/!\ Spyware : je c plu koi faire /!\

/!\ Spyware : je c plu koi faire /!\ - Sécurité - Windows & Software

Marsh Posté le 12-11-2004 à 17:13:03    

Bon ben voila je sui tou nouvo mé jai deja lu tou les topics concernant lé antispyware et pi en fait g un gro prob c ke jen ai un ke je nariv vraimen pa a eliminé vou en avé peut etre deja entendu parlé il sagi d1 spy ki ouvre dé fenetre IE avec comme adresse C:\Documents and settings\toto\Staff et ossi C:\Documents and settings\toto\x  Alor g essayé Spybot, ad-aware et spywareblaster san ocun succes bien sur g effectué lé scan en mode san echec et g effectué toute lé mise a jour donc voila si kelk1 pourai maidé se seré cool parceque c'est trè chiant.
 
Ps : Je nai pa utilisé HijackThis car ce prog est je le pense tro dificile dutilisation pour moi car je ne sui pa un expert non plu.
 
Merci davance pour lé reponse.

Reply

Marsh Posté le 12-11-2004 à 17:13:03   

Reply

Marsh Posté le 12-11-2004 à 17:13:48    

Reply

Marsh Posté le 12-11-2004 à 17:18:52    

Voici mon log HiJackThis :
 
Logfile of HijackThis v1.98.2
Scan saved at 17:18:16, on 12/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\winupdte.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\temp\salm.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Bruno\Application Data\btla.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Internet\Progs\Anti-Spyware\HiJackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {67DC6323-ED67-0BB9-D503-17557CF67D4F} - C:\WINDOWS\System32\qhtix.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [cfyz] C:\WINDOWS\cfyz.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall] firewallsp2.exe
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [Ausi] C:\Documents and Settings\Bruno\Application Data\btla.exe
O4 - HKCU\..\Run: [Frhuvrd] C:\WINDOWS\System32\??chost.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 62844c01b2
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/287037 [...] 601_fr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{88EBC808-3FA6-4B78-B9CB-A4D0E1E7E4DD}: NameServer = 212.27.32.5,213.228.0.168
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AD13AF7-980D-4ECF-AC35-CFD510705434}: NameServer = 213.228.0.23 212.27.39.1
 

Reply

Marsh Posté le 12-11-2004 à 17:19:28    

Apprendre a écrire peut etre :??:

Reply

Marsh Posté le 12-11-2004 à 18:12:25    


Ha oui,en effet.
 
Commence par ceci :
 
Panneau de configuration->ajout/suppression de programmes
 
Désinstalle (si présents) : Web_Rebates, Windows AdTools.
 
-----
 
Puis :
Vide le dossier c:\temp
 
Vide la corbeille.
 
-------
 
Redémare, poste un nouvel HijackThis.

Reply

Marsh Posté le 12-11-2004 à 18:24:12    

Je te remercie je vais faire ca et reboot

Reply

Marsh Posté le 12-11-2004 à 19:25:22    

bonsoir
O4 - HKLM\..\RunServices: [Microsoft Firewall] firewallsp2.exe
c'est quand même incroyAble ce qu'un virus peut inventer, limite j'admirerais   :pt1cable:  
 
wouah! le log méga injecté...... bon courage Acrobaze  :)

Reply

Marsh Posté le 12-11-2004 à 23:50:07    

Voici mon log apre ce ke tu ma demandé d'effectuer :
 
Logfile of HijackThis v1.98.2
Scan saved at 23:47:33, on 12/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\winupdte.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\cfyz.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Bruno\Application Data\btla.exe
C:\WINDOWS\System32\??chost.exe
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
D:\Internet\Progs\Anti-Spyware\HiJackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {67DC6323-ED67-0BB9-D503-17557CF67D4F} - C:\WINDOWS\System32\qhtix.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [cfyz] C:\WINDOWS\cfyz.exe
O4 - HKLM\..\RunServices: [Microsoft Firewall] firewallsp2.exe
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe
O4 - HKCU\..\Run: [Ausi] C:\Documents and Settings\Bruno\Application Data\btla.exe
O4 - HKCU\..\Run: [Frhuvrd] C:\WINDOWS\System32\??chost.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Program Files\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 62844c01b2
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/287037 [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 0278557274
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{88EBC808-3FA6-4B78-B9CB-A4D0E1E7E4DD}: NameServer = 212.27.32.5,213.228.0.168
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AD13AF7-980D-4ECF-AC35-CFD510705434}: NameServer = 213.228.0.23 212.27.39.1
 

Reply

Marsh Posté le 12-11-2004 à 23:53:57    

Reply

Marsh Posté le 12-11-2004 à 23:54:14    

ce qui me parait bizarre c'est ke le web_rabates nexiste plus, je l'ai completemen effacer et il n'apparait pas dans le fichier sité.Enfin jesper que quelq'un poura maider

Reply

Marsh Posté le 12-11-2004 à 23:54:14   

Reply

Marsh Posté le 13-11-2004 à 00:25:15    

Merci a toi banditflo c bon tou ce qui ma été demander d'effacé a été effacé c'est propre mais mé problemes continuen des pages IE qui s'ouvre toute seule (du nom de staff, x , page) tout en ouvran un fichié de commande DOS je sais que cela est deja arivé a quelqu'un dotre sur le forum mai en tou cas ocun anti spy ne ma aidé et je sui dans la merde jusqu'au cou.J' ai beau avoir rebooté, vidé lé fiché tem faire des analyse en sans echec : rien...
 
PS : les clés web_rabates son effacé tou comme lé winupdt et autres firewallsp2 c'est propre koi :(

Reply

Marsh Posté le 13-11-2004 à 00:31:32    

tu pourais faire un effort d'ecriture stp .. c'est pas un portable ici ( ca a dejà ete dis en plus )
 
merci d'avance
 
@+

Reply

Marsh Posté le 13-11-2004 à 01:04:57    

j'ai un début de réponse à tes problémes:
http://www.montessorienfrance.com/assets/images/auto_generated_images/a_TDlettreR.jpg
tout est expliqué là: http://www.montessorienfrance.com/html/appre_ec.htm

Reply

Marsh Posté le 13-11-2004 à 01:13:38    

[:2501]

Reply

Marsh Posté le 13-11-2004 à 01:15:20    

lol

Reply

Marsh Posté le 13-11-2004 à 12:58:10    

O2 - BHO: (no name) - {67DC6323-ED67-0BB9-D503-17557CF67D4F} - C:\WINDOWS\System32\qhtix.dll (file missing)  
 
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe  
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe  
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe  
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"  
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe  
O4 - HKLM\..\Run: [cfyz] C:\WINDOWS\cfyz.exe  
O4 - HKLM\..\RunServices: [Microsoft Firewall] firewallsp2.exe  
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe  
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe  
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdte.exe  
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdte.exe  
O4 - HKCU\..\Run: [Ausi] C:\Documents and Settings\Bruno\Application Data\btla.exe  
O4 - HKCU\..\Run: [Frhuvrd] C:\WINDOWS\System32\??chost.exe  
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] c9537d067d
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/287037 [...] p/RdxIE601
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\System32\winupdte.exe
C:\WINDOWS\cfyz.exe
C:\Documents and Settings\Bruno\Application Data\btla.exe C:\WINDOWS\System32\??chost.exe
 
Vide la corbeille. Redémarre.
Poste un nouvel HijackThs.
 

Reply

Marsh Posté le 24-11-2004 à 15:42:51    

Logfile of HijackThis v1.98.2
Scan saved at 15:41:40, on 24/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
VOILA ou j'en suis mais je ne cromprend rien
au secours
 
merci
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\TBC.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\lssrv.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\duriez jean marc\Local Settings\Temporary Internet Files\Content.IE5\43836H0X\hijackthis_198[1]\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll (file missing)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [VOR] C:\Program Files\Sony\OnlineRegistration\VOR.exe /SCHEDULER
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Registry Checkup System32cd Monitor] Winregs32cdn.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe
O4 - HKLM\..\RunServices: [Microsoft media] winmplayers.exe
O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 0940378be6
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templa [...] Config.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1046829640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E24FCBB-B235-4FD4-A6B7-6BD4DDA13B66}: NameServer = 217.19.192.132 217.19.192.131
 

Reply

Marsh Posté le 24-11-2004 à 15:45:44    

avec l'affichage de sexplorer.it a chaque connexion sur mon serveur et au bout d'une heure la disparition de toutes les images sur les sites et ensuite plus d'accés a internet explorer tout en restant connecté

Reply

Marsh Posté le 24-11-2004 à 15:55:32    


ControlAlt Suppr
Termine le processus : lssrv.exe
 
------
 
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll (file missing)  
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)  
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)  
 
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe  
O4 - HKLM\..\Run: [Microsoft Services] lssrv.exe  
O4 - HKLM\..\RunServices: [Registry Checkup System32cd Monitor] Winregs32cdn.exe  
O4 - HKLM\..\RunServices: [Microsoft Services] lssrv.exe  
O4 - HKLM\..\RunServices: [Microsoft media] winmplayers.exe  
O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe  
 
O15 - Trusted Zone: *.sony-europe.com  
O15 - Trusted Zone: *.sonystyle-europe.com  
O15 - Trusted Zone: *.vaio-link.com

Ne laisse aucun site en zonre de confiance...
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?b [...] 5853369f7220940378be6  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\System32\lssrv.exe
C:\Program Files\Windows AdControl<-dossier
 
Vois si ces fichiers sont toujours présents:
Winregs32cdn.exe  
winmplayers.exe  
WSconf.exe  
Si oui, supprime-les.
 
Vide la corbeille.
 
---------
 
Redémarre en mode normal, poste un nouveau log et dis où en est le pb.

Reply

Marsh Posté le 24-11-2004 à 16:21:38    

Logfile of HijackThis v1.98.2
Scan saved at 16:19:05, on 24/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\TBC.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\duriez jean marc\Bureau\hijackthis_198\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [VOR] C:\Program Files\Sony\OnlineRegistration\VOR.exe /SCHEDULER
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templa [...] Config.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1046829640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E24FCBB-B235-4FD4-A6B7-6BD4DDA13B66}: NameServer = 217.19.192.131 217.19.192.132
 
voila ou j'en suis je ne trouve pas lssrv.exe
au démarrage toujours sexplorer.it
 
merci

Reply

Marsh Posté le 24-11-2004 à 16:33:15    

Télécharge "PocketKillBox" sur :  
http://download.broadbandmedic.com/  
 
Pose-le sur ton bureau. Lance-le.  
Dans "Paste full path of file.." ->copie/colle: C:\WINDOWS\System32\lssrv.exe  
 
Tu peux le faire avec cette fenêtre ouverte, ce sera plus pratique pour le copier/coller.
 
Clique "Delete File". (La croix blanche)
 
Redémarrer.

Reply

Marsh Posté le 24-11-2004 à 17:09:40    

Logfile of HijackThis v1.98.2
Scan saved at 17:08:34, on 24/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\TBC.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\duriez jean marc\Bureau\hijackthis_198\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [VOR] C:\Program Files\Sony\OnlineRegistration\VOR.exe /SCHEDULER
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templa [...] Config.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1046829640
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E24FCBB-B235-4FD4-A6B7-6BD4DDA13B66}: NameServer = 217.19.192.131 217.19.192.132
 

Reply

Marsh Posté le 24-11-2004 à 17:10:11    

a priori il reste O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe

Reply

Marsh Posté le 24-11-2004 à 17:26:10    

a priori tout va bien on vera si dans une heure je ne me déconnecte pas
 
merci acrobaze

Reply

Marsh Posté le 24-11-2004 à 18:07:17    


Oki. Va à: C:\TBC.exe
 
Sélectionne-le
Fais un clic droit -> propriétés -> "version", "Entreprise"..
 
Quels sont les renseignements donnés?
 
------
 
Ca ressemble à ça :  
Titlebar Clock - Puts a clock, Calendar & CPU info on RHS. http://www.wfcravener.com/TBC.html
  ???

Reply

Marsh Posté le 24-11-2004 à 18:52:20    

de plus ça sert a rien d'enlever les spywares et autre merde si on continue d'utiliser iexplorer..... on se re infecte dans les 24h :(
 
depuis mon 1er ad- aware, j'ai installe firefox et depuis a chaque scan j'ai rien !!!!! plus un seul spyware

Reply

Marsh Posté le 26-11-2004 à 18:03:32    

hunter_killer a écrit :

de plus ça sert a rien d'enlever les spywares et autre merde si on continue d'utiliser iexplorer..... on se re infecte dans les 24h :(
 
depuis mon 1er ad- aware, j'ai installe firefox et depuis a chaque scan j'ai rien !!!!! plus un seul spyware


J'ai installé Adaware pro et plus rien: ce qui est bien c'est que tu peux voir ce qu'il bloque . Je pense pas que ça dépende du navigateur mais des sites fréquentés. Par exemple HFR, aucun spyware; Forum-Auto un Spyware à chaque changement de page (certains sont programmés pour rester actifs jusqu'en 2019!!).

Reply

Marsh Posté le 27-11-2004 à 22:27:30    

[citation=1798183,0,1][nom]Athlon_killer a écrit[/nom]Bon ben voila je sui tou nouvo mé jai deja lu tou les topics concernant lé antispyware et pi en fait g un gro prob c ke jen ai un ke je nariv vraimen pa a eliminé vou en avé peut etre deja entendu parlé il sagi d1 spy ki ouvre dé fenetre IE avec comme adresse C:\Documents and settings\toto\Staff et ossi C:\Documents and settings\toto\x  Alor g essayé Spybot, ad-aware et spywareblaster san ocun succes bien sur g effectué lé scan en mode san echec et g effectué toute lé mise a jour donc voila si kelk1 pourai maidé se seré cool parceque c'est trè chiant.
 
Ps : Je nai pa utilisé HijackThis car ce prog est je le pense tro dificile dutilisation pour moi car je ne sui pa un expert non plu.
 
Merci davance pour lé repo
si tu parlais francais ce srai plus facile pour un coup de main

Reply

Marsh Posté le 27-11-2004 à 22:53:40    

Dock a écrit :

J'ai installé Adaware pro et plus rien: ce qui est bien c'est que tu peux voir ce qu'il bloque . Je pense pas que ça dépende du navigateur mais des sites fréquentés. Par exemple HFR, aucun spyware; Forum-Auto un Spyware à chaque changement de page (certains sont programmés pour rester actifs jusqu'en 2019!!).


 
la je suis d'accord !! mais bon on ira toujours voir sur des sites pas gentils....
 
de plus si on a un spyware/malware qui n'a pas ete encore repertorie, fo attendre une maj.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed