spyware -> ntnga.dll - Win NT/2K/XP - Windows & Software
Marsh Posté le 18-06-2004 à 20:55:05
Essaye Hijackthis
http://www.spywareinfo.com/~merijn/downloads.html
Marsh Posté le 18-06-2004 à 21:42:00
je viens d essayer a2 et il a rien trouvé...
sniffffffffffff
helppp
Marsh Posté le 18-06-2004 à 22:11:08
colle nous sur le forum le résultat du log de Hijack This pour qu'on regarde ça
Marsh Posté le 18-06-2004 à 22:17:29
Logfile of HijackThis v1.97.7
Scan saved at 22:16:13, on 18/06/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ntgy.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\winec32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\y z dock\YzDock.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\KRISS\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnga.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ntnga.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ntnga.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnga.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ntnga.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ntnga.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A506E929-19D9-0C2F-5674-118C99313E95} - C:\WINDOWS\sysct32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Program Files\Fichiers communs\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] mupdate.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winec32.exe] C:\WINDOWS\system32\winec32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] mupdate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] mupdate.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKLM\..\RunOnce: [ntgy.exe] C:\WINDOWS\ntgy.exe
O4 - HKLM\..\RunOnce: [javani32.exe] C:\WINDOWS\system32\javani32.exe
O4 - HKLM\..\RunOnce: [applg.exe] C:\WINDOWS\system32\applg.exe
O4 - HKLM\..\RunOnce: [winoy.exe] C:\WINDOWS\system32\winoy.exe
O4 - HKLM\..\RunOnce: [apisa.exe] C:\WINDOWS\system32\apisa.exe
O4 - HKLM\..\RunOnce: [netmr.exe] C:\WINDOWS\netmr.exe
O4 - HKLM\..\RunOnce: [appsj.exe] C:\WINDOWS\system32\appsj.exe
O4 - HKLM\..\RunOnce: [d3yb32.exe] C:\WINDOWS\system32\d3yb32.exe
O4 - HKLM\..\RunOnce: [netla.exe] C:\WINDOWS\system32\netla.exe
O4 - HKLM\..\RunOnce: [mfccs32.exe] C:\WINDOWS\mfccs32.exe
O4 - HKLM\..\RunOnce: [apikq32.exe] C:\WINDOWS\system32\apikq32.exe
O4 - HKLM\..\RunOnce: [atlxu32.exe] C:\WINDOWS\system32\atlxu32.exe
O4 - HKLM\..\RunOnce: [javass.exe] C:\WINDOWS\system32\javass.exe
O4 - HKLM\..\RunOnce: [netbp32.exe] C:\WINDOWS\netbp32.exe
O4 - HKLM\..\RunOnce: [sdkxv.exe] C:\WINDOWS\sdkxv.exe
O4 - HKLM\..\RunOnce: [crly32.exe] C:\WINDOWS\crly32.exe
O4 - HKLM\..\RunOnce: [apitu.exe] C:\WINDOWS\apitu.exe
O4 - HKLM\..\RunOnce: [sysyq32.exe] C:\WINDOWS\sysyq32.exe
O4 - Startup: YzDock.lnk = C:\Program Files\y z dock\YzDock.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Getting Started with MacDrive 5.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{335B2D7A-C631-46A0-85B8-52FCB753E6E3}: NameServer = 80.10.246.130 80.10.246.3
qd j ouvre ie l'url par defaut c est ca : res://ntnga.dll/index.html#96676
et quand je vire tout ce qui concerne ntnga avec hijack ben ca revient qd meme...
Marsh Posté le 18-06-2004 à 22:42:15
je ne connais pas le alg.exe qu'y est dans system32. Ah si d'après le web c'est partie intégrante du firewall d'XP donc c'est bon
par contre, ntgy.exe spa cool à mon avis. Un prog directement sous c:\windows et qui n'est pas explorer.exe faut se méfier. de plus ça ressemble bien à ton ntnga.dll comme nom
winec32.exe je ne connais pas non plus mais ça veut rien dire hein? mais aucune référence sur google non plus
Bien sûr les clés suivantes sont à supprimer :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnga.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ntnga.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ntnga.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnga.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ntnga.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ntnga.dll/sp.html#96676
ça je le sens pas trop:
O2 - BHO: (no name) - {A506E929-19D9-0C2F-5674-118C99313E95} - C:\WINDOWS\sysct32.dll
le mupdate.exe me semble louche aussi (même si il se cache sous le pseudo Windows Update) regarde sur le google pour ça
et franchement recherche toutes les clés nommées RUN ou RUNONCE dans la base de registre car tu es pollué de pas mal de fichiers .exe qui sont dans c:\windows ou c:\windows\system32 qui se lancent au démarrage de ton pc. C'est énorme à mon avis
Marsh Posté le 19-06-2004 à 11:31:53
rien a faire j ai viré toutes les clefs que tu m as dit dans hijack est y a pas moyen ca revient a chaques fois
je vais essayer the cleaner
merci de votre aide en tous cas...
Marsh Posté le 19-06-2004 à 16:32:37
pffffffffff ben the cleaner il trouve des trucs il en eneleves mais ya des trucs qu il arrive pas a enlever
Marsh Posté le 19-06-2004 à 19:39:23
il y a pas encore un topic unique pour ces trucs la comme il y a en a 5 par jour ...
Marsh Posté le 19-06-2004 à 19:53:46
Ben bien sûr que si, depuis mercredi !
http://forum.hardware.fr/hardwaref [...] 1265-1.htm
Marsh Posté le 19-06-2004 à 19:55:20
ReplyMarsh Posté le 19-06-2004 à 19:56:32
T'en fais pas je forwarde à tout va (mais il est là depuis seulement quelques jours) , faut juste que je sois pas le seul...
Marsh Posté le 19-06-2004 à 22:56:40
bon ben j abandonne j ai installe mozilla j ai pas de prob avec
je reformaterai un de ces 4 en attendant j utilise plus ie
Marsh Posté le 18-06-2004 à 20:54:28
bonjour all,
j ai tout essayé et ca change rien
ad aware, spybot et meme cwshredder ...
j ai ma page d accueil qui est pourri par un truc qui pointe vers ntnga.dll
et ca m ouvre plein de popup en plus...
est ce que vous connaissez la solution pour virer cette m**** ?
merci d avance
kriss