Impossible d'enlever SearchAssistant

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Impossible d'enlever SearchAssistant

Messagede cyberclara » 07 Oct 2004, 14:19

Bonjour,

Depuis quelque temps spybot me signale toutes les 30 secondes an important registre entry that has been changed

Category: Browser page
Change: Valeur changed
Entry: SearcAssistant

Old data: http://www.houyhpifkjlm etc....
New data: http://www...... (chaque fois une nouvelle valeur)

J'ai tout essayé, spybot, spybouncer, ad aware, spywareblaster, tout ca en mode sans echec et restauration desactivé
En désespoir de cause je poste mon log hijack this. dans l'espoir que vous pourrez m'aider:


Logfile of HijackThis v1.98.2
Scan saved at 14:53:00, on 07/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
D:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
D:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.mxdslhlsobaekkl.com/4BeYYmw3 ... mwEZK.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tele2.fr/startpage/adsl/fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5F28EE5D-F2BC-2816-AC4A-33FDA7FD99BD} - C:\PROGRA~1\SPAMEX~1\dale bore.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Admininternet] C:\PROGRA~1\Third Knob\Play This.exe
O4 - HKLM\..\Run: [Heart Hide Tons Bind] C:\Documents and Settings\All Users\Application Data\spam open heart hide\four extra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = D:\Program Files\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = D:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/se ... r_cert.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b30149.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/fr/check/qdiagh.cab?322
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... owdown.cab

Merci à tous.

Eliane
cyberclara
 
Messages: 1
Inscription: 07 Oct 2004, 14:00

Messagede Kethryes » 07 Oct 2004, 17:08

Salut
Redemare en mode sans echec (F8 au demarage) Passe tout les outils de desinfections que tu as (Spybot, un AV etc...)
Avec HijackThis fixe les lignes si elles sont toujours la :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.mxdslhlsobaekkl.com/4BeYYmw3 ... mwEZK.html
O2 - BHO: (no name) - {5F28EE5D-F2BC-2816-AC4A-33FDA7FD99BD} - C:\PROGRA~1\SPAMEX~1\dale bore.exe
O4 - HKLM\..\Run: [Heart Hide Tons Bind] C:\Documents and Settings\All Users\Application Data\spam open heart hide\four extra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
Toutes les lignes O16

Tu a installée Messenger+ qui installe avec lui le "sponsor" qui est une grosse salop****. Si tu l'a refusé tout vas bien, sinon normalement SpybotSD s'en charge
@+
KETHRYES
La Manip
La Mini Manip
PS : Je vous presente mes excuses pour les fautes d'orthographe
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede Invité » 07 Oct 2004, 20:30

Voilà Kethryes,

j'ai bien suivi tout ce que tu m'as dit de faire, mais sans résultat, la petite fenetre de sypbot s'affiche toujours toute les 30 secondes avec les mêmes indications. Si tu as une autre idée??

Sinon je crois que je vais être obligée de formater ou de désactiver tea timer de spybot.

Une indication, après avoir fixer les lignes que tu m'as indiquées, et après un redémarrage, le system n'arrivait pas à se charger complètement quand il arrivait sur virus scan il fesait redémarrer le pc. J'ai fait un démarrage avec l'option ne pas redémarrer en cas d'echec de chargement du system. j'ai lancer l'antivirus et après rédémarrer en mode normal. Et apparement maintenant il redemmare normalement.

@++
Invité
 

Messagede le gromleux » 07 Oct 2004, 21:25

bonsoir cyberclara,

tu trouveras le résultat du scan automatique de ton log HJT ICI

Tu peux fixer le "méchant" (en rouge) sans regret et fixer certains en orange : ceux que tu connais, tu gardes (exemples :ULEAD, TELE2, GOUV.FR) ;pour les autres, tu vérifies si tu ne connaîtrais mais a priori tu peux fixer !
@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede balltrap34 » 07 Oct 2004, 23:03

salut
vas voir ici les 2 messages que j ai mis et essai
http://assiste.forum.free.fr/viewtopic.php?t=3335
balltrap34
 
Messages: 44
Inscription: 01 Oct 2004, 22:47
Localisation: sud

Messagede cyberclara. » 07 Oct 2004, 23:51

Merçi gromleux,

En fait j'ai désinstaller messenger +3 et à présent je n'ai plus le fenetre spybot toutes les 30secondes et dans hijack l'occurence a searchassistant à disparue, alors que meme en la fixant elle revenait sans arret.

Merçi à toi aussi balltrap34.

Essaye le lien que tu m'as donné, moi je n'ai pas pu télécharger le fichier, un message windows sécurité m'indiquait que les parametres de sécurité ne me permettait pas de télécherger ce fichier. Je ne sais pas pourkoi.

@+++
cyberclara.
 

Messagede balltrap34 » 10 Oct 2004, 21:27

salut
normal si tu as spyboot il le bbloque
pour le telecharger il faut allez dans option internet /site sensibles
chercher sur site loop.com et l enlever
ensuite telecharger l uniinstal et remettre ensuite loop sur site sensible
balltrap34
 
Messages: 44
Inscription: 01 Oct 2004, 22:47
Localisation: sud


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 27 invités

cron