Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
4365 connectés 

  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Spyware je pense, mais je ne m'en sors pas...

 
 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Page Précédente
Bas de page 
Auteur Sujet :

Spyware je pense, mais je ne m'en sors pas...

n°1658299
Beral2
Posté le 27-07-2004 à 20:02:32  profilanswer
 

Bonjour à tous,
 
des connections se font automatiquement à partir d'internet exploreur. La fenêtre n'apparaît pas mais dans le task manager, internet explorer est bien en train de tourner... et j'ai bien peur que cela soit vers des numéros surtaxés...
 
AdAware ne me trouve rien ni Pest Patrol.
 
De plus et je pense que cela est lié, le player de windows se lance automatiquement à chaque démarrage de la bécane et demande un accès internet (que je peux bloquer celui-là avec Zone alarm).
 
Pourriez m'aider s'il vous plait ? Cela vous est-il déjà arrivé ... ?
 
Merci d'avance.

mood
Publicité
Posté le 27-07-2004 à 20:02:32  profilanswer
 

n°1658304
ndi76
Posté le 27-07-2004 à 20:04:37  profilanswer
 

Passe un coup d'Hijack This, puis click sur save log et copie colle le résultat ici ;)

n°1658322
Beral2
Posté le 27-07-2004 à 20:15:24  profilanswer
 

Thanks :
 
Logfile of HijackThis v1.97.7
Scan saved at 20:14:55, on 27/07/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\Utile\Internet\PestPatrol\PPControl.exe
E:\Utile\Internet\PestPatrol\PPMemCheck.exe
E:\UTILE\INTERNET\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Utile\Internet\ZoneAlarm\zlclient.exe
C:\windows\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.search-1.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.search-1.net/search.html
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.fr" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Utile\Système\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\UTILE\INTERNET\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\UTILE\INTERNET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Utile\Internet\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
O4 - HKLM\..\Run: [CookiePatrol] E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O13 - DefaultPrefix: http://195.225.176.5/pre.pl?
O13 - WWW Prefix: http://195.225.176.5/pre.pl?
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://hc.countere.com/masta.chm::/on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp::/win.exe
O16 - DPF: {11010101-1001-1111-1000-115676576811} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/tm11111/var.chm::/var.exe
O16 - DPF: {11010101-1001-1111-1000-115676576822} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/nm22222/par1.chm::/par1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.184.22/test.chm::/Eve.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sol3.chm::/xxx.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/ve [...] Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} - http://ccon.madonion.com/global/msc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22

n°1658325
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:16:39  profilanswer
 

Lance regedit, va à la clé "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" et envoie la liste des programmes dont tu n'es pas sur (nb : blaster y écrivais une clé nommée windowsupdate => tous ceux dont tu n'es pas absolument certain !!)
 
Waiting for answer

n°1658331
ndi76
Posté le 27-07-2004 à 20:21:24  profilanswer
 

Ouais enfin son log hijack this est curieux... ya pas mal de bordel quand même.
 
J'ai l'impression que ya des clés R1 et R0 suspectes, et aussi des 013 et 016.
Ca aussi c'est suspect ça ressemble pas au Windows Update : O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE  

n°1658332
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:23:22  profilanswer
 

je suis là j'étudie, d'accord avec ndi76 ça pue

n°1658334
ndi76
Posté le 27-07-2004 à 20:24:03  profilanswer
 

je vais aller vérifier sur le tomic officiel

n°1658335
Beral2
Posté le 27-07-2004 à 20:24:26  profilanswer
 

Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Class Name:        <NO CLASS>
Last Write Time:   27/07/2004 - 18:30
Value 0
  Name:            NvCplDaemon
  Type:            REG_SZ
  Data:            RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
 
Value 1
  Name:            nwiz
  Type:            REG_SZ
  Data:            nwiz.exe /install
 
Value 2
  Name:            PestPatrol Control Center
  Type:            REG_SZ
  Data:            E:\Utile\Internet\PestPatrol\PPControl.exe
 
Value 3
  Name:            PPMemCheck
  Type:            REG_SZ
  Data:            E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
 
Value 4
  Name:            CookiePatrol
  Type:            REG_SZ
  Data:            E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
 
Value 5
  Name:            NvMediaCenter
  Type:            REG_SZ
  Data:            RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
 
Value 6
  Name:            WINDVDPatch
  Type:            REG_SZ
  Data:            CTHELPER.EXE
 
Value 7
  Name:            UpdReg
  Type:            REG_SZ
  Data:            C:\WINDOWS\UpdReg.EXE
 
Value 8
  Name:            Jet Detection
  Type:            REG_SZ
  Data:            E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
 
Value 9
  Name:            Zone Labs Client
  Type:            REG_SZ
  Data:            "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
 
Value 10
  Name:            QuickTime Task
  Type:            REG_SZ
  Data:            "C:\WINDOWS\System32\qttask.exe" -atboottime
 
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
Value 0
  Name:            Installed
  Type:            REG_SZ
  Data:            1
 
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
Value 0
  Name:            Installed
  Type:            REG_SZ
  Data:            1
 
Value 1
  Name:            NoChange
  Type:            REG_SZ
  Data:            1
 
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
Value 0
  Name:            Installed
  Type:            REG_SZ
  Data:            1
 
 
Bon, je les ai tous mis.
 
Je pense qu'il y a du Zonealarm, du NVidia, du PestPatrol (3), un soundbalster (?) et le quicktime à la noix.
 
sic.

n°1658337
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:25:53  profilanswer
 

UpdReg.EXE = mise à jour creative labs => OK

n°1658342
ndi76
Posté le 27-07-2004 à 20:30:47  profilanswer
 

ok pour creative  
Sinon ya pas tout dans le topic officiel mais je persiste sur les clès.
 
Il faudrait avoir d'autres avis ce serait mieux.

mood
Publicité
Posté le 27-07-2004 à 20:30:47  profilanswer
 

n°1658351
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:38:50  profilanswer
 

bon ndi76 à raison sur la clé 16 elle pue grave => vide ton répertoire "c:\recycler" genre console DOS => "cd c:\recycler" => "attrib -H *", puis "attrib -S *" et "attrib -R *", et enfin "del /S *"
Je continue à fouiller

n°1658354
minipouss
un mini mini
Posté le 27-07-2004 à 20:41:24  profilanswer
 

le rundll32.exe dans le répertoire windows n'est pas normal car il doit être dans le sous répertoire system32 et on le retrouve dans la clés
 
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
 
par contre ça c'est bon, c'est pour ta webcam je pense
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu

n°1658355
Beral2
Posté le 27-07-2004 à 20:41:54  profilanswer
 

J'ai pas de répertoire c:\recycler...
 
Edit : et j'ai pas de webcam...
 
ReEdit : ok recycleD ! ;)


Message édité par Beral2 le 27-07-2004 à 20:43:58
n°1658357
ndi76
Posté le 27-07-2004 à 20:44:06  profilanswer
 

lol c'est vraiment le foutoir ta machine  :whistle:
 
EDIT : je pense que minipouss a raison sur le rundll32.exe


Message édité par ndi76 le 27-07-2004 à 20:45:38
n°1658358
minipouss
un mini mini
Posté le 27-07-2004 à 20:46:10  profilanswer
 

ah! là http://www.sysinfo.org/startuplist.php?filter=sti_ci ils ont l'air de dire que c'est installé avec une webcam  
 
mais dans la clé y a pas c:\windows\system 32 car c'est vrai que le rundll32 doit être dans le même répertoire que la dll normalement

n°1658360
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:46:29  profilanswer
 

suite : tu t'es probablement fais piraté ta machine : le préfixe "http://195.225.176.5/" correspond au domaine "netcathost.com" qui est ukrainien => à moins que tu sois russophone (c'est mon cas) je pense que ça pue !!!
 
Lance ton regedit, va à la clé HKCU\Software\Microsoft\Internet Explorer\Main et remplace toutes les occurences de "http://195.225.176.5/" et de "http://www.search-1.net/search.html" (site qui n'existe plus d'ailleurs) par ce que tu veux (http://www.google.com par ex)

n°1658361
Beral2
Posté le 27-07-2004 à 20:46:47  profilanswer
 

C:\>cd recycled
 
C:\RECYCLED>attrib -h *
Not resetting system file - C:\RECYCLED\desktop.ini
 
C:\RECYCLED>attrib -s *
Not resetting hidden file - C:\RECYCLED\desktop.ini
 
C:\RECYCLED>attrib -r *
Not resetting hidden file - C:\RECYCLED\desktop.ini
 
C:\RECYCLED>del *.* /s
C:\RECYCLED\*.*, Are you sure (Y/N)? y
Deleted file - C:\RECYCLED\INFO2
Deleted file - C:\RECYCLED\Q330995.exe
Deleted file - C:\RECYCLED\1.exe
 
C:\RECYCLED>

n°1658362
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:47:29  profilanswer
 

Beral2 a écrit :

J'ai pas de répertoire c:\recycler...
 
Edit : et j'ai pas de webcam...
 
ReEdit : ok recycleD ! ;)


 
Pardon, j'ai deux mains gauche qd je frappe vite

n°1658367
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:49:44  profilanswer
 

le rundll32 pue d'autant plus qu'il est lancé directement par IE comme si il était une page web : si il existe bien dans C:\windows supprime le (pas celui du System32 !!!!)

n°1658375
Beral2
Posté le 27-07-2004 à 20:54:55  profilanswer
 

Bon j'ai viré tous les http://195.225.176.5/ dans la clef mais je n'ai pas trouvé de http://www.search-1.net/search.html à cet endroit.
 
Et:
 
C:\WINDOWS>del rundll32.exe
C:\WINDOWS\rundll32.exe
Access is denied.

n°1658377
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 20:56:14  profilanswer
 

verifie dans le gestionnaire des taches que le "Rundll32" n'est pas lancé. si c'est le cas, tu kill le process et tu réessaye de le supprimer

n°1658382
Beral2
Posté le 27-07-2004 à 20:58:15  profilanswer
 

Ca y est, supprimé.... et des http://www.search-1.net/search.html j'en ai trouvé (et supprimé) ailleurs.
 
Merci les gars au fait...
 
Edit : tout ceci effectué, j'rebooterais bien un coup, non ?


Message édité par Beral2 le 27-07-2004 à 21:00:23
n°1658385
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:01:23  profilanswer
 

de rien, on est là pour ça  :hello:  :sol:

n°1658386
minipouss
un mini mini
Posté le 27-07-2004 à 21:01:51  profilanswer
 

ça roule

n°1658389
ndi76
Posté le 27-07-2004 à 21:02:54  profilanswer
 

no prob et un conseil utilise plutôt Mozilla Firefox que IE.
 
Oui reboot de préférence :hello:

n°1658390
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:03:08  profilanswer
 

oui, bonne idée le reboot. profite en pour vérifier que les saloperies ne sont pas revenues : peu probable, elles ont la tronche de cochonneries installées par une page web douteuses (Ah IE de cro$oft...)

n°1658392
Beral2
Posté le 27-07-2004 à 21:03:27  profilanswer
 

Bon je reboot : si je ne reviens pas de suite vous dire un mot c'est que ma bécane est morte ;)
 
A tout' j'espère.

n°1658393
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:04:34  profilanswer
 

d'accord avec ndi76 pour firefox (c'est ce que j'utilise)

n°1658406
Beral2
Posté le 27-07-2004 à 21:12:36  profilanswer
 

Relut tout le monde.
 
Bon tout à l'air d'aller bien pour l'instant sauf ce p..... de windowsmediaplayer qui continue de se lancer au démarrage.
 
Merci bcp à tous, comptez sur moi pour revenir vous embêter si le problème persiste ;) !
 
A+.
 
 
 
Edit : le nouveau.
 
Logfile of HijackThis v1.97.7
Scan saved at 21:14:28, on 27/07/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\Utile\Internet\PestPatrol\PPControl.exe
E:\Utile\Internet\PestPatrol\PPMemCheck.exe
E:\Utile\Internet\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Utile\Internet\ZoneAlarm\zlclient.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.fr" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Utile\Système\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\UTILE\INTERNET\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\UTILE\INTERNET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Utile\Internet\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
O4 - HKLM\..\Run: [CookiePatrol] E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O13 - DefaultPrefix:  
O13 - WWW Prefix:  
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://hc.countere.com/masta.chm::/on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp::/win.exe
O16 - DPF: {11010101-1001-1111-1000-115676576811} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/tm11111/var.chm::/var.exe
O16 - DPF: {11010101-1001-1111-1000-115676576822} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/nm22222/par1.chm::/par1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.184.22/test.chm::/Eve.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sol3.chm::/xxx.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/ve [...] Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} - http://ccon.madonion.com/global/msc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22


Message édité par Beral2 le 27-07-2004 à 21:15:14
n°1658419
minipouss
un mini mini
Posté le 27-07-2004 à 21:24:16  profilanswer
 

tu as encore des merdes avec tes clés 016 :/

n°1658424
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:30:26  profilanswer
 

Oups : tu utilises kel OS ?


---------------
Y'a pas de problème, y'a que des solutions, même si elles sont tordues ;)
n°1658425
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:30:46  profilanswer
 

Q330995.exe est un trojan


---------------
Y'a pas de problème, y'a que des solutions, même si elles sont tordues ;)
n°1658427
Beral2
Posté le 27-07-2004 à 21:32:02  profilanswer
 

J'utilise XP Prof.
 
Pour les merdes des clefs 16, je suis tout ouïe...
 
Y'a toujours les 2 fichiers dans c:\recycled que j'avais pourtant virés tout à l'heure.

n°1658430
minipouss
un mini mini
Posté le 27-07-2004 à 21:34:29  profilanswer
 

et le startpage est toujours là aussi :/
 
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
 
mais c'est juste la clé run pas le programme ;)


Message édité par minipouss le 27-07-2004 à 21:34:50
n°1658432
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:34:54  profilanswer
 

bon, t'es sous XP => l'option de restauration est elle activée ? Si oui, tu la vire, les fichiers sont réinstaller à cause de ça
J'attends ta confirmation pour la suite


---------------
Y'a pas de problème, y'a que des solutions, même si elles sont tordues ;)
n°1658434
Beral2
Posté le 27-07-2004 à 21:36:55  profilanswer
 

Non, l'option de restauration est désactivée.
Je lance un RegSeeker pour nettoyer la base...

n°1658436
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:38:00  profilanswer
 

cherche aussi les fichiers Q330995.exe et 1.exe dans tout ton poste de travail
PS : supprime la xxxtoolbar, ce genre de truc ne peut t'amener que des merdes


---------------
Y'a pas de problème, y'a que des solutions, même si elles sont tordues ;)
n°1658446
Beral2
Posté le 27-07-2004 à 21:47:12  profilanswer
 

Le dernier après nettoyage :
 
Logfile of HijackThis v1.97.7
Scan saved at 21:45:34, on 27/07/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\Utile\Internet\PestPatrol\PPControl.exe
E:\Utile\Internet\PestPatrol\PPMemCheck.exe
E:\Utile\Internet\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Utile\Internet\ZoneAlarm\zlclient.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.fr" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Utile\Système\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\UTILE\INTERNET\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\UTILE\INTERNET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Utile\Internet\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
O4 - HKLM\..\Run: [CookiePatrol] E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O13 - DefaultPrefix:  
O13 - WWW Prefix:  
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://hc.countere.com/masta.chm::/on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp::/win.exe
O16 - DPF: {11010101-1001-1111-1000-115676576811} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/tm11111/var.chm::/var.exe
O16 - DPF: {11010101-1001-1111-1000-115676576822} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/nm22222/par1.chm::/par1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} -  
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.184.22/test.chm::/Eve.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sol3.chm::/xxx.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} -  
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/ve [...] Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} - http://ccon.madonion.com/global/msc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
 
Je n'ai trouvé aucun Q330995.exe ou 1.exe
Pour la xxxtoolbar, je ne sais pas ce que c'est, je regarde...

n°1658448
gallycybor​g
Gunnm & SMP addict
Posté le 27-07-2004 à 21:47:34  profilanswer
 

allo ?


---------------
Y'a pas de problème, y'a que des solutions, même si elles sont tordues ;)
n°1658451
Beral2
Posté le 27-07-2004 à 21:49:47  profilanswer
 

oui ?

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante
Page Précédente
Haut de page 

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Win NT/2K/XP

  Spyware je pense, mais je ne m'en sors pas...

 

Sujets relatifs
probleme de spyware... oui mais...spyware searchweb2.com
Spyware pop up qui ne part passpyware de searchweb2.com embêtant
erreurS inconnues au bataillon, pour gosu, du moins je pensecomment supprimer le spyware "foxwar"
spyware recurantURGENT : problème spyware smart-security
mon pc est remplie de trojan de keylogger et spywareSPYWARE xpzog.dll ca vous dit qqchose?!!
Plus de sujets relatifs à : Spyware je pense, mais je ne m'en sors pas...

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.067 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)