Virus about:blank

Salut,
Un utilisateur de l'entreprise se touve dans la même situation; il a surfé je ne
sais ou et se retrouve avec un lien systématique sur acadabra.com (site de Q
sauvage à eviter absolument).
J'ai viré tous ses internet files, nettoyé sa base de registre, rien y fait. Il
se connecte systématiquement sur ce site et ne peut pas aller ailleurs.
Complètement bloqué. Si tu as une réponse, ce serait sympa de me la faire
parvenir. Merci d'avance

On Thu, 13 May 2004 07:33:07 +0000, J.P wrote:

un lien systématique sur acadabra.com

Pour moi, les enregistrements DNS acadabra.com et www.acadabra.com
n'existent pas. Une faute de frappe ?


Nicob

le prob c ke
lorsque je renseigne dans le lien par défaut www.wanadoo.fr par exemple, il
commence à afficher la page wanadoo et se redirige auto sur l'autre site .
Trop chiant koi!

Slt

Vous pouvez telecharger Hijack This et poster le rapport ici pour obtenir de
l'aide.
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

merci

j'essaie

A+

Voila donc le log généré

StartupList report, 13/05/2004, 12:38:03
StartupList version: 1.52
Started from : A:HIJACKTHIS.EXE
Detected: Windows ME (Win9x 4.90.3000)
Detected: Internet Explorer v5.50 (5.50.4134.0100)
* Using default options
=================================================
Running processes:

C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSSYSTEMSSDPSRV.EXE
C:PROGRAM FILESNORTON ANTIVIRUSRTVSCN95.EXE
C:PROGRAM FILESNORTON ANTIVIRUSDEFWATCH.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSRUNDLL32.EXE
C:PROGRAM FILESNORTON ANTIVIRUSVPTRAY.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:WINDOWSSYSTEMHPZTSB06.EXE
C:PROGRAM FILESAHEADINCDINCD.EXE
C:PROGRAM FILESOUTLOOK EXPRESSMSIMN.EXE
C:PROGRAM FILESWHFCWHFC.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:PROGRAM FILESMESSENGERMSMSGS.EXE
C:WINDOWSSYSTEMHPZSTATX.EXE
A:HIJACKTHIS.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:WINDOWSMenu DémarrerProgrammesDémarrage]
Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
Démarrer Outlook Express.lnk = C:Program FilesOutlook ExpressMSIMN.EXE
Whfc.lnk = C:Program FilesWHFCWhfc.exe

--------------------------------------------------

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun

ScanRegistry = C:WINDOWSscanregw.exe /autorun
TaskMonitor = C:WINDOWStaskmon.exe
PCHealth = C:WINDOWSPCHealthSupportPCHSchd.exe -s
SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
NvCplDaemon = RUNDLL32.EXE C:WINDOWSSYSTEMNvCpl.dll,NvStartup
nwiz = nwiz.exe /install
Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd
vptray = C:Program FilesNorton AntiVirusvptray.exe
HPDJ Taskbar Utility = C:WINDOWSSYSTEMhpztsb06.exe
InCD = C:Program FilesAheadInCDInCD.exe

--------------------------------------------------

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAgent = mstask.exe
SSDPSRV = C:WINDOWSSYSTEMssdpsrv.exe
*StateMgr = C:WINDOWSSystemRestoreStateMgr.exe
rtvscn95 = C:Program FilesNorton AntiVirusrtvscn95.exe
defwatch = C:Program FilesNorton AntiVirusdefwatch.exe

--------------------------------------------------

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Windows Internet Protocol = C:WINDOWSSYSTEM32WINPROC32.EXE

--------------------------------------------------

Shell & screensaver key from C:WINDOWSSYSTEM.INI:

Shell=Explorer.exe
SCRNSAVE.EXE drivers=mmsystem.dll power.drv

--------------------------------------------------

C:WINDOWSWININIT.BAK listing:
(Created 20/4/2004, 18:26:44)

[Rename]
NUL=C:WINDOWSTEMPDRMTEMP4.HTM
NUL=C:WINDOWSTEMPDRMTEMP3.HTM
NUL=C:WINDOWSTEMPDRMTEMP2.HTM
NUL=C:WINDOWSTEMPDRMTEMP1.HTM

--------------------------------------------------

C:AUTOEXEC.BAT listing:

SET COMSPEC=C:WINDOWSCOMMAND.COM
SET windir=C:WINDOWS
SET winbootdir=C:WINDOWS
SET PROMPT=$p$g
SET TEMP=C:WINDOWSTEMP
SET TMP=C:WINDOWSTEMP
SET

PATH=C:orawin95jdkbin;C:orawin95bin;C:WINDOWS;C:WINDOWSCOMMAND;C:WEBDEV;
C:javabin;C:javajrebinclassic
SET CLASSPATH=C:orawin95toolscommon60javaimporter.jar;C:javabin

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:WINDOWSSYSTEMMSXMLFILT.DLL - {00000000-0000-0000-0000-
000000000001}
(no name) - C:WINDOWSSYSTEMBKJ.DLL - {5DA90A3C-02A7-4BDB-ACBB-8F7807D86E7F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Démarrage du programme de réglages.job
Planificateur pour la collecte de données PCHealth.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:WINDOWSSYSTEMMACROMEDFLASHFLASH.OCX
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:WINDOWSSYSTEMWEBCHECK.DLL
UPnPMonitor: C:WINDOWSSYSTEMUPNPUI.DLL
AUHook: C:WINDOWSSYSTEMAUHOOK.DLL

--------------------------------------------------
End of report, 5 387 bytes
Report generated in 0,194 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

J'ai utilisé Spybot et Ad-aware et rien à faire.
toujours la cxion sur le même site
Je sens qu'il y a de la reinstall dans l'air ...

Salut,

J.P.:

J'ai utilisé Spybot et Ad-aware et rien à faire.
toujours la cxion sur le même site
Je sens qu'il y a de la reinstall dans l'air ...

Mouarff! Ce sera disproportionné.

Donne-nous des infos si tu veux de l'aide:
Windows?
Contenu de la clef que je donne plus haut?
Tu comprends l'anglais?

--
joke0

Slt

L'os est un windows millenium.
J'ai nettoyé la base de registre avec les outils que tu m'as conseillés. Je
comprends l'anglais.

voila, voila

JP

Salut,

J.P.:

L'os est un windows millenium.

Alors fais attntion à la restauration système automatique:
<URL:http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5>

J'ai nettoyé la base de registre avec les outils que tu m'as
conseillés. Je comprends l'anglais.

Au poil, tu vas pouvoir suivre la procédure qui est assez compliquée:
<URL:http://www.computercops.biz/modules.php?name=Forums&p4870>

Bon courage, et tiens nous au courant ;-)

--
joke0