Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1420 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  problème avec un spy

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

problème avec un spy

n°1908443
bibi218
Posté le 31-01-2005 à 10:17:44  profilanswer
 

Bonjour à tous
 
Voilà, depuis quelques jours, j'ai un petit problème avec un ou deux spy que j'ai récoltés sur ma machine. L'un d'eux c'est WhenUSave, qui était généreusement fourni avec un util de sous titrage, et l'autre, c'est NewDotNet (ou un nom comme ça).
Sur la machine, j'ai Spybot SD et AdAware 5 mis à jour, mais rien de détecté en particulier, c'est juste StartupMonitor qui m'a signalé ces 2 clés lorsque je faisais un nettoyage de base de registre.
Seulement voilà, j'ai beau avoir supprimé tous les fichiers de ces 2 appli (de jolis repertoires dans Program Files), ces 2 clés se réécrivent en base de registre systématiquement à chaque redémarrage, afin que 2 fichiers (squi n'existent plus) se lancent.
Comment font-elles ??? Y a-il un prog résidant en mémoire chargé de ça ??? Si quelqu'un avait le nom du process, ça m'aiderait bien.
Voici ce que me donne StartupMonitor :

Citation :


The program
New.net Startup
has registered the executable
rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NeDotNetStartup -s
to run at system startup


Mici d'avance :)

mood
Publicité
Posté le 31-01-2005 à 10:17:44  profilanswer
 

n°1908638
Jean Trot
Posté le 31-01-2005 à 12:57:13  profilanswer
 

Adaware 5 ? passes à adware SE et effectues les mises à jour.
Pour Whenusave regarde là:
http://www.flowprotector.com/fr/sp [...] &langue=FR


Message édité par Jean Trot le 31-01-2005 à 14:12:28
n°1908665
mime159
Posté le 31-01-2005 à 13:22:16  profilanswer
 

essaye " Spy Sweeper " il detecte beaucoup plus que les autre logiciel, il est tres puissant.il va vraiment analysé tous le disque dur et nettoyer TOUTES les clés et les fichiers des spy.


---------------
On the road again !!!
n°1908702
Jean Trot
Posté le 31-01-2005 à 14:09:46  profilanswer
 

Spy Sweeper -> payant aprés une période d'essaie!

n°1908808
bibi218
Posté le 31-01-2005 à 15:53:33  profilanswer
 

Au temps pour moi, c'était la version trial d'AdAware SE
Toujours pas de détection, et dès que je modifie ma base de registre en enlevant ces saletés, elles sont réinscrites dans la seconde qui suit :(
Ne marche pas avec spysweeper non plus d'ailleur :(

n°1908857
mime159
Posté le 31-01-2005 à 16:43:23  profilanswer
 

je sais qu'il est payant, c'etait juste le temps de regler son probleme, mais bon ca ne marche pas non plus, bizzare
 
saleter de spyware, on en est polluer par tous les cotés!


---------------
On the road again !!!
n°1908861
mime159
Posté le 31-01-2005 à 16:45:35  profilanswer
 

d'apres ce lien:  
 
http://www.flowprotector.com/fr/sp [...] &langue=FR
 
y a un logiciel pour ce debarasser de "WhenUSave"
 
pour "NewDotNet" essaye cette methode:
 
http://www.commentcamarche.net/for [...] -newdotnet
 
sinon demarre en mode sans echec (f8 a l'ecran noir) et supprime le dossier qui contient le dll (dans programme files)
 
bonne chance


Message édité par mime159 le 31-01-2005 à 16:51:04

---------------
On the road again !!!
n°1908932
bibi218
Posté le 31-01-2005 à 17:52:48  profilanswer
 

J'ai déjà supprimé le dll il y a bien longtemps, donc en théorie je ne risque plus grand chose. En revanche, quand je supprime la clé du registre, il y a qque chose qui me la remet systématiquement, même quand je suis déconnecté.
Un truc bizarre, quand je désactive AdWatch, ça ne le fait pas ... dès que je le remets, mon registre est modifié ...
iatta :jap: les antispy seraient-ils de mèche ??? mdr


Message édité par bibi218 le 31-01-2005 à 17:53:32
n°1909052
Jean Trot
Posté le 31-01-2005 à 19:21:01  profilanswer
 

Passes par hiJackthis...

n°1909226
bibi218
Posté le 31-01-2005 à 21:00:03  profilanswer
 

Voilà ce que me donne Hijackthis
Quand j'enlève les lignes correspondantes, elles sont aussitôt rajoutées (dixit StartupMonitor ...)
Je sais que ça craint plus des masses, vu que j'ai enlevé le dll, mais ça m'intrigue quand même ce truc là :s
Je vois pas de process particulièrement suspects en plus  :pt1cable:  
 

Citation :


Logfile of HijackThis v1.99.0
Scan saved at 20:54:25, on 31/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\MATLAB701\webserver\bin\win32\matlabserver.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\StartupMonitor.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Program Files\Microsoft Encarta\Collection Encarta 2005\EDICT.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Guillaume VIRY\Bureau\hijackthis_199\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn. [...] nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2176763671
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6C828F3-4FB7-4397-8CBF-47838C19C90D}: NameServer = 80.118.196.42 80.118.192.112
O23 - Service: Acronis Scheduler2 Service - Unknown - (no file)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: MATLAB Server - Unknown - C:\MATLAB701\webserver\bin\win32\matlabserver.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


Message édité par bibi218 le 31-01-2005 à 21:00:49
mood
Publicité
Posté le 31-01-2005 à 21:00:03  profilanswer
 

n°1909282
Jean Trot
Posté le 31-01-2005 à 21:33:11  profilanswer
 

Fait un "copier" de ton log et "colle" le ici:
http://www.hijackthis.de/
Tu auras des indices mais ne fixe rien sans certitude.
 
Et jeter un oeil là:
http://forum.pcastuces.com/sujet.asp?SUJET_ID=69304


Message édité par Jean Trot le 31-01-2005 à 22:06:52
n°1909345
bibi218
Posté le 31-01-2005 à 22:27:11  profilanswer
 

Rien de neuf ... j'ai bien enlevé une ou deux lignes inutiles, mais rien d'autres malheureusement. Tous les autres process sont considérés comme valides :(

n°1909348
Jean Trot
Posté le 31-01-2005 à 22:31:21  profilanswer
 

perso j'ai rien vu non plus...

n°1909371
bibi218
Posté le 31-01-2005 à 22:42:48  profilanswer
 

En tout cas, je confirme ce que j'ai dit plus haut. Je viens de refaire un test, et lorsque je désactive AdWatch, la clé ne réapparait pas dans mon registre, même après redémarrage de ce cher XP. Capte plus là ... en tout cas, c'est sympa ce Hijackthis, je connaissais pas :jap:

n°1909430
Jean Trot
Posté le 31-01-2005 à 23:30:52  profilanswer
 

Indispensable, mais à utliser avec une extrême précaution. Rechercer des tutoriels et voir le mode complet ici.
http://www.zebulon.fr/articles/HijackThis.php

n°1909649
mime159
Posté le 01-02-2005 à 10:22:53  profilanswer
 

perso moi je ne met jamais adwatch, je passe juste ad aware et spy sweeper une fois par semaine et il m'en trouve 2 ou 3


---------------
On the road again !!!

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  problème avec un spy

 

Sujets relatifs
probleme reseauProbleme avec MSN Games
Probleme de copier-collerprobleme avec redirection ovh a la veille d'ouverture du site
probleme audio sur msnGros problème de ping problème
probleme lecture audio, curieux !Problème d'accès au net avec NetGear FVS318 et D-Lilk DSL-300T...Help!
Problème d'activation de base de données chez Free [résolu]Problème réseau
Plus de sujets relatifs à : problème avec un spy


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR