Bjr
 
Je vous explique mon pb:
 
Tous les 3-4 jours, au redemarrage de mon pc, il y a un petit prog qui me modifie ma page d'accueil, mes favoris et diverses cles de registres
 
L'adresse incriminée qui apparait est http://www.hand-book.com
 
Elle se met partout (c'est un site de cul)
 
J'ai scanné avec ad-aware et spybots mais ils ne me detectent rien
 
Je vire donc les adresses des favoris et je nettoie mon registre et tout va bien
 
Jusqu'a ce que je redemmare le pc au bout du 4e jour (environ) et la il me rajoute tout
 
Je précise que je peux redémarrer autant de fois que je veux avant et il ne se passe rien
 
J'ai verifié dans Run de la bdr, demarrage etc... y'a rien
 
J'en peux plus, que qqn m'aide sur ce pb SVP

Mmh, tu peux essayer COOL WEB SHREDDER, sinon vois avec un détecteur de BHo au cas où ...

J'ai essayé BHOcop et il me detecte que googlebar et adobe
 
Ca doit pas etre un BHO mais un petit prog resident qui se declenche de temps en temps
 
Help me, il doit bien avoir un moyen de virer ce truc non ?

le log spysweeper detecte les chanchements de pages..
Mais le mieux est d'essayer mozilla firebird...et virer internet explorer

scan anti virus on sait jamais, il trouvera ptet quelque chose lui  

L'antivirus ne trouve rien
 
J'ai essayer spysweeper il a trouvé des trucs mais je pense pas que ce soit ça
 
C'est qd même impressionnant, j'utilise trois antispy differents et ils me trouvent tous des trucs differents.

essai spywareguard pour voir

 
+1
 
Le malware, c'est windows + internet explorer, et aucun antispy arrive encore à les virrer...  

meme probleme que toi
j'ai un raccourci vers un site de cul qui se met sur le bureau et un autre dans mon menu demarrer. je lance adaware et là il me detecte plein de trucs (cokies...) il m'efface tout et vaccine, mais deux trois jours plus tard ca reviens...
 
le lien pointe (de memoire) sur un site nommé carpediem.

 
ben oui mais faut pas retourner sur le site qui t'installe ça ...
vu qu'adaware a pas de module chargé en permanence pour controler ie et la ram.

je connais pas ce site (le nom correspond au repertoire ou l'icone etait installée). je ne dis pas que l'on accede jamais à un site de cul depuis mon ordi, mais par ex. la semaine derniere j'etais le seul à me connecter à partir de ce poste et je me suis peut etre connecté 5 min dans la semaine, le temps d'envoyer des emails. pourtant, meme aprés adaware, ce raccourci est réapparu.

Quel Windows ?
 
tu peux lire mon sujet :
 
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
 
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.

Avec ad-aware, tu peux activer ad-watch qui surveille en permanence les spywares et les modifs de la bdr.

Merci de vos réponses
 
J'ai tout essayé et je vois pas
 
Je précise qu'effectivement, je ne vais pas sur le site en question, il revient tout seul
 
Je continue a chercher...

 
tu lance le gestionnaire de tache, tu va dans processus, tu repère le nom du fichier qui se lance et te met ce lien en page de démarrage, ensuite tu fais une recherche sur ton dur dudit fichier, tu l'éfface et puis tu va dans win.in ou system.ini et tu efface aussi la ligne de commande qui le lance...voilà c'est tout !!
Graffy

faut pas aller sur les sites warez ca evite ce genre de merde

  meme si j'admet que les sites warez sont des nids à virus ou adware, là ca provient plus d'un site commercial que d'autre chose.  
à noter que mon amie a choper un truc de ce style à son travail (un commerce). sa liaison est une rtc qui ne sert que pour les emails. alors moi je suis en train de regarder du coté des emails recus....( elle c'est pire, parceque le matin lorsqu'elle ouvre, elle se rend compte que l'ordi se connecte en pleine nuit)

 
Logfile of HijackThis v1.97.7
Scan saved at 08:18:44, on 19/11/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\IOMEGA\AUTODISK\ADSERVICE.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\IOMEGA\AUTODISK\ADUSERMON.EXE
C:\PROGRAM FILES\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\AUTOCAD LT 2000\ACLT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE
C:\PROGRAM FILES\WANADOO\COMCOMP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\WANADOO\WATCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_48.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [System32] System32.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [eDonkey2000] C:\PROGRAM FILES\EDONKEY2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Barre d'état système] SysTray.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TNTClk] C:\WINDOWS\BUREAU\TNT.EXE /Core:12e03 /Mem:15b05 /Tim:41016293
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [frnrtwg] "C:\WINDOWS\SYSTEM\FRNRTWG.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [LTQLYOM] "C:\WINDOWS\SYSTEM\LTQLYOM.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [System32] System32.exe
O4 - HKLM\..\RunServices: [ADService] C:\Program Files\Iomega\AutoDisk\ADService.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub [...] tor/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/down [...] mv9VCM.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binar [...] L_pack.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} (Loader Class) - http://dialup.carpediem.fr/CABS/cd [...] Membre.cab
 
 
 
voila ce que ca donne, et les liens indesirables correspondent à la derniere ligne: "http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab"
 
les trucs "akamai" je sait pas ce que c'est!

Très chelou :
 
O4 - HKLM\..\Run: [LTQLYOM] "C:\WINDOWS\SYSTEM\LTQLYOM.exe"
O4 - HKLM\..\RunServices: [System32] System32.exe
O4 - HKLM\..\Run: [frnrtwg] "C:\WINDOWS\SYSTEM\FRNRTWG.exe"
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_48.dll
 
Ce qui suit est un résidu du spyware de Kazaa
 
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
 
 
Dans Hijack, tu coches les cases ci-dessus ainsi que celle avec carpediem et tu cliques sur "Fix Checked".
Tu quittes Hijack, tu le fais à nouveau tourner pour voir.
 
Je ne sais pas ce que représente les 2 akamai en rubrique O16, tu peux toujours les cocher.
Si jamais une application en avait besoin, ils seraient à nouveau téléchargés.  

merci beaucoup, j'attends quelques jours et je te dirai si ca a resolu le probleme!

Wally j'ai fait ce que t'as dit et ca donne ca:
 
Logfile of HijackThis v1.97.7
Scan saved at 10:31:06, on 19/11/2003
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Documents and Settings\Poup\Application Data\Microsoft\Internet Explorer\Quick Launch\IEXPLORE.EXE
C:\Documents and Settings\Poup\Application Data\Microsoft\Internet Explorer\Quick Launch\IEXPLORE.EXE
C:\Drivers\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [iedll] c:\WINDOWS\iedll.exe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O13 - Home Prefix:  
O13 - Mosaic Prefix:  
O13 - FTP Prefix:  
O13 - Gopher Prefix:  
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/ga [...] /ct1_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub [...] tor/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -  
 
Qu'en penses-tu ?

c'est pgriffet qui a proposé ca (rendre à cesar...) et qui ma soumis une reponse, nul doute qu'il va analiser ton checkup et te donner une solution!

Merci bcp
 
J'attends avec impatience

O4 - HKCU\..\Run: [iedll] c:\WINDOWS\iedll.exe
 
Voici ce que j'ai trouvé à son sujet
 
X  iedll  iedll.exe  Homepage hijacker, redirecting to coolwwwsearch.com
 
Tu peux le virer aussi. Il pirate ta page d'accueil.
 
Ceci
 

inconnu au bataillon, pas présent sur mon XP Pro SP1 et très absent sur Google.  
Regarde les propriétés du programme pour en savoir plus, la date de création, etc.
 
Ce qui est bizarre, c'est qu'ils n'étaient pas là ce matin ??

C'est bon j'ai TROUVE
 
Juste en dessous de iedd.exe se trouve un prog qui s'appelle addclass.exe
 
En le lançant, il a tout changé immediatement
 
Je l'ai viré ainsi que sur le dd et ca devrait etre ok
 
Merci bcp a tous et surtout à pgriffet car il m'a mis sur la voie
 
En fait il y a dans le registre deux cles run, une dans HKlocal machine et l'autre dans Hklocal user, et cette dernière m'avait echappé
 
Que d'histoire  
 
Merci encore à tous
 
Reste la question : Pourquoi ne se declenchait il pas a chaque démarrage ?
 
Mystere...
 
Ps: Merci bcp à Wally egalement

autant dire qu'un mec qui touche pas un peu en info est "un peu" mal avec un bidule pareil....
 
PS: après c'est "allô frangin/tonton/fiston, j'ai mon ordi qui déconne!?"