Reprise du message précédent :
Logfile of HijackThis v1.97.7
Scan saved at 13:54:10, on 26/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\crhp32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\crac.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\H.M\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zmxkl.dll/index.html#44272
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zmxkl.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zmxkl.dll/index.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zmxkl.dll/sp.html#44272
O2 - BHO: (no name) - {8C64AEC0-374E-EFF7-DA12-C97865DA9CF1} - C:\WINDOWS\ipay.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [crac.exe] C:\WINDOWS\crac.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
 

c pas un prb si je scanne sans fermer internet

c pas grave si je sacnne sans fermer internet

eh minipousss te ou voila le log de hijack je fasi qoui la

jai scanner avec spybot puis adaware et hijack et jai rebouter.jai cliker sur mon IE il m a afficher une fenetre de msn c bien .mais a pres jai fermé et jai retourner jai trouver ce putin prob encore

alors tout d'abord. mieux vaut tout fermer avant de faire Hijack car peut-être que certaines choses ne peuvent pas être virées si elles tournent. C'est clair.
 
pour le reste tu as encore pas mal de choses à éliminer.
 
faut fermer ces processus dans le gestionnaire de tâche (clic droit sur la barre en bas de l'écran, puis gestionnaire des tâches, ensuite Onglet Processus)

 
et virer ça avec Hijack

oui jai fait tout ca , mais qd je reboute je clik sut mon IE  il m'affiche une bonne adresse de msn je pense que le probleme est resolue mais qd je ferme internet et je retourne je trouve une nouvelle adresse de cette merde de spy

je vais tenvoyer mnt un nouveau log de hijack

Logfile of HijackThis v1.97.7
Scan saved at 15:51:33, on 26/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\netyr.exe
C:\WINDOWS\system32\atlyv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\H.M\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pdwla.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pdwla.dll/sp.html#44272
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pdwla.dll/sp.html#44272
O2 - BHO: (no name) - {6C948E70-AB84-E5AD-7F98-E364697B6224} - C:\WINDOWS\nttt.dll
O4 - HKLM\..\Run: [netyr.exe] C:\WINDOWS\netyr.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{83BA3B7E-16B8-4FC8-A884-BFA1690BF92B}: NameServer = 213.30.156.11
 

dans les processus maintenant c'est  

 
et pour le reste faur virer toutes les clés avec Hijack
 

par contre je viens d'aller sur la page de CWShredder (qui sert à virer tout les pb de page de démarrage IE) et c'est pas cool pour toi :  

pas évident.  
 
faut lire le lien inclus dans le texte.

Yep, drapal

excuse moi mais moi je comprend pas bien l'anglais mais jr trouve tjr l'adresse res://.......et meme only the best popup windows je sais pas la je suis bloqué

tu vois qd je scane avec spybot et puis avec adaware et apres le hijack .je reboute je vais a internet c bien elle s'affiche l'adresse msn.com .mais qd je ferme inernet et je retourne je trouve le prb l'adresse qui commence par res://.........

repondez moi les amis aidez moi
l'adresse que je trouve c //pdwla.dll/index.html#44272

aidez moi les amis je compte sur vous

kon je scane avec les 3 et je reboute je trouve ces  
fichiers dans mon bureau je sais pas c qoui:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pdwla.dll/sp.html#44272
O4 - HKLM\..\Run: [winwl.exe] C:\WINDOWS\winwl.exe
en resume je trouve les fichiers ke jai virer

bah t'as choppé une belle merde mon gars le trucs c'est qu'il faut faire comme dit minipous...
 
Alors apparemment tu dois tuer le processus winwl.exe depuis le gestionnaire des tâches, après ça tu ouvre C:\WINDOWS\pdwla.dll dans le notepad, tu efface tout le contenu et tu sauve. Après tu vas mettre le fichier en lecture seule.
Une fois ok tu retourne dans hijackThis et tu vire les lignes pouries...
 
bonne chance

pensez a moi, demain j'ai une BA a faire sur une machine qui a l'air pourrie de spy...
 

je vais essayer de la faire la capture si elle en aussi mauvais etat qu'on m'a expliquer au tel

bon courage

merci, je vais en avoir besoin  

et moi les amis jai tjr le prob des spy aidez moi la je vais faire qoui je compte seulement sur vous jai essayer tous mais ca part et ca revient je sais pas qoui faire la

sicco il semble que ton truc soit particulièrement méchant
 
Les choses à essayer sont :
 
Methode 1 :
Déconnecter internet
Lancer CWShreeder et nettoyer
Lancer HijackThis et nettoyer
Lancer Spybot et dans les options bloquer la page de démarrage d'internet explorer
 
Methode 2 :
Dans l'adresse de merde res:// que tu as, il y a un fichier .dll, ouvre le dans le notepad et efface le contenu. Après ça tu enregistre et tu vas le mettre en lecture seule.
Tu passe un coup de CWShreeder et HijackThis
 
Si ça revient encore bah je déspère... ou alors tu peux suivre le tutoriel ici : http://assiste.free.fr/p/frameset/06_37.php

Messieurs Dames !
 
J'ai enfin trouvé la solution pour cette merde de "Malware" qui change la page de démarrage d'internet Explorer en res://xxxxx.dll/index.html
 
Spybot, CWShreeder et HijackThis ne servent qu'à virer les processus en cours mais à chaque lancement d'internet explorer il revient !
 
en fait il s'agit d'un service système !!!
 
La première chose à faire est d'aller dans les services pour désactiver "Network Security System" (en tout cas sur la machine que je viens de traiter c'est ça) il est repérable car il n'a pas de texte d'explication à droite !
 
FERMEZ INTERNET EXPLORER
 
Ensuite tuez le processus du Malware (souvent un truc terminant par 32.exe) et lancez HijackThis. Supprimez toute les clés de merdes qui trainent.
 
Là le truc ne devrait plus revenir mais il reste pas mal de ménage à faire ! en effet, la version que je viens de voir sur une machine crééait environ 2500 fichiers .DLL et autant de fichiers .DAT
 
Allez dans la base de registre et cherchez le nom du service que vous avez arrêté (chez moi Network Security System) et supprimez toute l'arborescence de ce truc. (Il est souvent 2 fois dans la base de registre)
 
Après ça, il faut supprimer les DAT et DLL pourries ! Dans les propriétés d'explorer, affichez les fichiers cachés. Allez dans le répertoir C:\WINDOWS\ affichez tout en "détails" et triez vos fichiers par taille. Il y aura une chiée de fichiers .DAT avec des noms aléatoirs et cachés. Sur la machine que j'ai traîté ils faisaient tout 3 KO et 12 KO... supprimez les TOUS ! (laissez les dans la corbeille au cas ou ça foire...) continuez ensuite la recherche avec les fichiers DLL... là aussi ils portent des noms à la con et font 69 ko.
 
Faites le même cirque dans le répertoir C:\Windows\System32\
 
Une fois terminé on reboot et ça devrait marcher !
 
Putain j'en ai chier pour trouver ce truc

ou se trouve le network security system dans l'editeur de registre je le trouve pas moi? dans kellle clé
et apres je vire tous les .dat sans exception meme les .dll

c'est pas dans la base de registre mais dans les services
 
fais "Démarrer"-->"Exécuter" et tapes services.msc
 
ça te donnera la liste des services qui tournent

Allez dans la base de registre et cherchez le nom du service que vous avez arrêté (chez moi Network Security System) et supprimez toute l'arborescence de ce truc. (Il est souvent 2 fois dans la base de registre
moi jai pas trouvé ca dans l'editeur de registre ou il se trouve dans le registre ce service je lai desactivé mais je le trouve pas dans l'editeur de registre

moi je trouve dans services:network security servise pas network security system

ouaip c'est ça ! ferme le !
 
Après tu prends le nom de la DLL de merde qui se lance avec internet explorer et tu fais une recherche dans le registre... tu virre toute les racines d'où se trouve cette merde !
 
Après tu lance HijackThis et tu nettoye tout !

SICCO en passant tu peux m'envoyer un de ces fichiers DLL (caché) de 69 ko se trouvant dans \windows\system32\ ?
adresse : poubelle(at)quad-resistance.com
 
merci

ce dll il veut pas se debarraser ca fai une semaine il est la c 'est:wojnq.dll meme qd je fais une recherche je le trouve pas je sais pas koi faire la

Il faut que l'affichage des fichiers cachés soit activé sinon il n'apparait pas...
 
Si le DLL fait dans les 2 mo je l'ai déjà mais y en a d'autres qui font 69 ko que je veux
 
T'as réussi à tuer le service de merde et le virer dans la base de registre ?

network security service je l'ai desactivé dans les services mais dans le registre je sais pas il se trouve ou.
oui c activé l'option afficher dossiers cachés.
pour les dll ki font 69ko sont:usrcoina.dll,zmxkl.dll,wiascr.dll,sprio600.dll,tlvyo.dll,usbui.dll,qvlfs.dll,rdpdr.dll,ifsutil.dll,inseng.dll,mrmhs.dll,knnve.dll,korwbrkr.dll te le merde de wojnq.dll je le trouve pas

oui dans option des dossiers il est activé option afficher dossiers cachés

ta envoyé les dll a drax ?
bon l'éditeur de la base de registre est accessible par démarrer->éxecuter->tu tape regedit et entrer

et apres je fais koi dans l'editeur de registre

jai une merde de dll c :wojnq.dll je le trouve pas qd je fais une recherche

AdAware 6.0 avec mise à jour virre cette merde

pour les DLL envoie en une au bol dans la liste que tu m'a donné... genre korwbrkr.dll

jai pas compris darx je les efface tous ou qoui?

darxmurf te demande de lui en envoyer une c'est tout.
 
ensuite tu mets à jour AdAware et ça te permettra de virer cette saloperie de ton pc c'est tout. enfin j'espère.