le retour de "search.html"

[panther]

les bras m'en tombent,

en finalité, la page est revenu "search.html" .

je sais où la page s'installe mais je ne sais pas si je peux supprimer dans le registre la clé.

Pitié , quelqu'un pourrait m'aider à la lecture de ces clés.

En fait cela se trouve dans HKCU\software\microsoft\internet explor\main, HomeOldsp= about : blank .

Cette fameuse about : blank page qui en fait est SEARCH page. J'ai noté aussi que l'adresse utilisée commençait par "c1dcon.ewizard.cc" ........

Le programme installé m'indique ce qui a pu être piraté, voir tout ce qui est R1 ou R0 notamment, le reste me semble ok.

Merci par avance de votre aide / ci joint le journal ou se trouve forcément mon problème, j'ai mis en gras ce qui me paraissait être improtant:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://c:\windows\TEMP\sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:\windows\TEMP\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.creative.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://c:\windows\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: _AT_msdxmLC.dll,-1_AT_1036,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] c:\windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe

O4 - HKLM\..\Run: [AtiKey] Atitask.exe

O4 - HKLM\..\Run: [Keyboard Manager] C:\Program Files\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [HPScanPatch] C:\WINDOWS\SYSTEM\HPScanFix.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Program Files\DirectCD\DIRECTCD.EXE

O4 - HKLM\..\Run: [systemBoot] C:\WINDOWS\wer.exe

O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAM FILES\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU

O4 - HKLM\..\Run: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\WebCam Control\CAMTRAY.EXE

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [CnxDslTaskBar] c:\windows\SYSTEM\CnxDslTb.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [Encompass_ENCMONTR] C:\Program Files\Encompass\ENCMONTR.EXE

O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe

O4 - HKLM\..\RunServices: [PersFw] "C:\Program Files\Kerio\Personal Firewall\persfw.exe" /hide

O4 - HKCU\..\Run: [Reminder] C:\Program Files\Microsoft Money\System\reminder.exe

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [MsnMsgr] "c:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\SYSTEM\realupd.exe

O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Startup: ASE Scheduler.lnk = C:\Program Files\Aluria Software\ASE\ASE Scheduler.exe

O4 - Startup: Enregistrement de Hewlett-Packard Pavilion.lnk = C:\HP\register\REMIND32.EXE

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29d85a400f3b9a...RdxIE601_fr.cab

O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - [b]http://akamai.downloadv3.com/binaries/IA/dtc32_FR.cab

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!;http://(mon id)/20609/online.chm::/on-line.exe

j'attends votre aide

Modifié 20 Juin 2004 par panther

[panther]

en fait ce spyware "about: blank " est très dur à éliminer et je pense que beaucoup l'ont (cela va sur une page d'accueil "search_for ").

Alors si quelqu'un a la soluce????? je suis preneur, merci.

[klaoda]

Pour résoudre ce problème, allez à cette adresse http://www.ordi-netfr.com/cwshredder.html , c'est simple et efficace !

[adk]

Ce post s'applique à about:blank, coolwebsearch et sp.htlm

Oubliez pandora spysweeper et tous leurs copains.

Vous avez besoin de adaware pour virer le dll visible et les clés de registres.

ensuite il faut reglite.exe. Installez le. dans reglite, Allez dans hklm\software\microsoft\windowsNT\current version\windows et

cliquez sur applinits.dll pour voir le nom du dll invisible (nom aléatoire).

Ensuite prenez le cd de XP et installez la console de récupération xp en faisant :

executer

puis X:\i386\winnt32.exe /cmdcons notez que X est votre lecteur CD et qu'il y a un espace après winnt32.exe.

installez la console.

reboot et loguez vous avec la console.

là faites chdir c:\windows\system32 pour y aller on vous demandera le mot de passe administrateur.

puis rename "hidden.dll" blabla

puis attrib -r blabla

rebooter sous windows et faites propriétés sur blabla

ensuite décochez archive et caché et effacez le.

ensuite réouvrez reglite et supprimer la valeur de applinit.dll et faites apply.

choisissez votre page internet et rebootez.

oubliez les solutions genre hijack, killbox,cwschredder,spysweeper, spywareblaster et spybot. oubliez la restauration du système ça n'a rien à voir. Pour ne plus avoir la console au démarrage allez sous windows faites un clique droit sur poste de travail et choisissez propriétés et ensuite décochez les propriétés dans avancé et démarrage.

tout le mérite en revient à akadia, faites akadia sur google pour voir le tutorial de 3 pages.

Modifié 22 Juillet 2004 par adk

[panther]

Merci pour ta réponse.

Bye