Spyware bizarre... help :( - Win NT/2K/XP - Windows & Software
Marsh Posté le 01-05-2004 à 22:06:36
Vu qu'il est revenu encore une fois ce soir je vous fourni donc le
compte rendu du HiJackthis.exe.... voici ce qui dit :
La saloperie que j'incrimine est : oeaaol.dll.... a chaques fois ke j'ai essayé de le supprimer avec hijackthis ou bien Ad-Aware ou bien CWSShredder.exe mais rien a faire a chaques fois cette saloperie revenais sous un nom différent...
---------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 22:04:32, on 01/05/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
E:\Programmes\Norton AntiVirus\navapsvc.exe
e:\programmes\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
E:\programmes\Speed Disk\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
E:\Programmes\Microsoft Hardware\Mouse\point32.exe
E:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
E:\programmes\creative\audio2k\PROGRAM\CTMIX32.EXE
E:\Programmes\Winamp\winampa.exe
C:\WINNT\System32\internat.exe
E:\Programmes\Iconic Tray\it.exe
E:\Programmes\Nikon View 6\NkvMon.exe
E:\Programmes\RealVNC\WinVNC\winvnc.exe
E:\Programmes\PC Alert III\ALERT.EXE
C:\Program Files\Creative\ShareDLL\MEDIADET.EXE
E:\Programmes\IRCMet\mirc.exe
E:\Programmes\Aim\aim.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Philips ToUcam Camera\VProperty.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\PROGRA~1\DAP\DAP.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\Nicolas\Graver en attente\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\oeaaol.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\oeaaol.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\oeaaol.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\oeaaol.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\oeaaol.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\oeaaol.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - E:\Programmes\DAP\DAPIEBar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programmes\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EBBC5055-BCE5-4ABB-8796-83ADD9BBB199} - C:\WINNT\System32\oeaaol.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - E:\Programmes\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - E:\Programmes\DAP\DAPIEBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programmes\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] E:\Programmes\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programmes\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] e:\programmes\creative\audio2k\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmes\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Iconic Tray] E:\Programmes\Iconic Tray\it.exe
O4 - HKCU\..\Run: [DeeEnEs] \\Allienore\E\Dyndns\DeeEnEs.exe
O4 - Startup: PC Alert III.lnk = E:\Programmes\PC Alert III\ALERT.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.lnk = E:\Programmes\Nikon View 6\NkvMon.exe
O4 - Global Startup: Run VNC Server.lnk = E:\Programmes\RealVNC\WinVNC\winvnc.exe
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - E:\Programmes\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera-c1.obs-azur.fr/activ [...] ontrol.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 4680787037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activ [...] -0-3-0.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72C61ED9-F566-4332-81CE-00910A86FD2C}: NameServer = 193.252.19.3,193.252.19.4
Marsh Posté le 01-05-2004 à 22:56:26
Jme suis deja tapé un spyware dans le meme genre, indetectable avec ad-aware... au final j'ai cherché un peu sur la page les trucs genre "contact" ou infos, et je suis tombé sur une page ou ils permettaient de supprimer le fichier a la base du problème, au cas ou son installation n'était pas voulue... Ca a bien fonctionné et plus de problème ensuite...
Donc je te dirais d'essayer de faire de meme, avec un peu de chance...
Marsh Posté le 01-05-2004 à 23:16:51
matte ça : http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
Marsh Posté le 02-05-2004 à 22:48:10
Logfile of HijackThis v1.97.7
Scan saved at 22:42:44, on 02/05/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
E:\Programmes\Norton AntiVirus\navapsvc.exe
e:\programmes\Norton Utilities\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
E:\programmes\Speed Disk\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
E:\Programmes\Microsoft Hardware\Mouse\point32.exe
E:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
E:\programmes\creative\audio2k\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\PHILIP~1\VProperty.exe
E:\Programmes\Winamp\winampa.exe
C:\WINNT\system32\internat.exe
E:\Programmes\Iconic Tray\it.exe
E:\Programmes\Nikon View 6\NkvMon.exe
E:\Programmes\RealVNC\WinVNC\winvnc.exe
E:\Programmes\PC Alert III\ALERT.EXE
C:\Program Files\Creative\ShareDLL\MEDIADET.EXE
C:\WINNT\explorer.exe
E:\Programmes\Aim\aim.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
E:\PROGRA~1\DAP\DAP.EXE
E:\Nicolas\Graver en attente\HijackThis.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bmej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bmej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bmej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\bmej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bmej.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\bmej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wanadoo.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - E:\Programmes\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {0895E171-999A-4877-BC11-CB2717AAF2AE} - C:\WINNT\system32\bmej.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programmes\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - E:\Programmes\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - E:\Programmes\DAP\DAPIEBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programmes\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] E:\Programmes\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [Détecteur de disque] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\programmes\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] e:\programmes\creative\audio2k\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programmes\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Iconic Tray] E:\Programmes\Iconic Tray\it.exe
O4 - HKCU\..\Run: [DeeEnEs] \\Allienore\E\Dyndns\DeeEnEs.exe
O4 - Startup: PC Alert III.lnk = E:\Programmes\PC Alert III\ALERT.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.lnk = E:\Programmes\Nikon View 6\NkvMon.exe
O4 - Global Startup: Run VNC Server.lnk = E:\Programmes\RealVNC\WinVNC\winvnc.exe
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Chercher avec Copernic Agent - E:\Programmes\Copernic Agent\Web\SearchExt.htm
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Copernic Agent (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://camera-c1.obs-azur.fr/activ [...] ontrol.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 4680787037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activ [...] -0-3-0.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] owdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{72C61ED9-F566-4332-81CE-00910A86FD2C}: NameServer = 193.252.19.3,193.252.19.4
RIEN A FAIRE !!!!!!!!!!!!!! IL EST ENCORE REVENU !!!!!!!!!!!!!!!!!!!!!!!!!!!!!! J'EN AI MARRE §!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! AIDEZ MOI !!!!
Marsh Posté le 03-05-2004 à 10:18:28
tu as mis a jour ton windows et ton IE ?
Marsh Posté le 03-05-2004 à 19:01:14
com21 a écrit : tu as mis a jour ton windows et ton IE ? |
+1
allez sur windows update et telecharger TOUTES les mises a jour...
Marsh Posté le 03-05-2004 à 20:59:35
oui et puis il peut faire aussi une MAJ de ad-aware... il suffit juste de cliquer sur "chek for update now" sur la page de demarrage de ad-aware > cliquer sur connect > OK... attendre > finish et ensuite lancer une recheche de spyware...
Marsh Posté le 03-05-2004 à 21:35:23
Si j'en crois ce thread, http://www.commentcamarche.net/for [...] log-hijack , en essayant spyware blaster ça a marché ...
Marsh Posté le 01-05-2004 à 21:47:15
Salut a tous !
Voila je vais essayer d'exposer mon probleme le plus précisément possible, il y a une semaine, j'ouvre internet explorer et là ma page d'acceuil modifié en : about:blank... mais le probleme voici ce qui s'affiche (voir : http://nicolas.gourhant.free.fr/spy.gif)... j'ai donc tenté de modifier manuellement la page de demarrage mais là rien ! apres avoir redémarrer IE c'est pareil la page about:blank est revenue en page de démarrage, là par instinct je pense qu'il s'agit d'un spyware une fois de plus, je lance donc Ad-Aware, je scan tout le PC avec... et là verdict ! il me trouve effectivement un Spyware sous le nom "Malware"... je supprime donc tout ces fichiers, je redemarre le PC, et là par surprise pouf ! plus rien... je continue donc l'utilisation normale de mon PC et environ 24h plus tard rebellote ! il reviens, je cherche donc plus en détail sur des moteurs de recherche et je trouve un fix spécial pour ce spyware : "CWShredder.exe" et "HijackThis.exe" je les telecharge et je voit que CWShredder.exe me met : REMOVED pour un certain : CWS.Searchx... parfait cette fois je pense que le probleme est réglé... je redemarre, je recommence comme avant sur mon PC et là... 24h plus tard, rebellote !!!!!!!! grrrrrrrrr je renouvelle donc l'opération a chaques fois et pas moyen de m'en débarrasser... la seule chose que je sais c'est qui s'agit d'un spyware et que son nom commence par : "CWS." et qu'il s'agit d'un spyware nommé : CoolWebSearch........
et j'ai pas moyen de m'en debarrasser.... quelqu'un pourrais m'aider car c'est franchement soulant là...