[OK] Nouveau hijacker

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK] Nouveau hijacker

Messagede cyrillenet » 20 Juin 2004, 03:28

Bonjour,

Je suis nouveau ici, mais je ne suis pas venu les mains vides.

Depuis trois jours, je me bats avec ma page de démarrage qui n'arrête pas de se modifier en res://llaws.dll/index.html#96676 (le fichier .dll changeant de nom à chaque fois qu'on lui fait la peau).

De plus, si je fais des recherches avec google ou autre moteur de recherche une autre fenêtre s'ouvre sur un autre moteur de recherche en anglais inconnu.
Autre problème tous les hyperliens se transforme "goto+le lien" et si tu cliques dessus cela renvoie à ce même moteur de recherche.

j'ai tout essayé "La manip" , tous les logiciels antihijack, antispyware etc...

et rien, le problème toujours là.

Dans les forums américains, ils en parlent, mais toujours pas de solutions.

Je vous fais parvenir un petit hijackthis aussi.


Logfile of HijackThis v1.97.7
Scan saved at 03:59:42, on 20/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\appkb32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\addcz.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Fichiers communs\RTE\RTEGPRS.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\Sony Handheld\HOTSYNC.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\cyrille\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\llaws.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://llaws.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\llaws.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://llaws.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\llaws.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = cyrille
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://global.acer.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12322E36-9432-4B58-CFAE-AF461F87C2DB} - C:\WINDOWS\javapt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [WG511WLU] C:\Program Files\NETGEAR\WG511\Utility\WG511WLU.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [addcz.exe] C:\WINDOWS\system32\addcz.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\RunOnce: [appkb32.exe] C:\WINDOWS\system32\appkb32.exe
O4 - HKLM\..\RunOnce: [sdkyq32.exe] C:\WINDOWS\system32\sdkyq32.exe
O4 - HKLM\..\RunOnce: [mshh.exe] C:\WINDOWS\mshh.exe
O4 - HKLM\..\RunOnce: [ipcu.exe] C:\WINDOWS\system32\ipcu.exe
O4 - HKLM\..\RunOnce: [mfctn32.exe] C:\WINDOWS\mfctn32.exe
O4 - HKLM\..\RunOnce: [d3dp32.exe] C:\WINDOWS\d3dp32.exe
O4 - HKLM\..\RunOnce: [apiqm32.exe] C:\WINDOWS\apiqm32.exe
O4 - HKLM\..\RunOnce: [netze.exe] C:\WINDOWS\netze.exe
O4 - HKLM\..\RunOnce: [ipeb.exe] C:\WINDOWS\ipeb.exe
O4 - HKLM\..\RunOnce: [sdkeo32.exe] C:\WINDOWS\system32\sdkeo32.exe
O4 - HKLM\..\RunOnce: [crbv.exe] C:\WINDOWS\crbv.exe
O4 - HKLM\..\RunOnce: [crni32.exe] C:\WINDOWS\crni32.exe
O4 - HKLM\..\RunOnce: [javajr32.exe] C:\WINDOWS\system32\javajr32.exe
O4 - HKLM\..\RunOnce: [appdq32.exe] C:\WINDOWS\appdq32.exe
O4 - HKLM\..\RunOnce: [apptg32.exe] C:\WINDOWS\apptg32.exe
O4 - HKLM\..\RunOnce: [netgp32.exe] C:\WINDOWS\system32\netgp32.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Sony Handheld\HOTSYNC.EXE
O4 - Startup: Démarrage d'Office.lnk.disabled
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 5326388889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/sho ... wflash.cab

SOS SOS

Merci d'avance de vos réponses.
cyrillenet
 
Messages: 3
Inscription: 20 Juin 2004, 02:33

Messagede bay » 20 Juin 2004, 07:13

Bonjour , normalement iSearch toolbar plus de détails sur le site assiste.com

a supprimer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\llaws.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://llaws.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\llaws.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://llaws.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\llaws.dll/sp.html#96676
O2 - BHO: (no name) - {12322E36-9432-4B58-CFAE-AF461F87C2DB} - C:\WINDOWS\javapt.dll
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
C:\WINDOWS\system32\addcz.exe
O4 - HKLM\..\Run: [addcz.exe] C:\WINDOWS\system32\addcz.exe


A verifier , mais suspect également
O4 - HKLM\..\RunOnce: [appkb32.exe] C:\WINDOWS\system32\appkb32.exe
O4 - HKLM\..\RunOnce: [sdkyq32.exe] C:\WINDOWS\system32\sdkyq32.exe
O4 - HKLM\..\RunOnce: [mshh.exe] C:\WINDOWS\mshh.exe
O4 - HKLM\..\RunOnce: [ipcu.exe] C:\WINDOWS\system32\ipcu.exe
O4 - HKLM\..\RunOnce: [mfctn32.exe] C:\WINDOWS\mfctn32.exe
O4 - HKLM\..\RunOnce: [d3dp32.exe] C:\WINDOWS\d3dp32.exe
O4 - HKLM\..\RunOnce: [apiqm32.exe] C:\WINDOWS\apiqm32.exe
O4 - HKLM\..\RunOnce: [netze.exe] C:\WINDOWS\netze.exe
O4 - HKLM\..\RunOnce: [ipeb.exe] C:\WINDOWS\ipeb.exe
O4 - HKLM\..\RunOnce: [sdkeo32.exe] C:\WINDOWS\system32\sdkeo32.exe
O4 - HKLM\..\RunOnce: [crbv.exe] C:\WINDOWS\crbv.exe
O4 - HKLM\..\RunOnce: [crni32.exe] C:\WINDOWS\crni32.exe
O4 - HKLM\..\RunOnce: [javajr32.exe] C:\WINDOWS\system32\javajr32.exe
O4 - HKLM\..\RunOnce: [appdq32.exe] C:\WINDOWS\appdq32.exe
O4 - HKLM\..\RunOnce: [apptg32.exe] C:\WINDOWS\apptg32.exe
O4 - HKLM\..\RunOnce: [netgp32.exe] C:\WINDOWS\system32\netgp32.exe

Suspect également
O2 - BHO: (no name) - {12322E36-9432-4B58-CFAE-AF461F87C2DB} - C:\WINDOWS\javapt.dll

Attention sous XP desactiver la restauration avant d'effectuer Hijackthis , fixer les éléments à supprimer, vider le cache de IE,effacer les fichiers temp et ensuite réactiver la restauration système !
Supprimer également si présent les dll suivantes
llaws.dll
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede bay » 20 Juin 2004, 07:19

Bonjour, à propos de iSearch , il existe une procédure de désinstallation http://toolbar.isearch.com/uninstall/ , à tester également !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede cyrillenet » 20 Juin 2004, 10:21

bay a écrit:Bonjour, à propos de iSearch , il existe une procédure de désinstallation http://toolbar.isearch.com/uninstall/ , à tester également !



Désolé de vous decevoir j'ai été victime de isearch il y a quelque mois et j'ai bien desinstallé mais c'est autre chose qui vient d'apparaitre. ce n'est pas une toolbar, mais bien une page de demarrage imposée et le fichier dll change de nom à chaque fois. il est indiqué dans les forum américain que rien ne l'accroche pour s'en débarrasser.
cyrillenet
 
Messages: 3
Inscription: 20 Juin 2004, 02:33

Messagede bay » 20 Juin 2004, 10:51

Bonjour, ceci
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
est un élément d'infection par iSearch , pour verification faites un scan avec IE sur le site de Petscan
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Sebastien.B » 20 Juin 2004, 19:32

Slt

J'ai trouve cette manip sur un autre site, si tu veux tu peux la tester:

Voici encore une méthode pour nettoyer dll problématiques.
si tu ne te sens pas capable, ne la fais pas car on joue dans registre là.
Vider fichiers internet temporaires
1. Télécharger Registrar lite sur www.resplendence.com (gratuit)
2. Installer et lancer
3. Taper (copier/coller) dans « Adress » : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs puis clic sur « Go ».
4. Cliquer sur AppInit_DLLs, et vérifier si la valeur contient un fichier de dll ; (par ex. ctrlpan.dll ou msconfd.dll)
5. Si oui, c’est le dossier caché qui doit être éliminé. Toutefois il n’est pas possible de l’effacer actuellement.
6. IMPORTANT : prendre note du chemin et du nom du dossier de la dll problématique.
7. Effectuer la manœuvre suivante :
Renommer le dossier « windows » (clic droit > rename ) en « notwindows »
Valider et répondre YES à la question « Do you want to rename key …… »
Cliquer à nouveau AppInit_DLLs sur la valeur contenant la .dll problème et l’effacer
8. Renommer alors « notwindows » en « windows »
9. La prochaine étape sera d'enlever le fichier DLL problématique.
10. Aller dans Démarrer > exécuter > taper cmd
11. Si cmd s’ouvre dans directory “documents and settings”, taper : cd c:\windows\system32 (ou cd c:\winnt\system32 si windows 2000)
12. Taper : dir /p *.dll et localiser la dll problématique
13. Taper : attrib -r "nomdeladll".dll ( par exemple : attrib –r fok.dll ou attrib -r ctrlpan.dll)
14. Taper ensuite : del "nomdeladll".dll (ex: del ctrlpan.dll)
15. Taper à nouveau : dir /p *.dll et vérifier que la dll problématique n’apparaît plus
16. Lancer alors Spybot (avec traceurs d’utilisation cochés : Settings > modules additionnels) et cocher tous les problèmes y compris lignes en vert, notamment afin de vider cache et fichiers temporaires )
17. Lancer également CWShredder

Tiens moi au courant!
Image
Avatar de l’utilisateur
Sebastien.B
 
Messages: 492
Inscription: 04 Avr 2004, 17:43
Localisation: Tours

Messagede cyrillenet » 20 Juin 2004, 21:42

Ne chercher plus tout est résolu avec ad-aware 6, ils ont fait une mise à jour aujourd'hui, résultat = 64 fichiers suprimés ( des dll, des dat, des exe,...), 5 points de la base de registre nettoyés
mon pc était devenu une vrai poubelle.

Merci merci merci

ouf
cyrillenet
 
Messages: 3
Inscription: 20 Juin 2004, 02:33


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 32 invités