Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
3683 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Virus ? spyware? je ne sais plus...

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Virus ? spyware? je ne sais plus...

n°1785612
cadmi
Powered by Carambar
Posté le 02-11-2004 à 20:52:19  profilanswer
 

Bonsoir,
 
J'ai du attrapé un truc, mais je ne sais pas trop quoi. Après avoir fait un bon coup d'adware, j'ai des fenetres qui persistent (ouverture aléatoire pour meetic, ou pour securité, ou encore http://e.rn11.com/adbuys/a405-admed-ron...
RAs le bol.
 
De plus ma connection est supppper ralentie (de 700 ko/s je suis passé à 200ko/s)...
 
Un coup de norton n'a rien trouvé.... je fais secuser mais bon...
 
adaware me dit qu'il ne peut pas effacer agctres.dll...
Et j'ai mon rundll32 qui me prend 99% des ressources et bloque mon pc un rédémarrage sur deux...
 
Log Hijackthis :
 

Citation :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\nbpro\nbpro.exe
C:\Program Files\hijack\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.60millions-mag.com/page [...] anonyme-1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: CnfSearch Class - {D7CD08F0-D691-11D8-9669-0800200C9A66} - c:\windows\system32\ConfuSearch.dll
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [divwin] divwin.exe
O4 - HKLM\..\Run: [windiv] windiv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Create A Monster] "C:\Program Files\Kudd.com\createAMonster.exe" -run
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0203fe [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4131513812
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab


Message édité par cadmi le 02-11-2004 à 21:00:05
mood
Publicité
Posté le 02-11-2004 à 20:52:19  profilanswer
 

n°1786356
BrotherS
Posté le 03-11-2004 à 13:33:11  profilanswer
 

Tu as essayé un autre antivirus en ligne ?


---------------
Hackers News & Security Crawler
n°1786398
sanpellegr​ino
Posté le 03-11-2004 à 13:55:55  profilanswer
 

Passe Spybot, Adaware, CWShredder. Rundll32.exe est un virus il me semble, vire-le via msconfig et efface la DLL correspondante dans C:\Windows.
 
Tout est expliqué en détails dans ma signature ;)


Message édité par sanpellegrino le 03-11-2004 à 14:07:34

---------------
Got spyware ? | HFR HijackThis Tutorial
n°1786426
minipouss
un mini mini
Posté le 03-11-2004 à 14:07:41  profilanswer
 

t'es pas enforme toi aujourd'hui Sanpellegrino :)
 
rundll32 un virus? c'ets un composant essentiel de windows qui permet de lancer certains driver (comme ma carte vidéo par exemple) ;)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1786445
minipouss
un mini mini
Posté le 03-11-2004 à 14:17:47  profilanswer
 

cadmi a écrit :


 
C:\Program Files\nbpro\nbpro.exe
 
ça je ne connais pas et toi?
 
R3 - URLSearchHook: CnfSearch Class - {D7CD08F0-D691-11D8-9669-0800200C9A66} - c:\windows\system32\ConfuSearch.dll
 
à mon avis une saloperie oui cf http://www.greatis.com/appdata/dc.htm#confusearch.dll
 
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
 
belle saloperie qui redirige les recherches sur le site 69.20.16.183 sauf si tu connais ce site bien sûr et que c'est toi-même qui l'a mis
 
O4 - HKLM\..\Run: [divwin] divwin.exe
O4 - HKLM\..\Run: [windiv] windiv.exe
 
très louches ces deux là même si ils ne sont pas présent dans les porcessus
 
O4 - HKLM\..\Run: [Create A Monster] "C:\Program Files\Kudd.com\createAMonster.exe" -run
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"

ces 2 là je ne connais pas du tout mais les processus ne tournent pas donc résidus de précédentes installation ou de virus/spyware?



 
voila ce qui me semble louche.
 
donc ferme IE, et sous hijack This tu coches ces cases et tu fais "fix"
 
reboot en mode sans échec et cherches divwin.exe, windiv.exe, C:\Program Files\Kudd.com\createAMonster.exe et C:\Program Files\SED\SED.exe pour les supprimer
 
reposte ensuite un log hijack This


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1786487
BanditFlo
Posté le 03-11-2004 à 14:41:49  profilanswer
 

minipouss a écrit :

C:\Program Files\nbpro\nbpro.exe
 
ça je ne connais pas et toi?  


C'est NewsBin Pro :)

n°1786493
minipouss
un mini mini
Posté le 03-11-2004 à 14:44:00  profilanswer
 

ok :)
 
et ça sert à quoi? :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1786499
BanditFlo
Posté le 03-11-2004 à 14:46:52  profilanswer
 

minipouss a écrit :

ok :)
et ça sert à quoi? :D


Citation :

Newsbin Pro permet de rechercher des images, des programmes ou des vidéos dans les groupes de discussion.
Il faut tout d'abord configurer le logiciel pour qu'il se connecte sur le serveur de news de votre fournisseur d'accès (en général news.nom_du_provider.fr).
 
Newsbin propose ensuite une liste de groupes de discussion suceptible de fournir le type de fichier que vous recherchez (images, programmes...).Il faut faire une sélection dans cette liste avant de lancer le téléchargement des fichiers.
Newsbin fonctionne en multi-thread (il établit plusieurs connections au serveur de news pour accélérer le téléchargement).
Un visualiseur intégré permet de court-circuiter un téléchargement en cours si vous trouver que l'image ne vous intéressera pas.

n°1786502
minipouss
un mini mini
Posté le 03-11-2004 à 14:48:04  profilanswer
 

merci :jap:


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1786506
BanditFlo
Posté le 03-11-2004 à 14:49:08  profilanswer
 


En resumé c'est pour télécharger sur des newsgroups :)

mood
Publicité
Posté le 03-11-2004 à 14:49:08  profilanswer
 

n°1786513
minipouss
un mini mini
Posté le 03-11-2004 à 14:51:05  profilanswer
 

j'avais pigé, il me reste un petit bout de cerveau pour le moment [:ddr555]


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1786519
BanditFlo
Posté le 03-11-2004 à 14:54:08  profilanswer
 

:D

n°1787433
cadmi
Powered by Carambar
Posté le 04-11-2004 à 01:33:01  profilanswer
 

Voila ou j'en suis :
 

Citation :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\windiv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\hijack\HijackThis19802.exe
 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [divwin] divwin.exe
O4 - HKLM\..\Run: [windiv] windiv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0203fe [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4131513812
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab


 
J'ai viré un truc VX2.dll (spyware certifié) mais j'ai tjrs des fenetres qui s'ouvrent (grrrrrrrrrrrr) et qui bloque mon rundll32 au démarrage.... Et ma connexion ralenti.... EN tout cas pas de virus.

n°1787520
sanpellegr​ino
Posté le 04-11-2004 à 09:15:08  profilanswer
 

Rien de louche dans ce log en tout cas, à part windiv.exe qui se lance très souvent... Tu emploies un pack de codecs ?  
 
Scanne avec Spybot & Adaware mis à jour, en mode sans échec, puis dis-nous ce qui se passe...


---------------
Got spyware ? | HFR HijackThis Tutorial
n°1788515
cadmi
Powered by Carambar
Posté le 04-11-2004 à 19:42:10  profilanswer
 

Je fais ça ce soir, et je reposte.
Apparement j'avais le malware VX2 qui a du mal à partir.

n°1788522
minipouss
un mini mini
Posté le 04-11-2004 à 19:46:35  profilanswer
 

Spybot mis à jour le détecte


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
n°1788599
acrobaze
Posté le 04-11-2004 à 20:48:58  profilanswer
 

Pourquoi ils sont toujours là, ceux-là:
 
O4 - HKLM\..\Run: [divwin] divwin.exe  
O4 - HKLM\..\Run: [windiv] windiv.exe  


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  Virus ? spyware? je ne sais plus...

 

Sujets relatifs
VIRUS : Plus d'internet[VIRUS] Lsass.exe impossible à retirer !
Recherche un bon Anti-Virus + FireWall gratuitAnti-Virus
Virus blocage de connexionvirus + soucis scan online (SP2??)
attraper des virus en surfant (et en faisant attention)?virus non détecté
Gros probleme virusInstabilité: Faut il passer de Norton Anti Virus à autre chose ?
Plus de sujets relatifs à : Virus ? spyware? je ne sais plus...


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR