Spyware tenace... Grrrrr

Marsh Posté le 31-01-2006 à 16:06:26

C'est bien la première fois que j'ai un probleme de spyware... ! Grrrrrr :pfff:

Donc sous internet explorer, je m'en sert de tps en tps en lancement direct de msn... et bien je me mange des pubs qui s'ouvrent tout seul...

Alors j'ai regardé avec spybot, ad-awre et pas grand chose, du moins rien de bien méchant...

J'ai fais le menage dans la base de registre, dans msconfig... il y a rien d'anormal...

Voila le liens de la source de la pub qui se lance > http://affiliate.fr.espotting.com/ [...] sults.asp?

C'est dla pub pour des cartouches d'encres ou des sites de rencontres.

J'ai fait un coup de HijackThis et voila le rapport, je n'y trouve rien d'anormal >

Code :

Logfile of HijackThis v1.99.1
Scan saved at 16:05:31, on 31/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SIZE THUNK] C:\DOCUME~1\David\APPLIC~1\ARMYDE~1\MultiMemo.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DADD9435-99F9-4492-8936-5429526D0E54}: NameServer = 80.10.246.130,80.10.246.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Sous firefox je n'ai aucun probleme, en gros la pub ne me gène pas parce que je ne me sert pas souvent de ie, mais rien que le fait de savoir qu'il y a un truc qui cloche me soul.

Merci pour un ptit coup de pouce... :-)

EDIT : Apres relecture du log cette ligne revient a chaque fois que je la suprime, meme en mode sans echec... >
O4 - HKCU\..\Run: [SIZE THUNK] C:\DOCUME~1\David\APPLIC~1\ARMYDE~1\MultiMemo.exe

Message édité par TT-EMB le 31-01-2006 à 16:07:46

Reply

Marsh Posté le 31-01-2006 à 16:06:26

Reply

Marsh Posté le 31-01-2006 à 16:09:47

il existe des logiciels anti pubs.

tu devrais parcourir les topics car quelqu'un donne le lien.....

bon courage

Reply

Marsh Posté le 31-01-2006 à 16:10:57

oui mais moi je ne peux pas le bloquer, je veux le virer complaitement

Reply

Marsh Posté le 31-01-2006 à 16:14:02

tu veux virer IE si je comprends bien et ne garder que firefox?

Reply

Marsh Posté le 31-01-2006 à 16:18:10

nan je veux virer le spyware qui me fait chier sous IE

Reply

Marsh Posté le 31-01-2006 à 16:22:16

ben ton log m'a l'air correct.....faudrait voir ce que les autres en pensent mais bon si tu as fait sybot et ad ware de ce coté la pas de soucy.

mais es tu sur que ce n'es pas plutot des pop ups plutot qu'un spyware? ( j'essai de comprendre....)

Reply

Marsh Posté le 31-01-2006 à 16:24:12

et si supprimes le fichier mutlimemo.exe directement que ce passe til ?

Reply

Marsh Posté le 31-01-2006 à 16:27:32

bon je crois que je l'ai zapé,

non non c'est un spyware, ils m'ouvrent des pop up sur des sites propres...

Alors je pense que c'était bien MultiMemo.exe

J'ai essayé de virer le dossier et paf impossible, il tourne en arrière plan, je l'ai pas trouvé dans processus. Dans msconfig il n'apparait pas mais avec le logiciel StartupRun il apparait bien dans la liste des programme qui se lance au demarrage, donc je l'ai zapé avec ce soft, j'ai rebooter et j'ai suprimé le dossier...

Je vais surfer un coup sous ie pour voir si je rammasse pas encore des pub...

Saloperie de spyware

Reply

Marsh Posté le 31-01-2006 à 16:30:39

arf!!!

il est pô trop méchant encore celui la si tu l'a zappé aussi facile...

tiens nous au courant

Reply

Marsh Posté le 31-01-2006 à 16:32:08

oui, c'est vrai que j'ai vu pire sur d'autres pcs...

Mais c'est bien la première fois que je me fais avoir sur ça... je suis véxé

A l'avenir je n'irai plus sur des sites pornos... je plaisante...

Reply

Marsh Posté le 31-01-2006 à 16:32:08

Reply

Marsh Posté le 31-01-2006 à 16:40:05

ben de toute maniere tu l'as bien chopé quelque part ce spyware hein! :whistle:

allez avoue! :sol: :lol: :lol:

Moi je n'attrape jamais de spywares car je ne vais pas sur ces sites a débauche... :ange: :ange:

Reply

Marsh Posté le 31-01-2006 à 16:59:01

nan le pire c'est que je ne l'ai pas choppé la dessus... :lol:

Reply

Marsh Posté le 31-01-2006 à 18:05:54

Salut

Pour moi c est du lop.com

Télécharge lopxp ici:

http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

A+

Reply

Marsh Posté le 31-01-2006 à 19:32:28

Pas mal ton soft, mais j'ai resolu le prob... mais je le garde de coté !

-------------

Rapport fait à 19:31:18,32 le 31/01/2006

Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 2058-1906

Rpertoire de C:\Documents and Settings\Administrateur\Application Data

20/01/2006 00:15 62 desktop.ini
20/01/2006 00:15 <REP> ..
20/01/2006 00:15 <REP> Microsoft
20/01/2006 00:15 <REP> .
1 fichier(s) 62 octets
3 Rp(s) 15495077888 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 2058-1906

Rpertoire de C:\Documents and Settings\All Users\Application Data

31/01/2006 12:28 <REP> Spybot - Search & Destroy
23/01/2006 20:08 <REP> LITE JUGS CASH GRAM
20/01/2006 11:18 <REP> Adobe
18/01/2006 21:42 <REP> InstallShield
18/01/2006 19:34 <REP> ACD Systems
18/01/2006 17:56 <REP> Apple Computer
18/01/2006 17:56 62 desktop.ini
18/01/2006 17:55 <REP> Microsoft
18/01/2006 17:55 <REP> .
18/01/2006 17:55 <REP> ..
18/01/2006 17:54 <REP> CyberLink
18/01/2006 17:39 <REP> avg7
18/01/2006 17:39 <REP> Grisoft
18/01/2006 17:33 <REP> CanonBJ
1 fichier(s) 62 octets
13 Rp(s) 15495073792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 2058-1906

Rpertoire de C:\Documents and Settings\David\Application Data

31/01/2006 16:51 <REP> Google
26/01/2006 23:47 <REP> Visicom Media
24/01/2006 22:08 <REP> Apple Computer
23/01/2006 20:27 <REP> Lavasoft
23/01/2006 20:08 <REP> NetPumper
23/01/2006 20:08 <REP> Math Wait Extra
20/01/2006 17:45 <REP> Arcsoft
20/01/2006 17:43 <REP> Canon
20/01/2006 02:47 <REP> AdobeUM
20/01/2006 02:47 <REP> Adobe
18/01/2006 21:41 <REP> Jasc Software Inc
18/01/2006 21:03 <REP> Sun
18/01/2006 19:39 <REP> ACD Systems
18/01/2006 19:36 <REP> Macromedia
18/01/2006 18:25 <REP> CyberLink
18/01/2006 18:05 <REP> Talkback
18/01/2006 17:47 <REP> Mozilla
18/01/2006 17:39 <REP> AVG7
18/01/2006 17:12 <REP> Identities
18/01/2006 17:11 62 desktop.ini
18/01/2006 17:11 <REP> ..
18/01/2006 17:11 <REP> .
18/01/2006 17:11 <REP> Microsoft
1 fichier(s) 62 octets
22 Rp(s) 15495073792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 2058-1906

Rpertoire de C:\Documents and Settings\Default User\Application Data

18/01/2006 17:56 62 desktop.ini
18/01/2006 17:55 <REP> ..
18/01/2006 17:55 <REP> Microsoft
18/01/2006 17:55 <REP> .
1 fichier(s) 62 octets
3 Rp(s) 15495073792 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est 2058-1906

Rpertoire de C:\WINDOWS\Tasks

23/01/2006 20:08 260 A37BFD6591C47615.job
18/01/2006 17:11 6 SA.DAT
18/01/2006 17:04 65 desktop.ini
18/01/2006 17:04 <REP> ..
18/01/2006 17:04 <REP> .
3 fichier(s) 331 octets
2 Rp(s) 15ÿ495ÿ073ÿ792 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************

Message édité par TT-EMB le 31-01-2006 à 19:33:02

Reply

Marsh Posté le 31-01-2006 à 22:36:40

Ce rapport ressemble beaucoup à celui généré par :
http://www.fbeej.ctrlaltdel.dk/Programmer/fl.zip

Par exemple :
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CCD4-2AC1

Rpertoire de C:\Documents and Settings\All Users\Application Data

06/08/2002 17:59 <REP> .
06/08/2002 17:59 <REP> ..
30/10/2002 11:48 <REP> CyberLink
17/02/2003 17:07 <REP> Symantec
17/02/2003 17:11 <REP> MSN6
29/07/2003 18:00 <REP> Spybot - Search & Destroy
30/09/2003 18:59 <REP> Adobe
26/05/2004 14:36 <REP> AOL
26/05/2004 14:38 <REP> QuickTime
26/09/2004 20:45 <REP> Viewpoint
26/10/2004 13:37 <REP> SecTaskMan
11/11/2004 19:10 <REP> Grisoft
11/11/2004 19:10 <REP> AVG7
30/12/2004 01:05 <REP> Macrovision
19/02/2005 15:10 <REP> OD2
01/04/2005 18:08 <REP> ACD Systems
19/04/2005 22:47 <REP> MSN Messenger 6.2.0205
31/07/2005 21:37 <REP> Windows Genuine Advantage
22/01/2006 17:37 <REP> Ahead
0 fichier(s) 0 octets
19 Rp(s) 41ÿ415ÿ655ÿ424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CCD4-2AC1

Rpertoire de C:\Documents and Settings\LocalService\Application Data

06/08/2002 18:13 <REP> .
06/08/2002 18:13 <REP> ..
30/09/2003 19:12 <REP> Adobe
30/09/2003 19:12 <REP> AdobeUM
11/11/2004 19:10 <REP> AVG7
30/12/2005 17:40 <REP> Webroot
0 fichier(s) 0 octets
6 Rp(s) 41ÿ415ÿ655ÿ424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CCD4-2AC1

Rpertoire de C:\Documents and Settings\Premier\Application Data

17/02/2003 16:14 <REP> .
17/02/2003 16:14 <REP> ..
06/08/2002 18:14 <REP> Identities
25/07/2002 15:19 <REP> InterTrust
25/07/2002 15:19 <REP> Adobe
25/07/2002 15:50 <REP> Help
17/02/2003 17:07 <REP> Symantec
17/02/2003 17:11 <REP> MSN6
28/02/2003 18:47 <REP> ACD Systems
19/06/2003 15:20 <REP> Macromedia
24/07/2003 14:20 <REP> Aim
31/08/2003 15:11 <REP> COWON
27/09/2003 20:27 <REP> ACDInTouch
30/09/2003 19:44 <REP> AdobeUM
20/10/2003 01:23 <REP> Sun
05/11/2003 16:08 <REP> PDFCreator
27/04/2004 23:50 <REP> Leadertech
15/05/2004 00:32 <REP> MailWasher
26/05/2004 14:38 <REP> You've Got Pictures Screensaver
26/05/2004 14:39 <REP> AOL
12/06/2004 22:39 <REP> Real
10/08/2004 18:47 <REP> Lavasoft
23/10/2004 16:58 <REP> Microsoft Web Folders
11/11/2004 19:10 <REP> AVG7
19/02/2005 15:11 <REP> OD2
23/08/2005 13:14 <REP> Google
31/08/2005 21:56 <REP> Opera
16/12/2005 23:02 <REP> XnView
22/01/2006 12:01 <REP> NeroDCTemplates
22/01/2006 13:23 <REP> Ahead
28/01/2006 18:32 <REP> OpenOffice.org2
0 fichier(s) 0 octets
31 Rp(s) 41ÿ415ÿ655ÿ424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CCD4-2AC1

Rpertoire de C:\Documents and Settings\Administrateur\Application Data

03/12/2003 18:25 <REP> .
03/12/2003 18:25 <REP> ..
06/08/2002 18:14 <REP> Identities
25/07/2002 15:19 <REP> InterTrust
25/07/2002 15:19 <REP> Adobe
25/07/2002 15:50 <REP> Help
0 fichier(s) 0 octets
6 Rp(s) 41ÿ415ÿ655ÿ424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CCD4-2AC1

Rpertoire de C:\Documents and Settings\Default User\Application Data

06/08/2002 17:59 62 desktop.ini
1 fichier(s) 62 octets
0 Rp(s) 41ÿ415ÿ655ÿ424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numro de srie du volume est CCD4-2AC1

Rpertoire de C:\Documents and Settings\NetworkService\Application Data

[TRACE] Enumerating jobs and queues

Reply

Spyware tenace... Grrrrr

Sujets relatifs:

Leave a Replay