pb avec searchtoll bar
Forum Sécurité - Virus : pb avec searchtoll bar
search tool bar s'affiche dans IE et je n'arrive pas à la supprimer. J'ai demandé un rapport à hijackthis mais je ne sais pas comment procéder pour la suite:
Logfile of HijackThis v1.99.1
Scan saved at 15:23:26, on 11/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\totalcmd\TOTALCMD.EXE
D:\util\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\tqvnb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\tqvnb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7343750034
O17 - HKLM\System\CCS\Services\Tcpip\..\{01C2E60D-D33A-4E26-8F7A-5395FE3B2730}: NameServer = 85.255.114.70,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{25B99DDE-7B85-4B33-923B-DA3EBCA86DAD}: NameServer = 85.255.114.70,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C074568-11DB-44AF-9FCF-6FD4F60FBC63}: NameServer = 85.255.114.70 85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\..\{01C2E60D-D33A-4E26-8F7A-5395FE3B2730}: NameServer = 85.255.114.70,85.255.112.182
O17 - HKLM\System\CS2\Services\Tcpip\..\{01C2E60D-D33A-4E26-8F7A-5395FE3B2730}: NameServer = 85.255.114.70,85.255.112.182
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
quelqu'un peut m'aider
merci
Salut,
1/ Télécharge et installe CCleaner
http://www.clubic.com/telecharger- [...] aner-.html
Télécharge, installe et mets à jour ewido
Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".
http://www.infos-du-net.com/telech [...] Suite.html
Telecharge Hoster
http://www.funkytoad.com/download/hoster.zip
A dézipper sur le Bureau ou dans un répertoire.
Télécharge et lance Fixwareout.exe
http://www.infos-du-net.com/redire [...] areout.exe
2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.
3/ Lance Fixwareout et poste le rapport
4/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\tqvnb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\tqvnb.dll
5/ / Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)
6/ ensuite supprime les fichiers et/ou dossiers suivants si présents :
C:\WINDOWS\System32\tqvnb.dll
7/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage
8/ Lancer Hoster - Toadbee et cliquer sur " Restore original Hosts "
9/ / Lance ewido (Scan complet du système) et supprime tout ce qu'il trouve. Sauvegarde le rapport sur le bureau.
10/ Redémarre normalement et poste le rapport Ewido et un nouveau rapport HijackThis.
je telecharge tout cela demain et je tente les diverses manipulations!! et j'envoie le rapport
merci pour le coup de main rapide
ça y est, j'ai appliqué les démarches que tu m'as conseillé et... ça marche!!! merci bcp!!!
voici les rapports:
de hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 18:02:39, on 12/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\totalcmd\TOTALCMD.EXE
D:\util\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 7343750034
O17 - HKLM\System\CCS\Services\Tcpip\..\{01C2E60D-D33A-4E26-8F7A-5395FE3B2730}: NameServer = 85.255.114.70,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{25B99DDE-7B85-4B33-923B-DA3EBCA86DAD}: NameServer = 85.255.114.70,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C074568-11DB-44AF-9FCF-6FD4F60FBC63}: NameServer = 85.255.114.70 85.255.112.182
O17 - HKLM\System\CS1\Services\Tcpip\..\{01C2E60D-D33A-4E26-8F7A-5395FE3B2730}: NameServer = 85.255.114.70,85.255.112.182
O17 - HKLM\System\CS2\Services\Tcpip\..\{01C2E60D-D33A-4E26-8F7A-5395FE3B2730}: NameServer = 85.255.114.70,85.255.112.182
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
et de ewido
---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------
+ Créé le: 15:33:03, 12/05/2006
+ Somme de contrôle: 3562ED04
+ Résultats du scan:
HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj -> Adware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CLSID -> Adware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CurVer -> Adware.CoolWebSearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj.1 -> Adware.CoolWebSearch : Nettoyer et sauvegarder
[204] VM_00D60000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[228] VM_00D40000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[752] VM_008F0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
[840] VM_00BE0000 -> Downloader.Agent.uj : Erreur durant le nettoyage
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP34\A0002399.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002438.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002444.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002450.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002466.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002479.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002488.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002495.exe -> Downloader.Agent.uj : Nettoyer et sauvegarder
C:\System Volume Information\_restore{4A34EEF6-73E8-4127-B37E-3FB4719F84ED}\RP35\A0002498.dll -> Adware.SBSoft : Nettoyer et sauvegarder
D:\util\backups\backup-20060512-145847-830.dll -> Adware.SBSoft : Nettoyer et sauvegarder
::Fin du rapport
encore merci
:-D
Il y a 1403 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
