About : blank spy ???

01/08-2005 à 17:55Bonjour a tous

Voila j'ai un autre (encore lol) ennuy :)

J'ai installé un jeu (Cossack 2) et ensuite je suis allé sur le net, et la une page c'est mise a la place de celle habituelle avec pour seulle adresse 'about: blank'
Je ne pense pas que c'est en rapport avec le jeu, mais cette page, est tres enervante, elle me bloque l'acces a certains sites (surtout ceux ou il faut javascripte) Et en plus il y a des messages qui s'afffichent de temps en temps (dont le titre dans la barre en haut est ' ')

J'ai biensur regardé sur le forum avant de poster mon post et j'ai trouver des posts similaire au mien mais sans reponces, par contre en regardant sur le net avec d'autres sites j'ai trouver quelqu'un qui parlé de telelcharger un programme HijackThis, ce que j'ai fait et ensuite j'ai fait un scan de mon ordi.
Mais je ne sais pas quoi en faire aprés vu que le site a planté et que 'about: blank' m'empeche d'y retourner.
J'ai scanner mon pc avec Ad-aware, sans resultats.

Je ne sais pas ci cela va vous servire, mais je met le lof HijackThis



Logfile of HijackThis v1.99.1
Scan saved at 17:36:32, on 01/08/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\netjy32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\PopUp Killer\PopUpKiller.EXE
C:\WINDOWS\System32\LVComS.exe
C:\WINDOWS\system32\apixn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\eMule\emule.exe
C:\PROGRA~1\EUROBA~1\erobar.exe
C:\WINDOWS\System32\dwwin.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\C0BRA\Bureau\Nouveau dossier\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aixnz.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aixnz.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aixnz.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aixnz.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aixnz.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aixnz.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aixnz.dll/sp.html#83556
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {D6802832-787B-8CED-D765-ED9B1BCC42AC} - C:\WINDOWS\system32\sysvz32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [PopUpKiller] C:\Program Files\PopUp Killer\PopUpKiller.EXE
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\System32\LVComS.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ntin32.exe] C:\WINDOWS\ntin32.exe
O4 - HKLM\..\Run: [apixn.exe] C:\WINDOWS\system32\apixn.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmep.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "D:\Cossacks2Setup.exe" -AdditionalInstall
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netjy32.exe" /s (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe


Merci a tous :)

COBRA

01/08-2005 à 18:19J'ai passé ton log sur le site d'analyse d'hijackthis :
J'ai sélectionné uniquement les entrées qui posent problème.
[QUOTE]

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aixnz.dll/sp.html#83556
Méchant Cette inscription doit obligatoirement être effacée par Hijackthis.
Cette inscription doit obligatoirement être effacée par Hijackthis.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aixnz.dll/sp.html#83556
Méchant Cette inscription doit obligatoirement être effacée par Hijackthis.
Cette inscription doit obligatoirement être effacée par Hijackthis.

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
Bon Ce site a été identifié comme étant non dangereux MAIS TU DEVRAIS QUAND MËME LA VIRER... CA T'EVITERA DE VOIR MSIE S'OUVRIR SYSTEMATIQUEMENT SUR UNE PAGE BLANCHE

R3 - Default URLSearchHook is missing
Méchant Il vaudrait mieux effacer cette inscription si aucun programme (connu) n’est mentionné.
Il est conseillé d’effacer cette inscription !

O2 - BHO: Class - {D6802832-787B-8CED-D765-ED9B1BCC42AC} - C:\WINDOWS\system32\sysvz32.dll
Inconnu Risque d'inscription dangereuse. Ce programme ([D6802832-787B-8CED-D765-ED9B1BCC42AC] - Treffer: ) a été identifié comme étant non dangereux. Taux de précision: -1 %
Programme inconnu.

O4 - HKLM\..\Run: [ntin32.exe] C:\WINDOWS\ntin32.exe
Eventuellement méchant
Taux de précision: 6 % (Résultats)
Il semble que le nom de ce programme est le même que le nom du fichier. Dans la plupart des cas, ceci est le résultat d'un troyen. Pour être certain, vous devriez contrôler ce fichier.
O4 - HKLM\..\Run: [apixn.exe] C:\WINDOWS\system32\apixn.exe
Eventuellement méchant
Taux de précision: 14 % (Résultats)
Il semble que le nom de ce programme est le même que le nom du fichier. Dans la plupart des cas, ceci est le résultat d'un troyen. Pour être certain, vous devriez contrôler ce fichier.
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmep.exe
Inconnu
Taux de précision: 7 % (Résultats)
Programme inconnu.

O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "D:\Cossacks2Setup.exe" -AdditionalInstall
Inconnu
Taux de précision: 5 % (Résultats)
Programme inconnu.
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe
Inconnu
Taux de précision: 10 % (Résultats)
Programme inconnu.

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Bon Cette inscription E&xporter vers Microsoft Excel a été identifiée comme étant non dangereuse.
Si l’inscription 'E&xporter vers Microsoft Excel ' n’est plus utilisée, il vaut mieux l’effacer.
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
Bon Cette inscription Recherche a été identifiée comme étant non dangereuse.
Si l’inscription 'Recherche ' n’est plus utilisée, il vaut mieux l’effacer.
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netjy32.exe" /s (file missing)
Inutilement Ces entrées montrent tous les services qui ne sont pas de Microsoft. Souvent malware démarre comme un service système et n’est pas facile à détecter.
Service inconnu. (s (file missing))
Inscription superflue (car sans effet) qui peut donc être effacée ![/QUOTE]

01/08-2005 à 18:46mdr... euh c'est tres gentil mais... qu'est ce que je dois faire, je dois effacer tout ca alors ?
Ou est ce qu'est le site pour me dire ce qui est bon pour pas?
Et si j'efface tout cas, n'y a t il pas de probleme? enfin.. ca ristque pas de tuer encore plus mon pc :s ?

Merci encore :)

COBRA

01/08-2005 à 18:50

mdr... euh c'est tres gentil mais... qu'est ce que je dois faire, je dois effacer tout ca alors ?

pas de quoi être mort de rire...
tu effaces.
Si tu n'as pas confiance, tu utilises un autre logiciel qu'hijack this ou tu ne viens pas demander qu'on t'aide...
De toute façon, hijackthis te permet de récupérer ce qui a été viré du registre (sous-dossier backups).

01/08-2005 à 18:59T'as de sacrés spywares en effet, et des troyens. Suis les conseils de Johannis, soit tu nettoies manuellement, soit tu charges Hijackthis et tu sélectionnes tout ce que Johannis t'a indiqué, puis tu cliques sur "fix".
Si tu n'as pas confiance, si tu as peur de planter le pc, tu ne fais rien et tu restes avec tes soucis. Simple.

01/08-2005 à 20:12Je ne rigolais pas pour rire mais c'etait juste que cela m'a fait rire de lire une liste que je ne comprends pas sans savoir quoi faire. Je n'ai malheureusement pas votre niveau en informatique c'est pour ca que j'ai preferé demandé qi je devais bien effacer pour etre sur de moi.
Maintenant si vous me dites que c'est sur, je le fais avec plaisir, merci a vous :)

COBRA

02/08-2005 à 02:21

c'etait juste que cela m'a fait rire de lire une liste que je ne comprends pas sans savoir quoi faire.

il est vrai que les listings d'hijackthis peuvent être un peu rebutants (surtout recopiés en mode texte... mais comme tu n'avais semble-t-il plus de connexion internet pour te logger sur leur site.
Pour ta gouverne, dès que tu pourras te connecter, tu trouveras ton évaluation perso (complète) en cliquant sur cette adresse :
http://www.hijackthis.de/logfiles/10d1b6044d7c639658555128ec3e7499.html

Enfin, pour compléter le tableau, l'analyse résumée de ton scan FAITE par hijackthis :
"MSIE: Internet Explorer v6.00 (6.00.2600.0000) - Votre version n’est probablement plus actuelle.
C:\WINDOWS\system32\netjy32.exe - Inconnu
C:\WINDOWS\system32\apixn.exe - Inconnu
C:\PROGRA~1\EUROBA~1\erobar.exe - Inconnu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aixnz.dll/sp.html#83556 - Méchant
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aixnz.dll/sp.html#83556 - Méchant
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aixnz.dll/sp.html#83556 - Méchant
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aixnz.dll/sp.html#83556 - Méchant
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aixnz.dll/sp.html#83556 - Méchant
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aixnz.dll/sp.html#83556 - Méchant
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aixnz.dll/sp.html#83556 - Méchant
R3 - Default URLSearchHook is missing - Méchant
O2 - BHO: Class - {D6802832-787B-8CED-D765-ED9B1BCC42AC} - C:\WINDOWS\system32\sysvz32.dll - Inconnu
O4 - HKLM\..\Run: [ntin32.exe] C:\WINDOWS\ntin32.exe - Eventuellement méchant
O4 - HKLM\..\Run: [apixn.exe] C:\WINDOWS\system32\apixn.exe - Eventuellement méchant
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmep.exe - Inconnu
O4 - HKCU\..\RunOnce: [__GSCAdditionalInstallation__] "D:\Cossacks2Setup.exe" -AdditionalInstall - Inconnu
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe - Inconnu
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netjy32.exe" /s (file missing) - Inconnu"

Comme on te l'as dit, tu peux effacer sans risque en cliquant sur "fix-it", puisque de toute manière, les entrées virées de ton registre et les fichiers sont sauvegardés, donc tu peux toujours éventuellement les restituer.

02/08-2005 à 20:39Bonjour a vous,

Merci de m'avoir aider, j'ai un peu compris HijackThis mais... mon probleme premier qui etait la page about blank est toujours presente, est ce que quelqu'un pourrais me dire quoi faire?

Merci

COBRA

07/08-2005 à 20:21salut
le lien que tu donne johanis est mort je crois
tu n'en as pas un autre stp ?

----------
bonjour

07/08-2005 à 20:49Mets ton log sur cette page, elle fonctionne http://www.hijackthis.de/fr

07/08-2005 à 20:59dans ta base de registre, vérifie par démarrer/éxécuter/regedit que tu n'as pas une ligne HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about :blank
si oui, tu la supprimes.
et 2 pages à lire, celle ci où je te conseille de bien appliquer les conseils quei renvoient à l'excellent site de Terdef http://www.commentcamarche.net/faq/sujet-64-About-blank---Page-de-d%E9marrage-remplac%E9e
et celle-là avec l'intervention de Kea http://www.commentcamarche.net/forum/affich-689613-page-de-demarrage

08/08-2005 à 16:40Salut cObra666,

Je n'ai vu ton post qu'aujourd'hui alors que j'ai eu le même problème il y a quelques jours.

Voici le lien de mon post :

http://www.memoclic.com/forum/technique/209892/grosproblemedespyware!!!besoindevotreaide.html

Tu n'as peut être pas régler ton problème alors je vais t'expliquer ce que moi j'ai fait pour enlever "about blank".

Tout d'abord, si ce n'est déjà fait, télécharge, Adaware, Spybot, Hijackthis, Easycleaner et CWShredder 2.14

Faire toutes ces manips en mode sans echec et hors connection à l'internet

Faire un scan avec Adaware et nettoyer

Faire un scan avec Spybot et nettoyer

Faire un scan avec Hijackthis, coche et fixe ce que Johannis t'as indiqué.

Lance Easycleaner, va dans "registre" et lance un scan par la fonction "trouver".
En haut, il y a "valeur de chaine", voir dans la liste si il n'y a pas une ligne avec "about blank" dans cette colonne, si oui, supprime (moi j'en ai trouver 3 ou 4 que j'ai supprimer au fur et à mesure).

Toujours avec Easycleaner, appuye sur "vider historique" puis ensuite sur "vider cookies" pour comme son nom l'indique vider.

Ensuite lance CWShredder 2.14, faire un scan pour trouver un truc qui s'appelle CWS et ses variantes. Si il en trouve, il faut les effacer.

Rebrancher le tout, démarrer l'ordi normalement et "about blank" aura disparu, la page d'accueil habituelle devrait revenir.

Voilà comment j'ai procéder pour que tout revienne à la normal. C'est peut être pas la meilleure manière, il y a peut être plus simple mais bon depuis je n'ai aucun problème.

Je remercie ceux qui ont participer pour régler mon problème et j'espère qu'à mon tour j'ai pu aider quelqu'un ici.

----------

08/08-2005 à 17:04

salut
le lien que tu donne johanis est mort je crois

normal, c'était le lien adressé à Cobra pour qu'il récupère son analyse perso. Le site Hijackthis ne les conserve que 3 jours (pour ne pas encombrer), c'est bien précisé sur leur page.

08/08-2005 à 17:13bonjour a vous.
je sais pas si c'est moi qui suis fatigué ou si c'est les vacances mais ce probleme "about:blank" ce regle tout simplement par outils>option>général>page de démarrage.

a moins que la case ne soit grisée (signe de malware) il n'a qu'a définir une autre page d'acceuil.
non?


ps: il n'est pas nuisible qu'il fasse un nettoyage.

----------
"Tout a été dit mais comme personne n'écoute, il faut toujours tout répéter."
André Gide

08/08-2005 à 17:25Gaby75, peut être que dans certains cas c'est possible, ça ne l'a pas été pour moi.

----------

08/08-2005 à 17:37bonjour zeb.
je n'ai pas dis que c'était la solution mais avant d'allé taper dans la BdR de faire des hijackchose on regarde au plus simple.

cobra écrit

Et en plus il y a des messages qui s'afffichent de temps en temps (dont le titre dans la barre en haut est ' ')

une capture d'écran serait plus parlante.

enfin je sais pas mais bon...
si il veux formater il peut

----------
"Tout a été dit mais comme personne n'écoute, il faut toujours tout répéter."
André Gide

08/08-2005 à 17:54About blank : tu supprimes par le gestionnaire des taches.

08/08-2005 à 19:37Gaby, c'est zed et pas zeb, mais bon c'est un détail

Hélas Cobra ne donne plus signe de vie sur ce forum depuis quelques temps déjà, on ne saura peut être pas ce qui c'est passer avec son problème.

----------

08/08-2005 à 20:29

Hélas Cobra ne donne plus signe de vie sur ce forum depuis quelques temps déjà, on ne saura peut être pas ce qui c'est passer avec son problème.

en effet, je n'avais pas vu la date [°)]

----------
"Tout a été dit mais comme personne n'écoute, il faut toujours tout répéter."
André Gide