Problème avec IE au démarrage et favoris !

sebOM · Mars 19, 2005, 3:32

Bonjour à tous !

J’ai à nouveau un problème avec IE. Il me met une page “bidon” au démarrage et j’ai aussi des favoris qui sont créés du type XXX. Ca me gave !

J’ai éxecuté Hijackthis. Voila le rapport d’erreur :

[i]Logfile of HijackThis v1.99.0
Scan saved at 15:28:40, on 19/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\PLServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Grisoft\AVG Free\avgcc.exe
C:\Program Files\Grisoft\AVG Free\avgwb.dat
C:\WINNT\System32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Mes documents\Programmes\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?atgkn
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?atgkn
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O19 - User stylesheet: C:\WINNT\stsheets.dat
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINNT\system32\fxssvc.exe
O23 - Service: IBM PM Service - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINNT\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINNT\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\System32\tlntsvr.exe
O23 - Service: Gestionnaire d’utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINNT\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINNT\System32\wbem\wmiapsrv.exe

[/i]

J’ai sélectionner et fixer les deux premières lignes mais elles reviennent toujours
Avec Adaware, j’ai fait mon scan habituel et viré les objets et AVG ne me signale rien.

Que puis-je faire ?

Merci beaucoup pour votre aide !

Seb

sebOM · Mars 19, 2005, 4:36

J’ai essayé de supprimé les lignes en question en mode sans échec. Ca marche quand je fais un nouveau scan mais en mode normal, ces lignes reviennent ! Ca m’énerve !!!

westernunion · Mars 20, 2005, 12:12

fixe :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http$://rl.webtracer.cc/-/?atgkn
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http$://rl.webtracer.cc/-/?atgkn

O1 - Hosts: 1159680172 auto.search.msn.com <–à supprimer
FICHIER Host
(Déplier) C:–>\windows–>\system32–>\drivers…–>Host<–ouvrir avec le bloc-notes/Edition : “sélectionner”/Supprime

fixe TOUTES les :
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
et désinstalle ce programme dans PorgramFiles (c’est un faux-utilitaire)
BPS (= BulletProofSoft) Spyware Remover b[/b]
http://www.safer-networking.org/en/compatibility/bps.html

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

télécharger Ad-aware.SE/ Spybot.s&d 1.3 (les2!)

SpywareBlaster (complément anti-ActivX à coupler avec Spybot (proposé aussi en téléchargement dans le logiciel lui-même)
http://www.ordi-netfr.org/tutorialspywareblaster.html

le tuto ad-aware :
http://www.ordi-netfr.com/adawarese.html
les tutos spybot 1.3 :
http://tomcoyote.com/SPYBOT/indexfr.php
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

sebOM · Mars 20, 2005, 11:14

Cool merci je vais essayer ca !

Merci beaucoup pour ton aide ! JE me souviens de la dernière fois ! C’est super cool !

sebOM · Mars 21, 2005, 9:08

westernunion:

fixe :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http$://rl.webtracer.cc/-/?atgkn
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http$://rl.webtracer.cc/-/?atgkn

En fait le problème c’est que quand je sélectionne les deux lignes R1, elles reviennent tout de suite.
Pour la O1, il ne veut pas me l’enlever, il me met un message windows.
J’ai essayé en mode sans échec. Ils ne réapparaissent pas mais quand je redémarre le PC normallement les revoila !

O1 - Hosts: 1159680172 auto.search.msn.com <–à supprimer
FICHIER Host
(Déplier) C:–>\windows–>\system32–>\drivers…–>Host<–ouvrir avec le bloc-notes/Edition : “sélectionner”/Supprime

[b]J’ai trouvé le fichier dans WINNT. Je pense que c’est pareil vu que je n’a ipas de Windows. mais je ne trouve pas une ligne comme ca. J’ai ouvert le fichier et voici ce que j’ai :

[i]# Copyright © 1993-1999 Microsoft Corp.

Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP

pour Windows.

Ce fichier contient les correspondances des adresses IP aux noms d’hôtes.

Chaque entrée doit être sur une ligne propre. L’adresse IP doit être placée

dans la première colonne, suivie par le nom d’hôte correspondant. L’adresse

IP et le nom d’hôte doivent être séparés par au moins un espace.

De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des

lignes propres ou après le nom d’ordinateur. Ils sont indiqué par le

symbole ‘#’.

Par exemple :

102.54.94.97 rhino.acme.com # serveur source

38.25.63.10 x.acme.com # hôte client x

127.0.0.1 localhost
127.0.0.1 search.kazaa.com[/i]

C’est la ligne Localhost que je supprimme ? Celle de Kazaa aussi ?[/b]

fixe TOUTES les :
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
et désinstalle ce programme dans PorgramFiles (c’est un faux-utilitaire)
BPS (= BulletProofSoft) Spyware Remover b[/b]
http://www.safer-networking.org/en/compatibility/bps.html

*ferme TOUS les programmes
*fixe les lignes trouvées dans l’hijack (coche chaque case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

télécharger Ad-aware.SE/ Spybot.s&d 1.3 (les2!)
http://www.lavasoftusa.com/software/adaware/
http://www.safer-networking.org/fr/index.html

SpywareBlaster (complément anti-ActivX à coupler avec Spybot (proposé aussi en téléchargement dans le logiciel lui-même)
http://www.ordi-netfr.org/tutorialspywareblaster.html

le tuto ad-aware :
http://www.ordi-netfr.com/adawarese.html

les tutos spybot 1.3 :
http://tomcoyote.com/SPYBOT/indexfr.php
http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

Encore un grand merci d’avance pour ton aide :ouimaitre:

westernunion · Mars 21, 2005, 11:14

dans le host ça c’est bon
#102.54.94.97/rhino.acme.com
#38.25.63.10/x.acme.com
127.0.0.1 localhost (c’est toi)
le reste supprime!

ton système est loin d’être à jour de ses correctifs de sécu. (vilain! )
Platform: Windows XP(WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
c’est une belle passoire quand même…

(hors connexion!)En éditant directement dans la Base de Registre, tu as essayé?

R0 - HKCU\Software\Microsoft\Internet Explorer[b]Main,Start Page[/b] = http$://rl.webtracer.cc/-/?atgkn<–supprimer
R0 - HKLM\Software\Microsoft\Internet Explorer[b]Main,Start Page[/b] = http$://rl.webtracer.cc/-/?atgkn <–supprimer

démarrer/exécuter : tape regedit/valide ok
ouvrir : HKCU(déployer le chemin -->Software–>Microsoft–>Internet Explorer)–>Main,Start Page =/supp. l’url

ensuite ouvrir
HKLM (suivre le chemin) /supp. l’url

tjrs hors connexion : options internet : Onglet Confidentialité/sites Web : entrer l’url et la mettre en “toujours bloquer”/Onglet Sécurité/Sites sensibles/remettre encore l’url

Relancer Hijack (remettre une page de démarrage/voir *screen)/recocher les lignes/redémarrer/vider le cache internet/la corbeille/nettoyage disque

*screen : http://www.ordi-netfr.org/tutorialhijackthis.html

refaire tourner Spybot/vacciner/bien activer la case BHO (bloquer les pages nuisibles…"

si ça marche pas…on avisera :pt1cable:

sebOM · Mars 21, 2005, 10:31

J’ai fait tout ce ue tu m’as dis. Merci !
Pour la 04, j’ai pu la virer grâce à Spybot en mode sans échec. Par contre pas moyen de virer les deux lignes R0 ! J’ai essayé directement avec regedit, en mode sans échec avec HijackThis.

J’ai fait un nouveau scan et voili :

[i]Logfile of HijackThis v1.99.0
Scan saved at 22:22:21, on 21/03/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\CFGSAFE\AUTOCHK.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\PLServ.exe
C:\WINNT\System32\svchost.exe
C:\Documents and Settings\Administrateur\Mes documents\Programmes\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?atgkn
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?atgkn
O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O19 - User stylesheet: C:\WINNT\stsheets.dat
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINNT\system32\fxssvc.exe
O23 - Service: IBM PM Service - IBM Corp. - C:\WINNT\System32\ibmpmsvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINNT\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINNT\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\System32\tlntsvr.exe
O23 - Service: Gestionnaire d’utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINNT\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINNT\System32\wbem\wmiapsrv.exe[/i]

J’ai suivi toutes tes instructions et il reste plus que ca. Ca pourrait être un virus ?

Aussitot que c’est reglé je mets à jour avec les packs sécurité aussi !!!