Hijack destructeur et récalcitrant

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Hijack destructeur et récalcitrant

Messagede Stéfy » 13 Aoû 2004, 11:59

:cry: Bonjour,
Mon système (Windows 98) est victime d’un hijack (res://C:\windows\system\SHDOCLC.DLL/dnserror.htm) dont je n’arrive pas à me débarasser et ce quelque soit la connection ou le navigateur utilisé (Oreka et Tiscali bas débit, IE et Netscape). Tout à commencé le jour où j’ai désinstallé un vieil Esafe Desktop de 2002 qui m’embêtait avec ses messages « violation du bac à sable » toutes les 10 secondes.

J’ai essayé plusieurs solutions :
* RegSeeker qui a bien supprimé un tas de cochonneries dans mon système (un peu plus de 500) mais pas les fichiers incriminés dans les dysfonctionnement de la machine (msgs d’erreurs au démarrage su1er écran :
Virusafe (tm)
unable to determine not found or bad
appuyez sur n'importe quelle touche pour continuer
2ème : Virusafe (tm)
vs32.msg not found or bad
appuyez...
3 ème : vs32.vxd is not functioning ( au lieu de not found or bad)
appuyez...)

* dans msconfig j'ai décoché les deux applications qui se mettaient en route au démarrage et qui avaient pour nom Esafe

* Windoctor c'est même pas la peine d'y penser : j'ai plus de connexion pour le télécharger et pas de graveur au taf pour le copier, par ailleurs je sais même pas si j'oserais l'installer de peur qu'il y ai encore plus de conflits et de bugs...à moins qu'il soit possible de ne descendre que ce logiciel sans les autres de Norton Utilities
* Réinstaller Esafe : il n'existe plus dans la version que j'avais et je crois qu'il n'est même plus gratuit

Résultats :
* il a quand même du se passer quelquechose car les msgs au démarrage de Windows ont légèrement changés :

1er écran : Virusafe (tm)
unable to determine startup registry (ça c'est nouveau)
appuyez sur n'importe quelle touche pour continuer
2ème : Virusafe (tm)
vs32.msg not found or bad (ça ça n'a pas changé)
appuyez...
3 ème : vs32.vxd is not functioning ( au lieu de not found or bad)
appuyez...

* il est toujours impossible d'atteindre un serveur sur internet et j'ai toujours les msg d'erreur suivants :
res://C:\windows\system\SHDOCLC.DLL/dnserror.htm (en bas du cadre de la page)
et C:\PROGRA~1\ESAFE\PROTECT\ESP32.VXD


* Re-Regseeker : il n'a pas trouvé de vs32.msg. en revanche il a bien trouvé et supprimé vs32.dxv (au bout de deux scan) mais mon problème n'est pas résolu. Même si je n'ai plus les msg d'erreur au démarrage je ne peux toujours pas joindre de serveur en me connectant (j'ai essayé avec deux connections et deux navigateurs différents). J'ai toujours la page d'erreur qui me dit :
res://C:\windows\system\SHDOCLC.DLL/dnserror.htm


* suppression de tous les fichiers .tmp (116 mo virés)sauf un qui refuse de dégager : zlt02213.tmp (0 ko)
* désinstallation de Zonealarm
* antidote contre Sasser
* recherche des clefs Winsock et Winsock 2 (pas trouvées)
* scanne avec Adaware
* re scanne avec Reseeker
J'ai pas pu me servir de winsockxpfix parce qu'il n'est pas compatible avec Windows 98.


Et voici le bilan des dernières manips, hier soir :

j'avais plus d'accès au serveur et bien maintenant je peux même plus me connecter car la connexion d'accès réseau à distance a été squizzée de mon système et je sais même pas comment ! dans les options internet il n'y a plus rien dans le tableau où se trouvaient consignées les différentes connexions et en plus la zone est inaccessible.
Je comprends rien, j'ai rien fait de spécial à part utiliser Winsock98 qui m'a dit "the winsock2 keys have been removed" et "do not terminate this program at this time". C'est après le redémarrage que la connexion d'accès à distance a dégagée du poste de travail. Avant j'avais supprimé l'historique d'IE, les cookies et virés les fichiers et les objets des fichiers temporaires internet.

J'ai aussi fait tourner Hijack qui m'a raconté que :

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = lien
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = lien
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = lien
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = lien
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = lien
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = lien
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = lien
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = lien
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Wanadoo, L'Internet avec France Telecom
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = lien
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
N1 - Netscape 4: user_pref("browser.startup.homepage", "lien (C:PROGRAM FILESLIBERTYSURFcomstd32UsersStephaniprefs.js)
O2 - BHO: (no name) - {2F4F8CC3-FF89-11D1-9F63-0020182D7E20} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O4 - HKLM..Run: [ScanRegistry] c:windowsscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] c:windowstaskmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [EACLEAN] C:Program FilesCompaqEasy Access Button Supporteaclean.exe /NORESTART
O4 - HKLM..Run: [AtiKey] Atitask.exe
O4 - HKLM..Run: [CPQSTUTFIX] C:Windowsstutfix.exe
O4 - HKLM..Run: [Essdc] essdc.exe
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..Run: [Aureal A3D Interactive Audio Init] A3dInit.exe
O4 - HKLM..Run: [Compaq Internet Setup] C:CompaqInternetInetWizard.exe /RUN
O4 - HKLM..Run: [Welcome] C:WINDOWSWelcome.exe /R
O4 - HKLM..Run: [CPQEASYACC] C:PROGRAM FILESCOMPAQEASY ACCESS BUTTON SUPPORTCpqeaui.exe
O4 - HKLM..Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM..Run: [Watch Dog Program] C:COMPAQINTERNETWATCHDOG.EXE
O4 - HKLM..Run: [WinampAgent] "C:PROGRAM FILESWANADOOUTILISATEUR1WINAMPWINAMPa.exe"
O4 - HKLM..Run: [WOOWATCH] C:PROGRA~1WANADOOwatch.exe
O4 - HKLM..Run: [WOOTASKBARICON] C:PROGRA~1WANADOOtaskbaricon.exe
O4 - HKLM..RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU..Run: [Mozilla Quick Launch] "C:Program FilesNetscapeNetscapeNetscp.exe" -turbo -aim
O4 - Startup: Microsoft Recherche accélérée.lnk = C:Program FilesMicrosoft OfficeOfficeFINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:Program FilesWinZipWZQKPICK.EXE
O4 - Startup: Démarrage d'Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA.EXE
O4 - Startup: Mémento.lnk = C:quickenwbillmind.exe
O4 - Startup: BackWeb.LNK = ?
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O11 - Options group: [Accessibilité] Accessibilité
O12 - Plugin for .avi: C:PROGRAM FILESLIBERTYSURFCOMSTD32PROGRAMPLUGINSNPAVI32.DLL
O12 - Plugin for .mov: C:PROGRAM FILESLIBERTYSURFCOMSTD32PROGRAMPLUGINSNPQTW32.DLL

Là c'est vraiment la panade totale. Est-ce qu'il est possible de copier tout le dossier de la connexion à distance sur disquette pour que je puisse le remettre sur ma machine (je connais quelqu'un dans mon entourage qui a Windows 98).
Et cerise sur le gâteau : SHDOCLCDLL est aussi présent même sans connexion, il suffit de lancer les navigateurs pour voir cette saloperie.

Si quelqu’un comprend quelquechose et peut m’aider, merci mille fois par avance.
Stéfy
 

Messagede bay » 13 Aoû 2004, 12:38

Bonjour, vu la panade et le fait que ton PC est sans doute un Compaq , il me semble que la meilleure solution est l'utilisation du CD QuickRestore !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede stéfy » 13 Aoû 2004, 13:24

Effectivement c'est un Compaq comme on peut le voir dans la liste des logs et bien sûr j'ai pensé au Quickrestore mais le problème c'est que j'ai des données importantes que je veux sauvegarder et rien pour les enregistrer : pas de graveur, pas de zip, pas de disque externe. J'ai pensé en acheter un mais neuf c'est 40 go min et c'est cher. Pour un d'occasion on m'a proposé 30 e pour 8 Go en interne qu'il va falloir configurer correctement. J'ai pensé à mon portable du boulot (Compaq aussi, décidemment je suis maudite) et à son port USB pour transférer mes données mais il est en réseau et quand je l'ai amené chez moi il a refusé de m'ouvrirune session. Rien ne marche, j'ai un trop mauvais karma.
stéfy
 

Messagede Vazkor » 13 Aoû 2004, 14:00

Bonjour Stéfy,


Au point où tu en es, tu n'as plus grand chose à perdre de ton système.

Bay ,
Ne penses-tu pas qu'elle pourrait essayer d'abord la commande SFC en mode DOS, pour essayer de récupérer les versions correctes de fichiers qui peuvent être absents ou corrompus?
Pour la syntaxe correcte, taper sfc /? dans la fenêtre DOS.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Quickrestore

Messagede bay » 13 Aoû 2004, 14:22

Bonjour , normalement avec le cd Quickrestore il existe des fonctions qui ne réparent que certaines options et donc ne supprime pas tout ce qui est sur le DD .
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Stéfy » 13 Aoû 2004, 16:24

Bonjour Vazkor et Bay et merci de vos réponses.
En ce qui concerne les commandes DOS je ne connais rien de chez rien car je n'ai jamais été voir à quoi ça ressemble (rien que le nom me fait peur).
Pour Quickrestore j'avais posé la question au support de Compaq du temps où ça existait (si tant est que cela en fut vraiment un...) qui m'avait répondu (à deux reprises je crois) :( que la réinstallation séléctive n'était pas possible ce qui semble être confirmé par le mode d'emploi de la chose qui dit qu'elle se met en route toute seule dès qu'on la met dans le lecteur...c'te misère!
Stéfy
 

Messagede bay » 13 Aoû 2004, 16:49

Bonjour, pour le problème de quickrestore de compaq , je peux jetter un coup d'oeil ce soir !
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Stéfy » 13 Aoû 2004, 16:56

Merci beaucoup !
Stéfy
 

Messagede bay » 13 Aoû 2004, 18:35

Bonsoir, effectivement le cd QuickRestore permet une restauration partielle , faire
C:\cpqs\Support\home.exe
( à verifier si présent sur votre PC ) ensuite cliquer Support Compaq et QuickRestore , et selectionner " restauration selective".

Vous pouvez également faire ceci :
Démarrer -> Programmes -> Accessoires ->Outils Systèmes -> Informations Systèmes -> cliquer sur Outils ensuite faire " reparation IE " et " verificateur de fichiers Systèmes"
vouloir , c'est pouvoir .
Sambrelug
Avatar de l’utilisateur
bay
 
Messages: 1486
Inscription: 22 Avr 2003, 20:45
Localisation: Auvelais (Belgique)

Messagede Gargantua » 13 Aoû 2004, 18:43

Bonjour,

res://C:\windows\system\SHDOCLC.DLL/dnserror.htm

Y aurait il un rapport avec ceci, Je ne sais pas ?

# About:Buster (par RubbeR DuckY) est la réponse à donner contre la variante res:// de About:Blank. About:Buster ne sert pas contre les autres variantes de hijack, uniquement contre la variante de la forme

* res://<random>.dll/<random>.html#<random>
et, avec un peu de chance, contre la forme connue sous le nom de sp.html
res://<random>.dll/sp.html


<random> signifiant, puisque la question a été posée plusieurs fois, "nom aléatoire changeant tout le temps et généré à la volée" - autrement dit, n'importe quoi.

# Téléchargez About:Buster http://www.tools.zerosrealm.com/AboutBuster.zip ou http://www.downloads.subratam.org/AboutBuster.zip
# Dézippez-le et mettez un racourci sur votre bureau.
# Fermez toutes les instances Internet Explorer, toutes les fenêtres et tous les programmes.
# Videz tous les caches de vos navigateurs (avec SpyBot Search & Destroy par exemple).
# Faites un log HiJackThis et fixez toutes les DLLs du groupe O4 qui ont des noms aléatoires ainsi que le/les BHOs de même nature. Toutes les DLLs et tous les BHOs connus (légitimes ou non), sont cités sur le Web - si vous lancez une recherche sur un nom de DLL ou de BHO et n'obtenez pas de résultat, c'est une hostilité à fixer. Fixez les lignes R0 et R1 hijackées n'est pas utile à l'instant présent mais vous pouvez le faire.
# Redémarrez en mode sans echec (Impérativement en mode sans échec).
# Double click sur About:Buster.
# Ok
# Start
# Ok
# Un scan est exécuté (attendre quelques secondes).
# Sauvegardez le log de ce scan dans un fichier .txt quelconque afin de le retrouver si vous êtes amené à consulter un helper sur un forum.
# Refaites un second scan, pour voir.
# Si vous obtenez un message "Error Removing", c'est un fichier impossible à détruire. Considérez alors "Outil contre un fichier impossible à supprimer" juste au-dessus.
# Redémarrez en mode normal.
# Lancez HiJackThis postez votre log dans ce forum.

# * hsremove Autre outil contre les variantes res:// et sp.html
# * SpHjfix.exe Autre outil contre la variante sp.html. En allemand, par les sites Rokop-Security et Trojaner-Info

La manip d'Assiste.com
Pierre Pinard©
GARGANTUA
Windows 7 pack familial & IE8, Kaspersky Internet Security 2011 et Toutou linux 4.3.1
Avatar de l’utilisateur
Gargantua
 
Messages: 452
Inscription: 05 Mai 2004, 17:39
Localisation: 50 km sud d'Angoulême (Charente)

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités