problème avec un spy

problème avec un spy - Sécurité - Windows & Software

Marsh Posté le 31-01-2005 à 10:17:44    

Bonjour à tous
 
Voilà, depuis quelques jours, j'ai un petit problème avec un ou deux spy que j'ai récoltés sur ma machine. L'un d'eux c'est WhenUSave, qui était généreusement fourni avec un util de sous titrage, et l'autre, c'est NewDotNet (ou un nom comme ça).
Sur la machine, j'ai Spybot SD et AdAware 5 mis à jour, mais rien de détecté en particulier, c'est juste StartupMonitor qui m'a signalé ces 2 clés lorsque je faisais un nettoyage de base de registre.
Seulement voilà, j'ai beau avoir supprimé tous les fichiers de ces 2 appli (de jolis repertoires dans Program Files), ces 2 clés se réécrivent en base de registre systématiquement à chaque redémarrage, afin que 2 fichiers (squi n'existent plus) se lancent.
Comment font-elles ??? Y a-il un prog résidant en mémoire chargé de ça ??? Si quelqu'un avait le nom du process, ça m'aiderait bien.
Voici ce que me donne StartupMonitor :

Citation :


The program
New.net Startup
has registered the executable
rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NeDotNetStartup -s
to run at system startup


Mici d'avance :)

Reply

Marsh Posté le 31-01-2005 à 10:17:44   

Reply

Marsh Posté le 31-01-2005 à 12:57:13    

Adaware 5 ? passes à adware SE et effectues les mises à jour.
Pour Whenusave regarde là:
http://www.flowprotector.com/fr/sp [...] &langue=FR


Message édité par Jean Trot le 31-01-2005 à 14:12:28
Reply

Marsh Posté le 31-01-2005 à 13:22:16    

essaye " Spy Sweeper " il detecte beaucoup plus que les autre logiciel, il est tres puissant.il va vraiment analysé tous le disque dur et nettoyer TOUTES les clés et les fichiers des spy.


---------------
On the road again !!!
Reply

Marsh Posté le 31-01-2005 à 14:09:46    

Spy Sweeper -> payant aprés une période d'essaie!

Reply

Marsh Posté le 31-01-2005 à 15:53:33    

Au temps pour moi, c'était la version trial d'AdAware SE
Toujours pas de détection, et dès que je modifie ma base de registre en enlevant ces saletés, elles sont réinscrites dans la seconde qui suit :(
Ne marche pas avec spysweeper non plus d'ailleur :(

Reply

Marsh Posté le 31-01-2005 à 16:43:23    

je sais qu'il est payant, c'etait juste le temps de regler son probleme, mais bon ca ne marche pas non plus, bizzare
 
saleter de spyware, on en est polluer par tous les cotés!


---------------
On the road again !!!
Reply

Marsh Posté le 31-01-2005 à 16:45:35    

d'apres ce lien:  
 
http://www.flowprotector.com/fr/sp [...] &langue=FR
 
y a un logiciel pour ce debarasser de "WhenUSave"
 
pour "NewDotNet" essaye cette methode:
 
http://www.commentcamarche.net/for [...] -newdotnet
 
sinon demarre en mode sans echec (f8 a l'ecran noir) et supprime le dossier qui contient le dll (dans programme files)
 
bonne chance


Message édité par mime159 le 31-01-2005 à 16:51:04

---------------
On the road again !!!
Reply

Marsh Posté le 31-01-2005 à 17:52:48    

J'ai déjà supprimé le dll il y a bien longtemps, donc en théorie je ne risque plus grand chose. En revanche, quand je supprime la clé du registre, il y a qque chose qui me la remet systématiquement, même quand je suis déconnecté.
Un truc bizarre, quand je désactive AdWatch, ça ne le fait pas ... dès que je le remets, mon registre est modifié ...
iatta :jap: les antispy seraient-ils de mèche ??? mdr


Message édité par bibi218 le 31-01-2005 à 17:53:32
Reply

Marsh Posté le 31-01-2005 à 19:21:01    

Passes par hiJackthis...

Reply

Marsh Posté le 31-01-2005 à 21:00:03    

Voilà ce que me donne Hijackthis
Quand j'enlève les lignes correspondantes, elles sont aussitôt rajoutées (dixit StartupMonitor ...)
Je sais que ça craint plus des masses, vu que j'ai enlevé le dll, mais ça m'intrigue quand même ce truc là :s
Je vois pas de process particulièrement suspects en plus  :pt1cable:  
 

Citation :


Logfile of HijackThis v1.99.0
Scan saved at 20:54:25, on 31/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\MATLAB701\webserver\bin\win32\matlabserver.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\StartupMonitor.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Program Files\Microsoft Encarta\Collection Encarta 2005\EDICT.EXE
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Guillaume VIRY\Bureau\hijackthis_199\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn. [...] nPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2176763671
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6C828F3-4FB7-4397-8CBF-47838C19C90D}: NameServer = 80.118.196.42 80.118.192.112
O23 - Service: Acronis Scheduler2 Service - Unknown - (no file)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: MATLAB Server - Unknown - C:\MATLAB701\webserver\bin\win32\matlabserver.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe


Message édité par bibi218 le 31-01-2005 à 21:00:49
Reply

Marsh Posté le 31-01-2005 à 21:00:03   

Reply

Marsh Posté le 31-01-2005 à 21:33:11    

Fait un "copier" de ton log et "colle" le ici:
http://www.hijackthis.de/
Tu auras des indices mais ne fixe rien sans certitude.
 
Et jeter un oeil là:
http://forum.pcastuces.com/sujet.asp?SUJET_ID=69304


Message édité par Jean Trot le 31-01-2005 à 22:06:52
Reply

Marsh Posté le 31-01-2005 à 22:27:11    

Rien de neuf ... j'ai bien enlevé une ou deux lignes inutiles, mais rien d'autres malheureusement. Tous les autres process sont considérés comme valides :(

Reply

Marsh Posté le 31-01-2005 à 22:31:21    

perso j'ai rien vu non plus...

Reply

Marsh Posté le 31-01-2005 à 22:42:48    

En tout cas, je confirme ce que j'ai dit plus haut. Je viens de refaire un test, et lorsque je désactive AdWatch, la clé ne réapparait pas dans mon registre, même après redémarrage de ce cher XP. Capte plus là ... en tout cas, c'est sympa ce Hijackthis, je connaissais pas :jap:

Reply

Marsh Posté le 31-01-2005 à 23:30:52    

Indispensable, mais à utliser avec une extrême précaution. Rechercer des tutoriels et voir le mode complet ici.
http://www.zebulon.fr/articles/HijackThis.php

Reply

Marsh Posté le 01-02-2005 à 10:22:53    

perso moi je ne met jamais adwatch, je passe juste ad aware et spy sweeper une fois par semaine et il m'en trouve 2 ou 3


---------------
On the road again !!!
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed