Problème page de démarrage IE et divers autres problèmes

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede pierre » 25 Juin 2004, 17:12

Re,

Je te suggère de désinstaller, dans ton gestionnaire de périphérique, ta / tes cartes graphique et de rebooter. Windows va te demander ce qu'il faut.

Je suis convaincu qu'il y a aussi un problème d'installation de ta machine en plus des hijack.
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28427
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Herspear » 25 Juin 2004, 19:39

Bonsoir Pierre,

Bon je viens de faire la manip qui consiste à démarer en mode sans échec avec la désactivation du restaure systéme.

J'ai exécuté adaware 6. J'ai fixé des ligne sous HijackThis selon les conseils de Bay et les tiens.

J'ai aussi virer une dll du nom de kbdclfn qui n'apparait pas dans HijackThis mais dans Registrar Lite. Je l'ai viré en faisant un attrib -r sous dos. Mais une fois la bécanne démarée elle est encore sous :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Elle apparait quand je fais clicker droit open ou bien prorpiétés.

Par contre depuis toutes ces manips, j'ai eu beaucoup de mal à revenir sur ton site. Je ne sais pas de quoi ca vient.

Sinon, j'ai lu ton dernier message :

Bon il me faut dans un premier temps réinstaller SpyBot. J'ai essayé mais n'arrive pas à aller sur ton site.

Maintenant je reprends point par point tes observations et tente d'y répondre si tu es d'accord.

1) pour décocher les lignes que tu me demandes je dois d'abord réinstaller Spybot.

2) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\RGIS~1\LOCALS~1\Temp\sp.html
Je l'ai fixé.

3) O2 - BHO: (no name) - {99ABC7A2-043B-4461-A838-CD198A1776C7} - C:\WINDOWS\System32\bckmb.dll
Je l'ai fixé.

4) O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
Je le fixe et tu verras le résulat dans mon prochain envois de log

5) O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
Je le fixe et tu verras le résulat dans mon prochain envois de log

6)O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
Est-ce que ton fournisseur d'accès est Tiscali ?
Je t'ai déjà posé la question mais je ne trouve pas la réponse.

OUI MON FOURNISSEUR EST TISCALI. Je te l'ai déjà dit plusieurs fois.

7) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
Je ne comprend vraiment pas !
Est-ce que tu as une carte graphique ATI, oui ou non ?
Quelle est ta carte mère ? Marque - modèle
Est-ce que ta carte mère embarque un chip graphique avec elle ?
Cette dll est une extension de la gestion des adaptaeur graphique (carte graphique) nvidia.
Est-ce que tu as eu une carte graphique nvidia que tu as changé pour une ATI (ou inversement ?).

Ma carte graphique est une ATI RADEON 7000. Je sais que ma carte mère peut me donner un affichage si je n'ai pas de carte graphique. D'ailleurs j'ai installé la carte graphique pour soulager la carte mère au niveau de la mémoire. Je ne me souviens plus si j'ai eu une carte graphique NVIDIA.

Fait Démarrer > Panneau de configuration > Performances et maintenance > Système > Onglet "Matériel" > Bouton Gestionnaire de périphérique
Est-ce que tu vois, là, des points d'interrogation jaunes ou des croix rouges ? Devant quoi ?

Oui au niveau du contrôleur audio, video jeu et plus particulièrement "contrôleur multimédia", j'ai une croix rouge.
Il est signalé que le périphérique est désactivé.


Mais le gars du magasin qui m'a monté la bécanne m'a dit qu'il avait eu un mal de chien à le faire. Pb se son avec audigy etc etc..

8) O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1
Ca, c'est un dns Tiscali
Fixer l'une au l'autre ligne.
Ca aussi, je ne comprend pas. Tu est chez Tiscali ou chez Wanadoo ?

Ben comme je te l'ai déjà dit plusieurs fois, je suis chez Tiscali et non wanadoo.

Wanadoo vient certainement du fait que le gars qui m'a le matos et les update avait wanadoo. Je ne vois que cette solution.

9) enfin pour reprendre ton tout dernier message. Oui je sais que cette bécanne est pleine de pb. Comme j'ai du déjà te le dire, le gars du magasin qui m'a mmonté le pc est plus incompétent qu'autre chose.

D'ailleurs j'ai des pbs du style :

- écran qui s'éteind quand je fais des copier coller d'image pour mon site sous shop 8

- le pc rame comme une bête quand je travaille des fichiers sons
(avant j'avais un pIII 550 et il travaillait beaucoup mieux

- depuis l'inhstallation de XP plus rien n'est compatible. Ca ma couté cher de changemant de window. Selon lui je n'aurais plus de pbs. Heureusement.....


Voici le log maintenant. Merci de tes conseils, de ta patience et bonne soirée. Herspear

Logfile of HijackThis v1.97.7
Scan saved at 20:38:17, on 25/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\UPSurfer Pro\UPServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\qttask.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
C:\Program Files\UltraDVD\DVDMon.exe
C:\Program Files\UPSurfer Pro\UPS.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Dialer Tiscali\Dialer.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\Program Files\moi\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Dialer Tiscali\bootparam.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Program Files\UltraDVD\DVDMon.exe"
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 2642592593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{FD797911-5F28-4298-B2A6-BB0B1BAA4797}: NameServer = 213.36.80.1
Ben en plus du boulot : http://rootsreggae.free.fr
Herspear
 
Messages: 19
Inscription: 24 Juin 2004, 11:57

Messagede bay » 25 Juin 2004, 19:51

Bonsoir , si tu est chez Tiscali il faut virer l'autre
O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4
Essaie déjà ceci et verifie l'accès à internet !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Jim Rakoto » 25 Juin 2004, 21:24

Salut,

Pour ton fichier kbdclfn .dll
voici la procédure à faire , tu as en fait sauté une manoeuvre
Ne tiens pas compte des N° de ligne, c'est pour la procédure complète mais comme tu connais registrar lite
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
4. Cliquer sur AppInit_DLLs, et vérifier si la valeur contient un fichier de dll ;
5. Si oui, c’est le dossier caché qui doit être éliminé.(c'est ton cas) Toutefois il n’est pas possible de l’effacer actuellement.
6. IMPORTANT : prendre note du chemin et du nom du dossier de la dll problématique.
7. Effectuer la manœuvre suivante :
Renommer le dossier « windows » dans colonne de gauche (clic droit > rename ) en « notwindows »
Valider et répondre YES à la question « Do you want to rename key …… »
Cliquer à nouveau AppInit_DLLs sur la valeur contenant la .dll problème et l’effacer
8. Renommer alors « notwindows » en « windows », répondre de nouveau YES à la question
9. La prochaine étape sera d'enlever le fichier DLL problématique.
10. Aller dans Démarrer > exécuter > taper cmd
11. Si cmd s’ouvre dans directory “documents and settings”, taper : cd c:\windows\system32 ou cd c:\winnt\system32 (si windows 2000)
12. Taper : dir /p *.dll et localiser la dll problématique
13. Taper : attrib -r "nomdeladll".dll ( par exemple : attrib –r fok.dll)
14. Taper ensuite : del "nomdeladll".dll
15. Taper à nouveau : dir /p *.dll et vérifier que la dll problématique n’apparaît plus
16. Lancer alors Spybot (avec traceurs d’utilisation cochés : Settings > modules additionnels) et cocher tous les problèmes y compris lignes en vert, notamment afin de vider cache et fichiers temporaires )
17. Lancer également CWShredder
18. Redémarrer en mode sans échec et repasser Spybot et CWShredder pour être certain que tout est effacé.

Voilà, cette dll est inconnue (recherche Google négative) et donc à supprimer

A+
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Herspear » 26 Juin 2004, 00:04

Bonsoir Jim,

Merci pour ta contribution à mon problème.

J'ai suivi les démarches pour effacer cette dll.

J'ai donc virer carément la ligne :

AppInit_DLLs (c:\windows\system32\kbdclfn.dll)

Par contre je ne l'ai pas retrouvé en faisant dir /p *.dll

En fait suite à mon ancienne manip elle avait déjà disparu. Mais elle réaparaissait uniquement dans registrar lite.

Par contre pour finir, j'aurai bien voulu télécharger spybot. Mais je ne peu plus me connecter au site http://assite.com depuis que j'ai installé Zone alarm.

Enfin j'ai viré la ligne que Bay et Pierre m'ont conseillé.

O17 - HKLM\System\CCS\Services\Tcpip\..\{736A37F3-7C6A-4E58-9F44-E4DD0ADEDF31}: NameServer = 193.252.19.3,193.252.19.4

Il est vraiment dommage que nous ne puissions pas faire des copies d'écran pour aider au paramétrage car j'ai maintenant une connection à internet très lente.

J'attends donc des nouvelles pour savoir ce que je dois faire maintenant. Par avance merci.

Herspear
Ben en plus du boulot : http://rootsreggae.free.fr
Herspear
 
Messages: 19
Inscription: 24 Juin 2004, 11:57

Messagede Vazkor » 26 Juin 2004, 01:35

Bonjour,

On peut faire des captures d'écran si les images sont hébergées ailleurs.

Pour capturer, je recommande PrintKey 2000 Fr disponible sur le site de Gratilog http://www.gratilog.net

Pour loger provisoirement les images il y a le site http://cjoint.com, qui fonctionne très bien pour des fichiers limités à 250 Ko.

La preuve, une photo de ma puce et son laid pou, le jour de son mariage le 12 janvier 2002.
http://cjoint.com/?gAcFEJ7zFa
On voit pas qu'elle est enceinte de cinq mois (des jumeaux nés le 21 mai!).

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede bay » 26 Juin 2004, 07:46

Bonjour Herspear, essaie de faire un test en ligne de ta connexion , avec et sans ZoneAlarme , sur le site de test de la connexion : le test !?
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Herspear » 26 Juin 2004, 10:28

Bonjour les Gars,

1) Bon je viens de faire les test de connexion.

38 Kbps sans Zone Alarm
34 Kbps avec Zone Alarm

En fait il met du temps à choper le site mais une fois dessus je navigue assez facilement. Mais bon dans l'ensemble je peu quand même dire que ca va.

2) Je ne peu atteindre comme je l'ai précisé hier Assite.com. par contre en .fr ca marche.

Par exemple ce matin j'ai voulou aller sur le site http://cjoint.com. Je n'y suis pas arrivé.

3) Y a t-il moyen d'avoir Zone alarm une fois lancé en arrière plan comme le fait par exemple Norton Antivirus. Parce que je ne sais pas vous mais j'ai toujours l'onglet en bas de la page comme quoi l'application est ouverte.

4) Hier, comme je l'ai précisé dans mon dernier message, j'ai réussi à virer cette dll de merde (enfin j'espère).

Par contre, lorsque je vais dans registrar lite, je n'ai même plus AppInit_DLLS.

Dois l'avoir mais vide ou bien ce n'est pas grave si je ne l'ai plus?

Messieurs, j'attends vos réponses avant de charger Spybot puisque je peu maintenant aller sur le site d'assiste.com.

Mais avant de vous idre à tout de suite je vous remercie une nouvelle fois pour votre contribution et votre patience avec moi.

Par avance merci. Herspear

[Lien corrigé. Il y avait bien sûr un t en trop - Vazkor]
Ben en plus du boulot : http://rootsreggae.free.fr
Herspear
 
Messages: 19
Inscription: 24 Juin 2004, 11:57

Messagede bay » 26 Juin 2004, 10:52

:( Bonjour, quel est votre type de connexion ?
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Herspear » 26 Juin 2004, 10:55

Bonjour Bay,

Ben j'ai la connexion la plus simple qui soit avec modem en utilisant la ligne téléphonique. Pas d'ADSL dans mon village. Herspear
Ben en plus du boulot : http://rootsreggae.free.fr
Herspear
 
Messages: 19
Inscription: 24 Juin 2004, 11:57

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 43 invités