Mon pc est envahis par des programmes inconnus

Mon pc est envahis par des programmes inconnus - Sécurité - Windows & Software

Marsh Posté le 06-01-2005 à 16:32:22    

Bonjour, depuis quelques temps, je retrouve sans arrêts des programmes que je ne connais pas dans mon gestionnaire de taches (internetmgr.exe systime.exe ...) et je n'arrive pas a changer ma page d'acceuil qui change toutes seules ainsi que des barres d' outils (IE menu extension toolbar ...). Je pense que c'est dûe a des sites a éviter  :whistle:  (merci petit frère) ... après avoir fait quelques forum sans résultats j'ai fait un hijack this mais vu que je n'y connais rien...
 
Logfile of HijackThis v1.97.7
Scan saved at 16:19:56, on 06/01/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Analog Devices\SoundMAX\SMTray.exe
D:\WINDOWS\anvshell.exe
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\MSN Messenger\msnmsgr.exe
E:\Telechargement\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\snnpapi.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\snnpapi.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\snnpapi.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\snnpapi.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\snnpapi.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\snnpapi.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {41C2E671-6E4C-473D-93B5-96E21C0D3321} - D:\WINDOWS\System32\snnpapi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - D:\Program Files\IEMenuExtension\tbextn.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Smapp] D:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [FX] D:\WINDOWS\Downloaded Program Files\ieloader.exe
O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe
O4 - HKLM\..\Run: [SystemRequred] D:\WINDOWS\System32\internetmgr.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DD66104-C77D-4B2D-AC16-69FD18FA3E9B}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{95D17FC0-C12C-4291-84D7-9F46418073D9}: NameServer = 213.36.80.1 213.36.80.1
 
En éspérant que quelqu'un pourra m'aider...  :hello:  
 

Reply

Marsh Posté le 06-01-2005 à 16:32:22   

Reply

Marsh Posté le 06-01-2005 à 16:41:18    

spybot est ton ami :)
 
http://www.safer-networking.org/fr/index.html


---------------
IdPSN : Cyboulette // Battletag : Cyboulette#2250
Reply

Marsh Posté le 06-01-2005 à 16:50:49    

oui passe d'abord un coup de Spybot et d'Adaware (en mettant à jour leurs bases de données) en mode normal ou même en sans échec.
 
ensuite reposte un log Hijack mais avec la dernière version (la 1.99)  
 
tu trouveras les infos pour tout ça dans les liens de ma signature ci-dessous ;)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 06-01-2005 à 17:18:55    

Essaie aussi de mettre un firewall !
Zone Alarme, Kerio, ...


---------------
Mieux vaut la bière dans l'homme que l'homme dans la bière !
Reply

Marsh Posté le 06-01-2005 à 17:27:58    

Ephmride a écrit :

Essaie aussi de mettre un firewall !
Zone Alarme, Kerio, ...


 
il en a deja un non? regardre les processus il ya kerio. :hello:

Reply

Marsh Posté le 06-01-2005 à 19:45:13    

Donc voila, j'ai utilisé spybot, ad aware, j'ai mis kerio mais l'inconvenient c'est qu'on ne peut plus utiliser emule ça doit pouvoir se configurer mais je ne sais pas faire... sinon je pensais acheter kaspersky antivirus (au debut je comptais sur antiviruskit 12 professional mais j'ai pas de nouvelles du sav)  
Nouveau Hijackthis:
 
Logfile of HijackThis v1.97.7
Scan saved at 19:39:44, on 01/06/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
D:\Program Files\Analog Devices\SoundMAX\SMTray.exe
D:\WINDOWS\anvshell.exe
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\explorer.exe
E:\Telechargement\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - D:\Program Files\IEMenuExtension\tbextn.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - D:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Smapp] D:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [FX] D:\WINDOWS\Downloaded Program Files\ieloader.exe
O4 - HKLM\..\Run: [taskopen.exe] taskopen.exe
O4 - HKLM\..\Run: [SystemRequred] D:\WINDOWS\System32\internetmgr.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DD66104-C77D-4B2D-AC16-69FD18FA3E9B}: NameServer = 69.50.166.94,69.31.80.244
 
voila ça c'est fait... merci d'avance

Reply

Marsh Posté le 06-01-2005 à 19:50:59    

évalue ton log de hijackthis:
http://www.hijackthis.de/index.php
 
et supprime tout ce qui est indiqué.


---------------
*** liens utiles pour le dépannage *** personnalisation  de XP ***
Reply

Marsh Posté le 06-01-2005 à 20:10:27    

salut ; moi aussi je suis un novice  :p  
 
je n'est jamais eu de probleme depuis que j'ai zone alarm pro ac ad aware et avg peut de chose passe. mais j'ai pas compris à quoi sert les log de hijackthis ??  :sweat:


---------------
- exlame -
Reply

Marsh Posté le 06-01-2005 à 21:27:07    

La version 1.99 de hijackthis
http://www.merijn.org/files/hijackthis.zip

Reply

Marsh Posté le 07-01-2005 à 09:53:07    

Ca y est j'ai pris la nouvelle version de Hijack this et j'ai utilisé le log (c'est d'ailleurs super pratique merci) et je n'ai plus de problème!!! donc merci a tous. Je te rassure exlame je ne sais pas trop non plus a quoi sert hijack this (ça doit repertorié tous ce qui tourne sur ton pc bien ou mal...???!!!) mais c'est super utile grace au truc d'évaluation...Merci encore

Reply

Marsh Posté le 07-01-2005 à 09:53:07   

Reply

Marsh Posté le 07-01-2005 à 09:53:47    

j'ai utilisé le site d'évaluation du log...

Reply

Marsh Posté le 07-01-2005 à 11:10:22    

mouais, faut faire gaffe à ce qu'il dit quelques fois quand même :)
 
ilest fiable à plus de 90% à mon avis mais faut faire gaffe quand même


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 07-01-2005 à 11:47:50    

En fait je croyais ne plus avoir de problème... J'ai ces trois lignes de mon Hijackthis que je n'arrive pas a enlever... même en mode sans échec...  
 
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
 
j'ai aussi utilisé fixlsp pour les lignes "10 - [...] aklsp"
c'est quand même dingue le nombre de problème que l'on peut choper...

Reply

Marsh Posté le 07-01-2005 à 11:51:21    

dans kerio, mes intrusions de prioritées basses sont autorisées c'est normal???

Reply

Marsh Posté le 07-01-2005 à 17:18:19    

merci a tous.
heu auto msn.com .... c pas le truc d'msn plus ! ??
t'as instaler les sponsor de msn ?  :heink:  
 :hello: logiquement avec ad aware se ca te l'enlve  :sarcastic:


---------------
- exlame -
Reply

Marsh Posté le 07-01-2005 à 17:40:49    

Je crois surtout que c'est un autre problème...
et que c'est la MERDE !
 
Bon courage : http://forum.hardware.fr/forum2.ph [...] 0&subcat=0

Reply

Marsh Posté le 07-01-2005 à 18:05:51    

dans ce cas-là cette procédure marche bien VX2 removal (avec une petite variante au premier post dans la 3ème ou 4ème page) ;)


Message édité par minipouss le 07-01-2005 à 18:06:19

---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 07-01-2005 à 18:48:31    

Bah le truc c'est que je suis a peu près aussi bilingue qu'un pingouin en afrique... (cherchez pas la référence y'en a pas...) donc le coup du vx2 removal.... Et puis j'ai fait quelques autres forums pour voir un peu ce qu'on y racontait et en fait ça l'air possible de réparer mais je crois que ma patience va lacher... j'ai l'ignoble sentiment que l'idée de formater s'empare de moi... au secours... ça fait 4fois en 2mois... après j'achète un antivirus... ou bien j'arrête internet...
merci encore...
Arno... au bord de la dépression informatique...

Reply

Marsh Posté le 07-01-2005 à 19:51:42    

meuh non faut pas lâcher comme ça :o
 
je crois pas avoir le temps ce soir de te traduire le truc, mais maxi lundi je peux te faire ça si tu veux ;)
 
essaye un navigateur alternatif pour éviter un peu tout ça (et bloque l'accès à ton pc à ton petit frère :D)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed