page de démarrage a changé About:blank (Résolu)

[JCP]

Bonjour a tous,
Apres avoir fait des recherches sur le Web, ma page de demarrage IE (tiscali)a changé subitement. Elle est maintenant remplacé par un espece de moteur de recherche et qui me propose en pop up un anti-spyware de reparation....
J'ai bien sur des problemes...
Les reglages des parametres IE pour revenir a ma page de demarrage (tiscali) ne donnent rien. Il en est de meme pour les para HKEY_current user.....IEmainstart page ou seach page, rien non plus. L'intru est en permanence par defaut maintenant.
Ad-aware et Spybot ne donne aucun resultats, vider IE temp. files, rien..
Le pc devient tres instable, les icones du bureau se bloquent. Pour pouvoir travailler il faut que je re-demarre en mode sans echec avec option confirmation (0) pas a pas.
"Hijack this" scan me donne ceci:

Logfile of HijackThis v1.99.0
Scan saved at 16:09:23, on 28/01/2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWS.002SYSTEMKERNEL32.DLL
C:WINDOWS.002SYSTEMMSGSRV32.EXE
C:WINDOWS.002SYSTEMMPREXE.EXE
C:WINDOWS.002SYSTEMmmtask.tsk
C:WINDOWS.002SYSTEMMSTASK.EXE
C:WINDOWS.002EXPLORER.EXE
C:WINDOWS.002PTSNOOP.EXE
C:WINDOWS.002TASKMON.EXE
C:WINDOWS.002SYSTEMSYSTRAY.EXE
C:WINDOWS.002SYSTEMSTIMON.EXE
C:WINDOWS.002LOADQM.EXE
C:PROGRAM FILESNORTON ANTIVIRUSNAVAPW32.EXE
C:WINDOWS.002SYSTEMIGFXTRAY.EXE
C:WINDOWS.002SYSTEMHKCMD.EXE
C:WINDOWS.002SYSTEMDDHELP.EXE
C:PROGRAM FILESMICROSOFT MONEYSYSTEMMNYEXPR.EXE
C:WINDOWS.002SYSTEMSPOOL32.EXE
C:WINDOWS.002SYSTEMWMIEXE.EXE
C:WINDOWS.002SYSTEMRNAAPP.EXE
C:WINDOWS.002SYSTEMTAPISRV.EXE
C:WINDOWS.002SYSTEMPSTORES.EXE
C:PROGRAM FILESINTERNET EXPLORERIEXPLORE.EXE
C:PROGRAM FILESWINZIPWINZIP32.EXE
C:WINDOWS.002TEMPHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS.002TEMPsp.dll/sp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS.002TEMPsp.dll/sp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:Program FilesMicrosoft MoneySystemmnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program FilesNorton AntiVirusNavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAM FILESADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {8F0E2561-6FAB-11D9-ACEA-4445FBC81626} - C:WINDOWS.002SYSTEMENEF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWS.002SYSTEMMSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [TaskMonitor] C:WINDOWS.002 askmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWS.002SYSTEMSTIMON.EXE
O4 - HKLM..Run: [LoadQM] loadqm.exe
O4 - HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1NAVAPW32.EXE
O4 - HKLM..Run: [ImInstaller] C:WINDOWS.002TEMPImInstallerIncrediMailIMLOADER.EXE -product IncrediMail
O4 - HKLM..Run: [IgfxTray] C:WINDOWS.002SYSTEMigfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWS.002SYSTEMhkcmd.exe
O4 - HKLM..Run: [Openwares LiveUpdate] C:Program FilesLiveUpdateLiveUpdate.exe
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [ScriptBlocking] "C:Program FilesFichiers communsSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKCU..Run: [MoneyAgent] "C:Program FilesMicrosoft MoneySystemmnyexpr.exe"
O4 - Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:WINDOWS.002SYSTEME_SRCV03.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:PROGRAM FILESAdd_Url.htm
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:Program FilesMicrosoft MoneySystemmnyside.dll
O12 - Plugin for .pdf: C:PROGRA~1INTERN~1PLUGINS
ppdf32.dll
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O17 - HKLMSystemCCSServicesVxDMSTCP: NameServer = 192.168.0.1
O18 - Filter: text/html - {56D76161-6FC0-11D9-ACEA-A558EEE3C5F2} - C:WINDOWS.002SYSTEMENEF.DLL
O18 - Filter: text/plain - {56D76161-6FC0-11D9-ACEA-A558EEE3C5F2} - C:WINDOWS.002SYSTEMENEF.DLL

Norton anti-virus m'indique qu'un Trojan start page est toujours present meme apres avoir été mis en quarantaine: windows.002 empsp.dll
Je n'ai plus de pare feu (malheureusement) sur ce pc.
Faut il que je le ré-installe??
Mes connaissances en la matiere deviennent tres limitées.
Que pourrai je faire avant la solution...formater le pc...
Merci d'avance
JCP

[w0lverine]

Alors: Scan spybot & Easycleaner en mode sans échec.
Déinstallation de Norton, Installation d'Avast! antivirus. (Bien meilleur, et gratuit) et Scan en mode sans échec.
Abandon d'IE, passage à Mozilla/Firefox (bien plus sécurisé).
Et enfin, tu pourras trouver un tutorial HiJackThis et tous les logiciels préconisés au dessus ==> Sur cette page

[JCP]

Merci pour la reponse,

Je vais executer tout cela et voir ce qui se passe
A+

[hellllo]

Salut jcp,
About blank en page de démarrage, c'est la pollution appelée syndrome de la page blanche comme le démontre la présence de la famille des fichiers polluants sp.*
Avec l'analyseur de log hijackthis
que tu trouveras ici: http://www.hijackthis.de/index.php?langselect=french
tu pourras te faire une première idée des dégâts.
Ce qui n'exclut pas une aide pas à pas si tu penses ne pas pouvoir t'en sortir tout seul.

[JCP]

Merci,
Je vais aller voir cela avec l'analyse des resultats de Hijackthis et je verrai ce que je peux en sortir
A+

[JCP]

Salut jcp,
About blank en page de démarrage, c'est la pollution appelée syndrome de la page blanche comme le démontre la présence de la famille des fichiers polluants sp.*
Avec l'analyseur de log hijackthis
que tu trouveras ici: http://www.hijackthis.de/index.php?langselect=french
tu pourras te faire une première idée des dégâts.
Ce qui n'exclut pas une aide pas à pas si tu penses ne pas pouvoir t'en sortir tout seul.

Bonjour,
J'ai fais plusieurs scan avec "Hijack this" et l'evaluation du rapport de ce scan.
J'ai fais supprimer par "Hijack this" les fichiers non desirables par rapport a l'evaluation.
Voici un nouveau scan, voir (A) et (B):

Logfile of HijackThis v1.99.0
Scan saved at 09:30:21, on 01/02/2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWS.002SYSTEMKERNEL32.DLL
C:WINDOWS.002SYSTEMMSGSRV32.EXE
C:WINDOWS.002SYSTEMMPREXE.EXE
C:WINDOWS.002SYSTEMmmtask.tsk
C:WINDOWS.002SYSTEMMSTASK.EXE
C:WINDOWS.002EXPLORER.EXE
(A) C:WINDOWS.002PTSNOOP.EXE
C:WINDOWS.002TASKMON.EXE
C:WINDOWS.002SYSTEMSYSTRAY.EXE
C:WINDOWS.002SYSTEMSTIMON.EXE
C:WINDOWS.002LOADQM.EXE
C:PROGRAM FILESNORTON ANTIVIRUSNAVAPW32.EXE
C:WINDOWS.002SYSTEMIGFXTRAY.EXE
C:WINDOWS.002SYSTEMHKCMD.EXE
C:PROGRAM FILESMICROSOFT MONEYSYSTEMMNYEXPR.EXE
C:WINDOWS.002SYSTEMDDHELP.EXE
C:WINDOWS.002SYSTEMSPOOL32.EXE
C:WINDOWS.002SYSTEMWMIEXE.EXE
C:WINDOWS.002SYSTEMPSTORES.EXE
C:PROGRAM FILESWINZIPWINZIP32.EXE
C:WINDOWS.002TEMPHIJACKTHIS.EXE

(B) R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS.002TEMPsp.dll/sp.html
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
(B) R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWS.002TEMPsp.dll/sp.html
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = about:blank
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:Program FilesMicrosoft MoneySystemmnyside.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:Program FilesNorton AntiVirusNavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAM FILESADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: (no name) - {8F0E2561-6FAB-11D9-ACEA-4445FBC81626} - C:WINDOWS.002SYSTEMENEF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWS.002SYSTEMMSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:Program FilesNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [TaskMonitor] C:WINDOWS.002 askmon.exe
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [StillImageMonitor] C:WINDOWS.002SYSTEMSTIMON.EXE
O4 - HKLM..Run: [LoadQM] loadqm.exe
O4 - HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1NAVAPW32.EXE
O4 - HKLM..Run: [IgfxTray] C:WINDOWS.002SYSTEMigfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWS.002SYSTEMhkcmd.exe
O4 - HKLM..Run: [Openwares LiveUpdate] C:Program FilesLiveUpdateLiveUpdate.exe
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [ScriptBlocking] "C:Program FilesFichiers communsSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKCU..Run: [MoneyAgent] "C:Program FilesMicrosoft MoneySystemmnyexpr.exe"
O4 - Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:WINDOWS.002SYSTEME_SRCV03.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: Télécharger en utilisant Download &Express - C:PROGRAM FILESAdd_Url.htm
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:Program FilesMicrosoft MoneySystemmnyside.dll
O12 - Plugin for .pdf: C:PROGRA~1INTERN~1PLUGINS
ppdf32.dll
O17 - HKLMSystemCCSServicesVxDMSTCP: NameServer = 192.168.0.1
O18 - Filter: text/html - {56D76161-6FC0-11D9-ACEA-A558EEE3C5F2} - C:WINDOWS.002SYSTEMENEF.DLL
O18 - Filter: text/plain - {56D76161-6FC0-11D9-ACEA-A558EEE3C5F2} - C:WINDOWS.002SYSTEMENEF.DLL

(A) ne peut etre supprimé par Hijack, suppression manuelle interdite
(B) est supprimé par Hijack mais revient constamment

Il faut dire que je commence vraiment a ramer,
Les autres scan anti-vir, adaware, spybot, avast cleaner, CW shredder, et autres en mode sans echec non rien donnés
Merci et A+

[hellllo]

Re.. JCP,
Comme tu peux le constater, c'est bien la pollution Sp.*. Toutes les lignes R1 demeurent foireuses
L'évaluateur de scan hijackthis permet d' entrer dans les arcanes de hijackthis mais il y a une méthodogie avant, pendant et après à mettre en oeuvre pour éviter les regénérescences.
Je te mitonne une réponse...

[hellllo]

Re JCP,
Comme promis..
1) Désactive la restauration système pour effacer tous les points de restauration antérieurs qui sont vérolés. Tu ne la réactiveras que quand tout sera clean...
2) TheKillBox qui est un freeware adapté au problème sp.* n'est plus téléchargeable actuellement.
Ce freeware permettait de faire des suppressions au reboot. Mais tu obtiendras le même résultat avec le petit freeware :
Gipo@MoveOnBoot 1.9. téléchargeable à :
http://www.gratilog.net/fichier2.htm (milieu de page).
3) Avant de mettre en oeuvre ce logiciel, IE, onglet général, supprimer les fichiers (c'est le cache internet: les fichiers temporaires internet..on sait jamais..)
4) Hors connexion internet, avec le fix de hijackthis, supprime les lignes
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:Program FilesMicrosoft MoneySystemmnyside.dll
O18 - Filter: text/html - {56D76161-6FC0-11D9-ACEA-A558EEE3C5F2} - C:WINDOWS.002SYSTEMENEF.DLL
O18 - Filter: text/plain - {56D76161-6FC0-11D9-ACEA-A558EEE3C5F2} - C:WINDOWS.002SYSTEMENEF.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:Program FilesMicrosoft MoneySystemmnyside.dll
O2 - BHO: (no name) - {8F0E2561-6FAB-11D9-ACEA-4445FBC81626} - C:WINDOWS.002SYSTEMENEF.DLL
Ainsi que toutes les lignes où il y a about :blank
4) Redémarre le PC... Vérifie avec hijackthis que c'est clean pour ces lignes-là
5) Ouvre win.ini grâce à msconfig et supprime la ligne load PTSNOOP.EXE
6) Redémarre le PC et grâce à Gipo sélectionne PTSNOOP.EXE
Redémarre .. PTSNOOP.EXE devrait être passé à la trappe
7) Toujours avec Gipo, sélectionne sp.dll et redémarre
Toujours avec Gipo, même chose pour sp.html et redémarre
9 Toujours avec gipo, tout autre membre éventuel de la famille SP.* et redémarre.
10) Si ta page de démarrage n'est pas verrouillée, change-là dans IE. Sinon, tu la déverrouilles avec power IE6 et tu la changes. Et tu redémarres
11) un scan avec CWShredder pour assurer le coup et tu redémarres
12) Un scan de hijackthis pour voir... si ça va mieux.

[JCP]

Merci pour les infos,
Je vais activer tout cela, mais entre temps j'ai de nouveau installé Norton Firewall car cette page de demarrage n'arretait pas d'arriver a tous moment lorque j'etais sur des sites de telechargement antivirus ou autres.
De ce fait, mon Norton antivirus a été egalement mis a jour de nouveau avec Firewall.
Au re-demarrage du PC le Trojan sart page a été de nouveau intercepté mais cette fois ci il m'a l'air bien bloqué dans le fichier quarantaine.
Apres plusieurs arrets et demarrages du PC en mode normal, ce fichier infesté ne revint plus.
Ayant egalement Power IE, j'ai verouillé la page de demarrage IE sur "Tiscali", ca marche a tous les coups mais je pense que tout cela n'est que du "maquillage".
Il faut que je fasse le nettoyage comme tu me l'as indiqué....
Question:
Desactive la restauration systeme????
Hier j'ai cherché mais je ne suis pas arrivé dans le bon chemin
Panneau de config>system>>onglet restauration system????pas trouvé...
Bref...ca avance quand meme...
A++

[hellllo]

Re..JCP,
Le verrouillage de la page de démarrage par power ie6 ne résistera pas à l'infection si celle-ci est toujours active. Ce n'est qu'une valeur de chaine en base...
Pour désactiver la restauration, càd, entre autres, supprimer les points de restauration anté., c'est un raisonnement XP. J'ai vu que ton OS, c'était W.98 SE. La sauvegarde du registre est organisée différemment; le registre est alors automatiquement dupliquée mais le duplicata n'a la main que si le 1er exemplaire coince lors du démarrage. On fera l'impasse en espérant à chaque fois des sorties et des redémarrages propres...(et sans interférence) pour ne pas tourner en rond...
Question au passage, pourquoi ce dossier windows.002 ? Tu es en multi-boot...?

[JCP]

Je pense que le probleme est toujours "bloqué" maintenant quelque part.
Par contre le Trojan start page ne se manisfeste plus. Auparavant il faisait surface avec Nort. antivir a chaque ouverture de prgs ou a la connection web ou mail.
D'apres Hijack, les fichiers infectés sont toujours la.
Windows.002 vient d'une ré- installation de Windows 98 SE, (apres un crash du PC), faite par un specialiste, je n'etais pas la a cette periode et parait il que c'etait fait pour sauvegarder certains documents (photos, doc. perso et autres) de l'installation precedente...
Je pense qu'il y a deux possibilités...ou faire le nettoyage...ou formater HD et re-installé Windows.
Formater me pose un probleme car je n'ai pas les disques d'origine d'installation de ce PC...et oui...
J'ai recuperer une copie de Windows 98 SE et fait une disquette de demarrage il y a six mois. J'ai egalement la disquette du lecteur cd rom et du graveur. Egalement le manuel Windows98 avec son certificat d'authenticité.
A suivre...
Merci, all the best...A++

[JCP]

J'ai effectué le nettoyage que tu m'avais recommandé avec hijack, les fichiers infectés et non desirables ont disparus.
A chaque arret et redemarrage, le PC se comporte normalement, tous les prgs et fichiers sont chargés correctement.
Pas d'interference de l'intru en page de demarrage.
Par contre Power IE verrouille Tiscali
Je vais continuer a faire plusieurs essais et voir la reaction....
Je te tiens au courant des resultats
Merci pour l'aide
A++

[hellllo]

Re.. salut JCP,
J'ai lu tout d'abord ton avant-dernier post et j'ai cru que c'était "râpé" (??).. Puis le dernier en constatant que cela paraissait résolu...
Si tu n'as rien oublié de l'armada sp.*, le verrouillage par power IE6 de ta page de démarrage Tiscali tiendra.. tant que tu ne seras pas victime d'un autre hijacking...
S'il y avait une quelconque rechute, n'hésite pas à nous décrire the problem.