problème avec un spy

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : problème avec un spy

bibi218

Bonjour à tous

Voilà, depuis quelques jours, j'ai un petit problème avec un ou deux spy que j'ai récoltés sur ma machine. L'un d'eux c'est WhenUSave, qui était généreusement fourni avec un util de sous titrage, et l'autre, c'est NewDotNet (ou un nom comme ça).
Sur la machine, j'ai Spybot SD et AdAware 5 mis à jour, mais rien de détecté en particulier, c'est juste StartupMonitor qui m'a signalé ces 2 clés lorsque je faisais un nettoyage de base de registre.
Seulement voilà, j'ai beau avoir supprimé tous les fichiers de ces 2 appli (de jolis repertoires dans Program Files), ces 2 clés se réécrivent en base de registre systématiquement à chaque redémarrage, afin que 2 fichiers (squi n'existent plus) se lancent.
Comment font-elles ??? Y a-il un prog résidant en mémoire chargé de ça ??? Si quelqu'un avait le nom du process, ça m'aiderait bien.
Voici ce que me donne StartupMonitor :

Citation :

The program
New.net Startup
has registered the executable
rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NeDotNetStartup -s
to run at system startup

Mici d'avance

Publicité

Jean Trot

Adaware 5 ? passes à adware SE et effectues les mises à jour.
Pour Whenusave regarde là:
http://www.flowprotector.com/fr/sp [...] &langue=FR

Message édité par Jean Trot le 31-01-2005 à 14:12:28

mime159

essaye " Spy Sweeper " il detecte beaucoup plus que les autre logiciel, il est tres puissant.il va vraiment analysé tous le disque dur et nettoyer TOUTES les clés et les fichiers des spy.

---------------
On the road again !!!

Jean Trot

Spy Sweeper -> payant aprés une période d'essaie!

bibi218

Au temps pour moi, c'était la version trial d'AdAware SE
Toujours pas de détection, et dès que je modifie ma base de registre en enlevant ces saletés, elles sont réinscrites dans la seconde qui suit
Ne marche pas avec spysweeper non plus d'ailleur

mime159

je sais qu'il est payant, c'etait juste le temps de regler son probleme, mais bon ca ne marche pas non plus, bizzare

saleter de spyware, on en est polluer par tous les cotés!

---------------
On the road again !!!

mime159

d'apres ce lien:

http://www.flowprotector.com/fr/sp [...] &langue=FR

y a un logiciel pour ce debarasser de "WhenUSave"

pour "NewDotNet" essaye cette methode:

http://www.commentcamarche.net/for [...] -newdotnet

sinon demarre en mode sans echec (f8 a l'ecran noir) et supprime le dossier qui contient le dll (dans programme files)

bonne chance

Message édité par mime159 le 31-01-2005 à 16:51:04

---------------
On the road again !!!

bibi218

J'ai déjà supprimé le dll il y a bien longtemps, donc en théorie je ne risque plus grand chose. En revanche, quand je supprime la clé du registre, il y a qque chose qui me la remet systématiquement, même quand je suis déconnecté.
Un truc bizarre, quand je désactive AdWatch, ça ne le fait pas ... dès que je le remets, mon registre est modifié ...
iatta :jap: les antispy seraient-ils de mèche ??? mdr

Message édité par bibi218 le 31-01-2005 à 17:53:32

Jean Trot

Passes par hiJackthis...

bibi218

Voilà ce que me donne Hijackthis
Quand j'enlève les lignes correspondantes, elles sont aussitôt rajoutées (dixit StartupMonitor ...)
Je sais que ça craint plus des masses, vu que j'ai enlevé le dll, mais ça m'intrigue quand même ce truc là :s
Je vois pas de process particulièrement suspects en plus :pt1cable:

Citation :

Logfile of HijackThis v1.99.0
Scan saved at 20:54:25, on 31/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\MATLAB701\webserver\bin\win32\matlabserver.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\StartupMonitor.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Program Files\Microsoft Encarta\Collection Encarta 2005\EDICT.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Guillaume VIRY\Bureau\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn. [...] nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2176763671
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6C828F3-4FB7-4397-8CBF-47838C19C90D}: NameServer = 80.118.196.42 80.118.192.112
O23 - Service: Acronis Scheduler2 Service - Unknown - (no file)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: MATLAB Server - Unknown - C:\MATLAB701\webserver\bin\win32\matlabserver.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Message édité par bibi218 le 31-01-2005 à 21:00:49

Publicité

Jean Trot

Fait un "copier" de ton log et "colle" le ici:
http://www.hijackthis.de/
Tu auras des indices mais ne fixe rien sans certitude.

Et jeter un oeil là:
http://forum.pcastuces.com/sujet.asp?SUJET_ID=69304

Message édité par Jean Trot le 31-01-2005 à 22:06:52

bibi218

Rien de neuf ... j'ai bien enlevé une ou deux lignes inutiles, mais rien d'autres malheureusement. Tous les autres process sont considérés comme valides

Jean Trot

perso j'ai rien vu non plus...

bibi218

En tout cas, je confirme ce que j'ai dit plus haut. Je viens de refaire un test, et lorsque je désactive AdWatch, la clé ne réapparait pas dans mon registre, même après redémarrage de ce cher XP. Capte plus là ... en tout cas, c'est sympa ce Hijackthis, je connaissais pas :jap:

Jean Trot

Indispensable, mais à utliser avec une extrême précaution. Rechercer des tutoriels et voir le mode complet ici.
http://www.zebulon.fr/articles/HijackThis.php

mime159

perso moi je ne met jamais adwatch, je passe juste ad aware et spy sweeper une fois par semaine et il m'en trouve 2 ou 3

---------------
On the road again !!!

FORUM HardWare.fr

Windows & Software

Sécurité

problème avec un spy

Sujets relatifs
probleme reseau	Probleme avec MSN Games
Probleme de copier-coller	probleme avec redirection ovh a la veille d'ouverture du site
probleme audio sur msn	Gros problème de ping problème
probleme lecture audio, curieux !	Problème d'accès au net avec NetGear FVS318 et D-Lilk DSL-300T...Help!
Problème d'activation de base de données chez Free [résolu]	Problème réseau
Plus de sujets relatifs à : problème avec un spy

Page générée en 0.077 secondes