Forum Clubic

Home page persistante !

J’ai tout essayé : spybot, adaware, shredder… Rien n’y fait, ma home page change à chaque reboot de IE. Voici le scan de hijackthis.
Qui me dira quoi “fixer” ?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Documents and Settings\b-e-n\Mes documents\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\b-e-n\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\b-e-n\LOCALS~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\program files\Adobe\Acrobat Reader 5\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {930BAF31-D401-4484-A243-6181D3F96E38} - C:\WINDOWS\system32\cloc.dll
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM…\Run: [DrvListnr] C:\Program Files\Analog Devices\SoundMAX\DrvListnr.exe
O4 - HKLM…\Run: [IntelliPoint] “C:\Program Files\Microsoft IntelliPoint\point32.exe”
O4 - HKCU…\Run: [Steam] D:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104924831580
O18 - Filter: text/html - {25CE62CC-9637-428C-A877-6581E72A0FF6} - C:\WINDOWS\system32\cloc.dll
O18 - Filter: text/plain - {25CE62CC-9637-428C-A877-6581E72A0FF6} - C:\WINDOWS\system32\cloc.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

oops je me suis trompé de categorie. Un admin pourrait il me transferer ce post à “antivirus” pliz :slight_smile:

Bonsoir,
Il manque une partie de votre HJ pour voir les maj.
Vous pouvez déja fixer les méchants.
Bien vérifier que la case Hj est activée concernant la sauvegarde HJ
Vous pouvez vous mêmes contrôler les procéssus :[Start List]
[Hijack]
Videz les caches, les historiques, Désactivez tous les points de restaurations système,les activesX et les Iframes, nettoyage,Antivirus en ligneTrend
Redémarrer la machine en mode sans échec, Passez Ad-Aware, spybot, CWShredder, refaire un HJ toujours en mode sans échec.
Postez le rapport
Aide:Tuto
Bon courage.
Ps/ il faut passer les utilitaires en mode sans échec ainsi que HijackThis.
Antivirus? Mach.JAVA?

En général, c’est InternetExplorer qui est touché par ce KK. Si c’est ce navigateur que tu utilises, tu peux bloquer la page de demmarage avec PowerIE. Ça tient en général un moment si ton PC n’est pas une passoire à troyan.
Sur des bécanes qui n’ont pas de bouclier à saloperie, je pose SpywareGuard[/url], un gratuit qui fait une surveillance en temps réel des des modif malfaisante. Evidemment, s’il gueule à tout bout de champ, il te faudra mieux protéger ton PC. Tu peux déjà le faire avec des trucs comme [url=http://www.javacoolsoftware.com/spywareblaster.html]Spywareblaster qui bloque les tentatives d’après une liste actualisable.
Tout ça est gratuit, simple et efficace (sauf si, evidemment, on baigne dans la partie obscure de la toile)

J’ai fait un free scan et voici le verdict qui semble etre correct:
j’ai le trojan dont le nom est: startpage-du.dll
Le fichier infecté est cllfomaa.tmp qui est dans system32.
Ce fichier ne veut pas se virer car il est en cours d’utilisation.
Je vais essayer vos aides.
Merci.

Bonjour,
Je vous avais donné le mode d’emploi il faut essayer!
[Comment]
@+

jenbave,
le tueur de process ne s’applique qu’aux executables.
benouzzz,
tu peux utiliser CopyLock pour virer des fichiers bloqués par l’OS.Ces fichiers seront déplacés ou détruits au boot suivant avant que l’OS prenne le contrôle.
Le problème est que si la BdR contient des instruction pour que le joyeux revienne, ça va se reproduire.

Apparement ton “startpage-du.dll” est connu (voir google). un AV devrait suffire

Et bien non!!! Un AV ne suffit pas !!!
Voici les dernières nouvelles:
J’ai acheté et mis à jour mc afee, et il n’a rien trouvé alors que mon problème subsite !
J’ai installé microsoft antispyware, j’ai repassé spybot, vacciné, j’ai passé adaware etc etc.
Et cette page de search revient tout le temps. Et je me suis aperçu qu’elle rajoute de quoi la desinstaller dans “ajout suppression de programme” Ca s’appelle “web search assistant”

Et vous allez rire!!! Samedi j’ai formaté ma machine et reinstallé. Et que vois -je aujourd’hui ? Pareil…

J’ai sans arret des messages de mon security system qui me dit qu’il essaye de bloquer cette page, mais au bout d’un moment, paf! ça revient.

Dois-je acheter une autre machine ??? :frowning: