSTEM\SHLWAPI.DLL 6.00.2800.1226 Bibliothèque d'utilitaires légers du Shell
MSVCRT.DLL 78000000 286720 C:\WINDOWS\SYSTEM\MSVCRT.DLL 6.10.8637.0 Microsoft (R) C Runtime Library
USER32.DLL bff50000 69632 C:\WINDOWS\SYSTEM\USER32.DLL 4.10.2222 Win32 USER32 core component
GDI32.DLL bff20000 155648 C:\WINDOWS\SYSTEM\GDI32.DLL 4.10.1998 Win32 GDI core component
ADVAPI32.DLL bfe80000 65536 C:\WINDOWS\SYSTEM\ADVAPI32.DLL 4.80.1675 Win32 ADVAPI32 core component
KERNEL32.DLL bff70000 479232 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.10.2222 Composant Kernel Win32
0
kea > Christophe
17 juin 2004 à 12:35
n 'ayant pas trop le temps de chercher voici le log d un windows 98
qui vient d 'être installer


Module information for 'EXPLORER.EXE'
MODULE BASE SIZE PATH
MSHTMLED.DLL 70f10000 417792 C:\WINDOWS\SYSTEM\MSHTMLED.DLL 5.50.4807.2300 Composant d'édition HTML Microsoft (R)
IMGUTIL.DLL 70540000 40960 C:\WINDOWS\SYSTEM\IMGUTIL.DLL 5.50.4807.2300 IE plugin image decoder support DLL
MSLS31.DLL 48080000 163840 C:\WINDOWS\SYSTEM\MSLS31.DLL 3.10.337.0 Microsoft Line Services library file
WEBVW.DLL 761a0000 249856 C:\WINDOWS\SYSTEM\WEBVW.DLL 5.00.0312.0 Shell WebView Content & Control Library
MSHTML.DLL 70000000 2768896 C:\WINDOWS\SYSTEM\MSHTML.DLL 5.50.4930.1700 Visionneuse HTML Microsoft (R)
VNCHOOKS.DLL 10000000 61440 C:\PROGRAM FILES\REALVNC\WINVNC\VNCHOOKS.DLL 3, 3, 7, 0 VNC hooks DLL for Win32
MYDOCS.DLL 792a0000 69632 C:\WINDOWS\SYSTEM\MYDOCS.DLL 4.72.3510.2300 Interface utilisateur pour le dossier Mes documents
WINMM.DLL bfdf0000 65536 C:\WINDOWS\SYSTEM\WINMM.DLL 4.03.1998 System APIs for Multimedia
JSCRIPT.DLL 6b700000 552960 C:\WINDOWS\SYSTEM\JSCRIPT.DLL 5.5.0.8513 Microsoft (r) JScript
SHDOCLC.DLL 717d0000 421888 C:\WINDOWS\SYSTEM\SHDOCLC.DLL 5.50.4807.2300 Bibliothèque Shell de contrôles et d'objets-documents
MLANG.DLL 70470000 557056 C:\WINDOWS\SYSTEM\MLANG.DLL 5.50.4807.2300 Multi Language Support DLL
URLMON.DLL 1a400000 471040 C:\WINDOWS\SYSTEM\URLMON.DLL 5.50.4931.1000 Extensions OLE32 pour Win32
BROWSELC.DLL 71850000 49152 C:\WINDOWS\SYSTEM\BROWSELC.DLL 5.50.4807.2300 Bibliothèque de l'interface utilisateur du navigateur Shell
WINTRUST.DLL 1420000 57344 C:\WINDOWS\SYSTEM\WINTRUST.DLL 5.131.1877.5 Microsoft Trust Verification APIs
CRYPT32.DLL 5cf00000 389120 C:\WINDOWS\SYSTEM\CRYPT32.DLL 5.131.1877.5 Crypto API32
MSOSS.DLL 5e380000 151552 C:\WINDOWS\SYSTEM\MSOSS.DLL 5.131.1877.3 Microsoft Trust ASN APIs
VERSION.DLL bfe70000 24576 C:\WINDOWS\SYSTEM\VERSION.DLL 4.10.1998 Win32 VERSION core component
CFGMGR32.DLL 7f7f0000 45056 C:\WINDOWS\SYSTEM\CFGMGR32.DLL 4.10.1998 Configuration Manager Win32 Interface
NTDLL.DLL bfee0000 20480 C:\WINDOWS\SYSTEM\NTDLL.DLL 4.10.1998 Win32 NTDLL core component
IPHLPAPI.DLL 7ca30000 32768 C:\WINDOWS\SYSTEM\IPHLPAPI.DLL 5.00.1717.2 IP Helper API
MSAFD.DLL 7b430000 45056 C:\WINDOWS\SYSTEM\MSAFD.DLL 4.10.1998 Fournisseur de service Sockets 2.0 de Microsoft Windows
IPCFGDLL.DLL 7ca50000 28672 C:\WINDOWS\SYSTEM\IPCFGDLL.DLL 5.00.1717.2 Ipconfig API DLL
DHCPCSVC.DLL 7df40000 28672 C:\WINDOWS\SYSTEM\DHCPCSVC.DLL
ICMP.DLL 7d070000 24576 C:\WINDOWS\SYSTEM\ICMP.DLL 5.00.1454.1 ICMP DLL
WSOCK32.DLL 75dc0000 40960 C:\WINDOWS\SYSTEM\WSOCK32.DLL 4.10.1998 API de socket BSD pour Windows
MSWSOCK.DLL 79480000 86016 C:\WINDOWS\SYSTEM\MSWSOCK.DLL 4.10.2222 APIs de l'extension Microsoft WinSock
WS2_32.DLL 75e20000 73728 C:\WINDOWS\SYSTEM\WS2_32.DLL 4.10.2222 Windows Socket 2.0 32-Bit DLL
WS2HELP.DLL 75e00000 24576 C:\WINDOWS\SYSTEM\WS2HELP.DLL 4.10.1998 Windows Socket 2.0 Helper for Windows 98
ES.DLL 716d0000 114688 C:\WINDOWS\SYSTEM\ES.DLL 1998.09.1003.0 COM+ EventSystem Library
OLEAUT32.DLL 779a0000 634880 C:\WINDOWS\SYSTEM\OLEAUT32.DLL 2.40.4522
SENS.DLL 60100000 90112 C:\WINDOWS\SYSTEM\SENS.DLL 5.50.4807.2300 System Event Notification Service (SENS)
ESTIER2.DLL 71720000 61440 C:\WINDOWS\SYSTEM\ESTIER2.DLL 1998.09.1003.0 COM+ EventSystem Service Library
ESSHARED.DLL 71700000 65536 C:\WINDOWS\SYSTEM\ESSHARED.DLL 1998.09.1003.0 COM+ EventSystem Shared Utilities
SHFOLDER.DLL 71890000 32768 C:\WINDOWS\SYSTEM\SHFOLDER.DLL 5.50.4807.2300 Shell Folder Service
WININET.DLL 63000000 499712 C:\WINDOWS\SYSTEM\WININET.DLL 5.50.4918.600 Extensions Internet pour Win32
TAPI32.DLL 7f950000 122880 C:\WINDOWS\SYSTEM\TAPI32.DLL 4.10.2222 DLL client API de téléphonie Microsoft® Windows(TM)
RPCRT4.DLL 7fb90000 335872 C:\WINDOWS\SYSTEM\RPCRT4.DLL 4.71.2900 Remote Procedure Call DLL
WEBCHECK.DLL 70320000 278528 C:\WINDOWS\SYSTEM\WEBCHECK.DLL 5.50.4807.2300 Contrôleur de site Web
MSI.DLL 3f000000 1544192 C:\WINDOWS\SYSTEM\MSI.DLL 1.00.5104.0 Windows Installer
LINKINFO.DLL 7fb80000 36864 C:\WINDOWS\SYSTEM\LINKINFO.DLL 4.10.1998 Windows Volume Tracking
MSSHRUI.DLL 7f910000 98304 C:\WINDOWS\SYSTEM\MSSHRUI.DLL 4.10.1998 Extensions du Shell pour le partage
SVRAPI.DLL 7f940000 32768 C:\WINDOWS\SYSTEM\SVRAPI.DLL 4.10.1998 32-bit common Server API library
MSNET32.DLL 7f300000 77824 C:\WINDOWS\SYSTEM\MSNET32.DLL 4.10.2224 Bibliothèque d'API réseau 32 bits Microsoft
MPR.DLL 7fbf0000 57344 C:\WINDOWS\SYSTEM\MPR.DLL 4.10.1998 DLL d'interface réseau WIN32
SHD401LC.DLL 880000 61440 C:\WINDOWS\SYSTEM\SHD401LC.DLL 5.50.4807.2300 Shell Doc Object and Control Library - IE 4.01 compat
BROWSEUI.DLL 71110000 823296 C:\WINDOWS\SYSTEM\BROWSEUI.DLL 5.50.4807.2300 Bibliothèque de l'interface utilisateur du navigateur Shell
SHDOC401.DLL 50000000 512000 C:\WINDOWS\SYSTEM\SHDOC401.DLL 5.50.4807.2300 Shell Doc Object and Control Library - IE 4.01 compat
OLE32.DLL 7ff20000 790528 C:\WINDOWS\SYSTEM\OLE32.DLL 4.71.2900 Microsoft OLE for Windows and Windows NT
SHDOCVW.DLL 71500000 1163264 C:\WINDOWS\SYSTEM\SHDOCVW.DLL 5.50.4929.2200 Shell Doc Object and Control Library
MSVCRT.DLL 78000000 282624 C:\WINDOWS\SYSTEM\MSVCRT.DLL 6.10.9844.0 Microsoft (R) C Runtime Library
SHELL32.DLL 66800000 1413120 C:\WINDOWS\SYSTEM\SHELL32.DLL 4.72.3812.600 DLL environnement Windows
EXPLORER.EXE 400000 180224 C:\WINDOWS\EXPLORER.EXE 4.72.3110.1 Explorateur Windows
COMCTL32.DLL bfb70000 581632 C:\WINDOWS\SYSTEM\COMCTL32.DLL 5.81 Common Controls Library
SHLWAPI.DLL 63180000 311296 C:\WINDOWS\SYSTEM\SHLWAPI.DLL 5.50.4930.1200 Bibliothèque d'utilitaires légers du Shell
USER32.DLL bfc00000 69632 C:\WINDOWS\SYSTEM\USER32.DLL 4.10.2227 Win32 USER32 core component
GDI32.DLL bff20000 155648 C:\WINDOWS\SYSTEM\GDI32.DLL 4.10.1998 Win32 GDI core component
ADVAPI32.DLL bfe80000 65536 C:\WINDOWS\SYSTEM\ADVAPI32.DLL 4.80.1675 Win32 ADVAPI32 core component
KERNEL32.DLL bff70000 479232 C:\WINDOWS\SYSTEM\KERNEL32.DLL 4.10.2222 Composant Kernel Win32
0
Réponse 52 / 164
kea
16 juin 2004 à 14:07
celle ci tu peut les supprimer avec hijack maintenant tu est clean
car le principale est supprimer la dll qui est cacher
0
Christophe
16 juin 2004 à 14:19
Oui, mais quand je les fais disparaître par HijackThis, ces R0 et R1 reviennent toujours au bout de quelques minutes !!! Comment cela se fait-il ? C'est ce que je ne comprends pas...

A noter que pour faire disparaître la dll cachée, il y a maintenant un freeware allemand qui marche très bien (valable aussi pour W98 !) et qui évite bien des manipulations :

http://www.rokop-security.de/main/article.php?sid=750

Christophe.
0
jpr222
16 juin 2004 à 21:48
bonsoir kea, j'ai suivi ton conseil (post 20) et j'ai été voir la clé AppIni_Dlls avec reglite mais comme valeur, je n'ai que le chemin dans le registre qui mène à la clé, càd: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
j'ai aussi suivi le conseil de balltrap34 (post 111)et j'ai édité les données binaires de appIni_Dlls et là encore, je ne vois pas apparaître un nom de dll mais le chemin qui mène à la clé...
à part ça j'ai bloqué l'écriture dans le registre pour garder ma start page mais je n'arrive pas à conserver ma configuration de page IE (barre d'outils, favoris affichés sur la gauche, etc...)
qu'en penses tu?
merci
0
kea > jpr222
16 juin 2004 à 22:43
avant de bloqué l ecriture du registre change tes pages
tu est sous quel windows
0
jpr222 > kea
16 juin 2004 à 22:57
pardon, XP... j'ai changé les pages, j'ai fait tout ce que tu a dit (je me bat de puis hier 13h, lol)
A+
0
kea > jpr222
17 juin 2004 à 00:39
avec reglite ques ce que tu as dans la case value dans cette clef:
AppInit_DLLs
qui se trouve dans :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
0
Réponse 53 / 164
mike
16 juin 2004 à 19:29
Salut j'ai le problème de about: blank sous windows 98...
Est ce que vous pourriez me guidez pour m'en débarasser. Je sais que c'est expliquer dans les messages précédents mais je suis pas très fort en informatique alors un peu d'aides serait pas de refus...
0
Réponse 54 / 164
PattaP
17 juin 2004 à 00:43
STP KEA, vraiment, STP, envois moi ton msn, jsuis vraiment pas capable dme débrouiller tout seul...
0
kea
17 juin 2004 à 12:38
pour msn c est pas possible car je suis au taff
explique ta situation
0
Réponse 55 / 164
luccio
17 juin 2004 à 08:35
J'ai enfin réussi à me débarasser de ce p... de virus.
Personnellement le plus difficile à éliminer depuis que je combats contre eux!
Par contre, j'aimerais bien savoir comment j'ai pu l'attraper...Sachant que je scanne systématiquement toutes les pièces attachées à mes mails et que j'ai un bon antivirus mis à jour régulièrement...
Vous savez quel est le mode d'infection afin d'éviter que ça ne se reproduise une fois de plus??
Merci!
0
kea
17 juin 2004 à 12:37
c est en naviguant sur le net tout simplement
pour l eviter un windows update ou mieux
change de naviguateur
0
Réponse 56 / 164
bmz1
18 juin 2004 à 12:25
Salut à tous, et bravo a kea ses conseils sont parfaits, j'ai trouvé la ddl avec startup.exe, effacée avec un éditeur de registre. Pour l'enlever du disque dur, un redémarrage mode "sans echec", suppression du dossier \windows\system32. Pourle moment ça baigne !!!

@+++ :)
0
Réponse 57 / 164
mike
18 juin 2004 à 15:05
J'ai essayer de faire la manip (windows 98) mais je ne trouve pas HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS.
En effet, sous WindowsNT\CurrentVersion je n'ai que les répertoires drivers.desc et driver32.
Qu'est ce que je doit faire svp?
0
kea
20 juin 2004 à 02:05
cette manip c est pour windows xp ou 2000
il y a des message sur 98
0
Réponse 58 / 164
steak
18 juin 2004 à 19:53
j'ai eu ce fameux probleme aussi
mais grace a kea : pu de probleme !!!! merci beaucoup !
mais il me reste encore un petit bug ...
maintenant , mon pc ( sous xp ) mets quelques minutes a s'allumer ( au lieu de 40 à 50s auparavant ) , le fond d'écran du bureau , reste statique , sans icones !!!
puis les icones apparaissent ...
bref ! c très long !
donc si quelqu'un savait d'où ceci pouvait venir , je le remercie beaucoup !!
bonne soirée a tous !!
merci
steak
0
Réponse 59 / 164
Sigma HX1 204
18 juin 2004 à 22:16
Salut les gens !

Petit message pour Kéa, mais toutes les autres suggestions sont bienvenues :

j'ai XP sur mon portable Toshiba. J'ai la page "http://213.159.117.132/index.php" au démarrage de Windows. J'ai tenté la première soluce (6), mais, à peine j'en arrive à l'étape 5.1 que la moindre nouvelle valeur que je tape est automatiquement remplacée par l'ancienne (je travaille avec regedit de windows). Alors, je suis passé au message 54 de Kea. Avec Registrar Lite, j'arrive à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
Mais je n'ai rien qui s'appelle "\AppInit_DLLs"

Que dois-je faire ?

D'avance merci pour votre aide.

A+.

Sigma.
0
kea
20 juin 2004 à 02:02
ton pb n est pas le même que celui de ce sujet
essaye de mettre un coup hijackthis
au pire met ton log ici
0
Sigma HX1 204 > kea
20 juin 2004 à 23:02
Salut !

Désolé, je pensais pas être hors-sujet...

Mon log :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Defrag - DiskeeperLite\DKService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfcup.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mfcgn32.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Sigma\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhadu.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhadu.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhadu.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hhadu.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hhadu.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hhadu.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {F514A8BE-BE2B-3710-CB9C-43C461BF044F} - C:\WINDOWS\ntaz32.dll
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
O4 - HKLM\..\Run: [mfcgn32.exe] C:\WINDOWS\system32\mfcgn32.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddList.html
O9 - Extra button: Run WinHTTrack (HKLM)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDF49377-9AE6-4D80-BD97-BCCCB817203C}: NameServer = 213.228.0.23 212.27.39.1

Je fais quoi ?

Merci d'avance.

Sigma.
0
Sigma HX1 > Sigma HX1 204
22 juin 2004 à 22:00
Ben alors, plus de réponse ?

Je fais koi ?

Sigma.
0
Réponse 60 / 164
florian
19 juin 2004 à 07:42
boujour
j'ai un petit probleme je vous explique pour accedez a intrenet j'ai adsl . je dois allez dans { outils,options internet,contenu et puis c inscrit et je dois mettre mon mots de passe,
un mot de passe et active (un cote de l'autre ]et pour acceder je dois allez ds tous ces programme pour acceder internet et comment enveler ce mots de passe .
si vous savez comment on fait , venez a me cocontacter gars821@hotmail.com ..merci j'espere a avoir des reponse reppondez svp
0
kea
20 juin 2004 à 01:59
ce n est pas le sujet alors evite de polluer merci
voici ta réponse

Si vous avez perdu le mot de passe de votre gestionnaire d'accès sous internet explorer, éditez votre base de registre (démarrer/executer/"regedit"), et supprimez la clé "Key" dans le dossier[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Ratings]
0

Discussions similaires

[PIX] Commencer chaque poème sur une nouvelle page
ETHAN -
Willzac -

19 réponses
[référencement] Ne pas être référencé
kij_82 -
Searaphina -

10 réponses