salut j'a iun probleme de page de demarage, depuis vendredi, suite vraisemnblablement à une sessionde surf. la page http://riviera.cc/ (http://%72%69%76%69%65%72%61%2E%63%63 dans l'onglet de propriertés d'IE) est mise en page par defaut dans IE. J'ai essayé de l'enlever, rien a faire, elle revient. J'ai aussi supprimé toutes les entrées dans la base de registre ayant la valeur %72%69%76%69%65%72%61%2E%63%63, mais dès que je ferme ma session, je retrouve cette fouttue page. De plus, j'ai remarqué q'une application est apparue à la racine de mon disque C: , sous le nom mdmhelpv.exe Je l'ai supprimée. Suivant les conseils donnés sur differents sujets, j'ai fait un scan avec hijackthis. Voici le resultat : Logfile of HijackThis v1.97.7 Scan saved at 16:49:28, on 16/02/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\mslaugh.exe C:\WINDOWS\System32\rundll32.exe C:\windows\winlogon.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\GetRight\GETRIGHT.EXE C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\CHARLO~1\LOCALS~1\Temp\Rar$EX00.854\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://riviera.cc (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Exploreur par Charlooze R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Ouvrir avec GetRight - C:\Program Files\GetRight\GRbrowse.htm O8 - Extra context menu item: Télecharger avec GetRight - C:\Program Files\GetRight\GRdownload.htm O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37867.3052662037 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{28D8E701-886E-4CE0-AC5E-2E5BE49FE1DD}: NameServer = 80.10.246.5 80.10.246.136 O17 - HKLM\System\CS1\Services\Tcpip\..\{28D8E701-886E-4CE0-AC5E-2E5BE49FE1DD}: NameServer = 80.10.246.5 80.10.246.136 j'ai deja essayé de supprimer les entrées concernat "riviera", mais rien y fait.... Merci d'avance. Aidez moi à erradiquer cette "merde".

Modifié par Charlooze le 17/02/2004 12:42

hello passe un coup de spybot si tu la pas ici le lien pour le dl [url]http://www.safer-networking.org/index.php?lang=fr&page=download[/url] et ad-aware sur telecharger.com fait le scann des deux et 9 sur 10 tu serras debarasÚ de c'est spyware ps avant de l'employer n'oublie pas de faire la MAJ des c'est log amicalement

Bonjour charbooze vire dÚjÓ ces lignes lÓ avec hijackthis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://riviera.cc (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Exploreur par Charlooze R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated) et puis comme dit raicy spybot et ad aware pour parfaire.

Modifié par robal le 16/02/2004 21:37

Salut. C:\WINDOWS\System32\mslaugh.exe O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.e.worm.html A virer: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://riviera.cc (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Exploreur par Charlooze R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup http://www.doxdesk.com/parasite/NewDotNet.html O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe

Salut a tous. j'ai deja essayÚ de supprimer certaines des ligne que vous me conseillez de supprimer, mais HijackThis ne semble pas reussir a les enlever, car si je rescan mon PC immediatement apres (sans redemmarer) il retrouve ces meme lignes... Quant a ad aware et spybot, j'ai deja fait avec les dernieres mises a jour, rien n'y fait... Merci de votre Aide.

Salut. Essaie de nouveau de les supprimer, aprÞs avoir rebooter en [url="http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fdocid/20020905112131924"]Mode sans Echec[/url].

Modifié par Althalus le 17/02/2004 12:14

Salut a tous. Probleme enfin resolu grace a vous tous et vos bonnes analyses du scan de HijackThis.. Je vous remercie tous.