Malware, data miner ... tjrs et encore !

Question

Bon bah ca sera pas la premiere fois,...J'ai repéré ici bcp de cas similaire mais le mien à l'air XXL ... lol. j'ai  remarqué pas mal de merde sur l'ordi après l'avoir laissé tourné 24H ...un coup d'adaware 6 et de spybot 1.3 ont viré une 10aine de spyware, mais il en reste encre à peu près tout autant qui reviennent à chaque reboot.Ca se traduit par une page d'accueil forcée, un fichier qui cherche à se lancer au boot de windows et qui trouv pas le prog associé, des pubs, ce putin de webrebates de mes 2, et j'en passe; J'ai remarqué que les processus augmentaient quand j'utilisai Interner explorer aussi.voilà le hijackthis après un reboot. si vous pouvez me dire précisement lesquels enlevez ca serait super sympa merci :) :Logfile of HijackThis v1.97.7Scan saved at 18:29:11, on 11/10/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\HPConfig.exeC:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Serv-U\ServUDaemon.exeC:\Program Files\HPQ\One-Touch\OneTouch.EXEC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exeC:\WINDOWS\System32\carpserv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINDOWS\system32\javayu.exeC:\Program Files\Windows SyncroAd\SyncroAd.exeC:\Program Files\Web_Rebates\WebRebates0.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\system32\addgs.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Documents and Settings\Administrateur\Application Data\oeta.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Web_Rebates\WebRebates1.exeC:\Documents and Settings\Administrateur\Mes documents\Autre\HijackThis\HijackThis.exeC:\Program Files\Symantec\LiveUpdate\NDETECT.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aqkjh.dll/sp.html#29126R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aqkjh.dll/sp.html#29126R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aqkjh.dll/sp.html#29126R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aqkjh.dll/sp.html#29126R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aqkjh.dll/sp.html#29126R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aqkjh.dll/sp.html#29126R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aqkjh.dll/sp.html#29126R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.21.9:80R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: (no name) - {FBB1288E-F9DA-63B6-535A-91E59402B4CE} - C:\WINDOWS\sysxi32.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dllO3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -dO4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exeO4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /sO4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXEO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"O4 - HKLM\..\Run: [CARPService] carpserv.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottimeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [javayu.exe] C:\WINDOWS\system32\javayu.exeO4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exeO4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exeO4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [Spla] C:\Documents and Settings\Administrateur\Application Data\oeta.exeO4 - HKLM\..\RunOnce: [addgs.exe] C:\WINDOWS\system32\addgs.exeO4 - HKLM\..\RunOnce: [qnlof] C:\WINDOWS\orun32.ini:qnlofO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htmO8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htmO8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htmO9 - Extra button: Recherche (HKLM)O9 - Extra button: FlashGet (HKLM)O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)O15 - Trusted Zone: *.05p.comO15 - Trusted Zone: *.clickspring.netO15 - Trusted Zone: *.mt-download.comO15 - Trusted Zone: *.my-internet.infoO15 - Trusted Zone: *.scoobidoo.comO15 - Trusted Zone: *.searchmiracle.comO16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cabO16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://195.190.118.140/e9xr2.chm::/file.exeO16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=168d3f0c8f5ebbd0d83ee5445ae40e55469aa3fdaf24dd3540c41ee1ea302c2d59104a57d59aa8baedc40580da1dd4eb01d54f:eeba47ee03d937f4aaa2edc6fc4885a4O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cabO16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cabO16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cabO16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} (shizmoo Class) - http://www.kungfuchess.com/activex/web665.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/76808a0e7ae82f/housecall.antivirus.com/housecall/xscan53.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cabO16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - file://C:\Program Files\eDonkey2000\incoming\Sonic Foundry Vegas Video 4.0c FR\20030303_1203\setup.exeO16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exeO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Lezard · Answer

Juste une précision : les noms des processus qui apparaissent en plus après execution de internet explorer sont du style :winom.exeschedLgU.Txt;ejnzs

Lezard · Answer

plz help me :'(

Utilisateur anonyme · Answer

salut tes antispywares sont ils a jour ???

telecharge aussi cette antitrojan pense a le mettre a jour avant de le lancé
(a2free)
http://www.emsisoft.net/fr/

ferme internet explorer / lance hijackthis coche ces lignes ensuite clike sur "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aqkjh.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aqkjh.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aqkjh.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\aqkjh.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\aqkjh.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\aqkjh.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\aqkjh.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.21.9:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {FBB1288E-F9DA-63B6-535A-91E59402B4CE} -
C:\WINDOWS\sysxi32.dll

O4 - HKLM\..\Run: [javayu.exe] C:\WINDOWS\system32\javayu.exe
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program
Files\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [Spla] C:\Documents and
Settings\Administrateur\Application Data\oeta.exe
O4 - HKLM\..\RunOnce: [addgs.exe] C:\WINDOWS\system32\addgs.exe
O4 - HKLM\..\RunOnce: [qnlof] C:\WINDOWS\orun32.ini:qnlof

O8 - Extra context menu item: Web Rebates - file://C:\Program
Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} -
ms-its:mhtml:file://C:\foo.mht!http://195.190.118.140/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_file.php?bt=ie&p=168d3f0c8f5ebbd0d83ee5445ae40e55469aa3fdaf24dd3540c41ee1ea302c2d59104a57d59aa8baedc40580da1dd4eb01d54f:eeba47ee03d937f4aaa2edc6fc4885a4
O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} (shizmoo Class) -
http://www.kungfuchess.com/activex/web665.cab (si tu connais pas le site tu fix)
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer
Class) -
http://a532.g.akamai.net/7/532/6712/6c5b0a1ae398e3/player.virtools.com/downloads/player/Install2.5/Installer.exe

ensuite

1.redemarre en mode sans echec (redemarage + tapotte sans arret sur F8 desque l'ordi s'allume)

2. desactive ta restaraution (si ta le xp ) comme ceci :
clike droit sur post de travaille/proprietes/restauration system et la tu coche desactiver la restauration du systeme tu applique

3. affiche les fichier cacher comme ceci :
clicker sur demarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Puis fais «Ok» pour valider les changements.
Decocher masquer les extentions dont le type est connues

4.ensuite va dans demarrer/rechercher et tape: (un par un)
aqkjh.dll
sysxi32.dll
javayu.exe
VVSN.exe
SyncroAd.exe
WebRebates0.exe
oeta.exe
addgs.exe
orun32.ini:qnlof

suprime les et tu vide ta corebeille

ensuite passe un coup d'antispy (adware, spybot , A2free)

supprime les fichier temporaire +les cookies+ l'historique comme ceci :

demarrer/paneau de configuration/option internet/suprimer fichier temporaaire apres une petite fentre s'ouvre tu coche "suprimer tout le contenu hors connexion" suprime aussi les cookies et efface l'historique

redemare ....

si le probleme persiste refait un scan et colle le resultat ici

n'oublie pas de reactiver la restauration et de masqué les fichiers caché en suivant le meme chemin

@++++

balltrap34 · Answer

salut jess je suis septique je pense pas qu on l aurat uniquement avec hjla chasse et le balltrap ma vrai passionvoir site perso dans profil

Utilisateur anonyme · Answer

salut balltrap :-) je pense qu'il y'a surement  un service qui active cette page C:\WINDOWS\aqkjh.dll/sp.html#29126  .@++++

balltrap34 · Answer

oui tu as peut etre raison
si cela ne marche pas on verras les services et ont utyiliseras
about buster passer 2 fois suivi de CWShredder le tous en sans echec si possible

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Lezard · Answer

oké merci bcp ;)j'me doutais bien de ce kil fallait virer, mais j'voulais avoir un avis sur ce forum très bien fréquenté :)j'vais faire ca maintenant.

Lezard · Answer

Bon et bien j'ai eu quelques difficultés à me mettre en mode sans échec :( . quand je lance le mode sans échec ca reste figé sur un écran noir, bien que le disk dur réfléchisse sans arrêt.J'ai  procédé comme au dessus, en virant un ou deux autres trucs que je savais louche. Je suis content de voir que ca a virer quelques merdes, dont surtout webrebates. pour cela déjà : MERCI.mais y'en a 3 qui persistent ... page d'accueil forcée, tentative de lancement de fichier au boot de XP (mais pas de programme associé), et une pub qui s'affiche de temps en temps.voila le nouveau bilan Hijackthis :Logfile of HijackThis v1.97.7Scan saved at 00:27:59, on 13/10/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\HPConfig.exeC:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\HPQ\One-Touch\OneTouch.EXEC:\Program Files\Synaptics\SynTP\SynTPLpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exeC:\WINDOWS\System32\carpserv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exeC:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeC:\WINDOWS\system32\winom.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\QIII.INI:vedyjC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Jeux\Steam\Steam.exeC:\Program Files\Jeux\Skype\Phone\Skype.exeC:\Program Files\ABC\abc.exeC:\WINDOWS\System32svp.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Winamp\winamp.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Documents and Settings\Administrateur\Mes documents\Autre\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.21.9:80O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO2 - BHO: (no name) - {D4B62290-D1BC-E419-EF26-71766EF1A30E} - C:\WINDOWS\addww.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dllO3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exeO4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -dO4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exeO4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /sO4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXEO4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"O4 - HKLM\..\Run: [CARPService] carpserv.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottimeO4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exeO4 - HKLM\..\Run: [winom.exe] C:\WINDOWS\system32\winom.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKLM\..\RunOnce: [vedyj] C:\WINDOWS\QIII.INI:vedyjO4 - HKLM\..\RunOnce: [ulkre] C:\WINDOWS\mfcvt32.exe.bak:ulkreO8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_all.htmO8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\PROGRA~1\FlashGet\jc_link.htmO9 - Extra button: Recherche (HKLM)O9 - Extra button: FlashGet (HKLM)O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cabO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cabO16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cabO16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cabO16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} (shizmoo Class) - http://www.kungfuchess.com/activex/web665.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cabO16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} -file://C:\Program Files\eDonkey2000\incoming\Sonic Foundry Vegas Video 4.0c FR\20030303_1203\setup.exeO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab------------------------------------------C:/Windows/Explorer.exe : c'est pas un peu byzarre de le trouver là?!winom.exe et "O4 - HKLM\..\Run: [winom.exe] C:\WINDOWS\system32\winom.exe": revient à chaque lancement de internet explorerC:\WINDOWS\QIII.INI:vedyj : en fait le "vedyj " est le truc qu'il cherche à lancer au boot. Le nom du fichier ini change. Y'a 2 variantes pour "vedyj" aussi.C:\WINDOWS\System32svp.exe : louche nan ?toutes les merdes finissant en "res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126"  reviennent encore. le nom wihfc n'arrete pas de changer.O2 - BHO: (no name) - {D4B62290-D1BC-E419-EF26-71766EF1A30E} - C:\WINDOWS\addww.dll : un ptit nouveau ....

Utilisateur anonyme · Answer

salut lezard

donc ferme internet explorer coche et fix ces lignes

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126

O2 - BHO: (no name) - {D4B62290-D1BC-E419-EF26-71766EF1A30E} - C:\WINDOWS\addww.dll

O4 - HKLM\..\Run: [winom.exe] C:\WINDOWS\system32\winom.exe
O4 - HKLM\..\RunOnce: [vedyj] C:\WINDOWS\QIII.INI:vedyj
O4 - HKLM\..\RunOnce: [ulkre] C:\WINDOWS\mfcvt32.exe.bak:ulkre

ensuite fait cltr / alt/ supprime. termine la tache de ces fichiers winom.exe ,QIII.INI:vedyj ,mfcvt32.exe.bak:ulkre

ensuite tu les supprime.

puis scan ton pc 2 fois avec about buster http://www.spychecker.com/program/aboutbuster.html

ensuite passe un coup de "CWshredder"
http://www.soft32.com/download_19014.html
pour ce dernier faut absolument fermer tout les programe y compris internet explorer et donc hors connexion ensuite faire fix next next
@+++++++++

Lezard · Answer

oké ^^ci mer j'vais testé tt à l'heure.

Lezard · Answer

bon alors je vais pas refaire un topo à chaque fois du hijack ...

clairement, dès que je relance internet explorer, la page forcée et une ou deux soit disant pub apparaissent. Ca c'est la partie suivante que je sais qu'il faut delete :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126

----------------------------------------------------------------------

Pour ce qui est au dessus, et pour ce que Jess15 m'a dis de faire, je crois qu'il faut que je le fasse en mode sans échec en ésperant qu'il marche car la derniere fois il a bloqué. :s
Si je ne pouvais pas passer par ce biais fodré que j'ai une solution alternative ;)

Bon à part ca, j'ai 1 truc qui revient :
netea.dll:goafs

je rappelle que le nom de la dll ou du ini change sans arret. il est suivi après de ":goafs" ou encore ":vedyj" ou encore ":ulkre".
je sais pu koa faire :/

j'ai aussi 2 autres processus qui me paraissent louche à savoir :
wdfmgr.exe (service local dans le gestionnaire des taches)
iers32.exe (administrateur (mon pseudo en fait) dans le gestionnaire des taches).

Voilà le bilan. pour tt le reste ca a bien été éradiqué pour de bon :)
si vous pouvez m'aider d'une quelconque facon ca sra cool ci mer ^^.
en attendant j'ai aucun probleme génant hormis sous internet explorer. Jutilise Mozilla en attendant lol.

balltrap34 · Answer

salut
Télécharger ce petit programme qui nous donnera la liste
des services :

http://d21c.com/Tom41/get_active_services_179_161.zip

Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Lezard · Answer

ok merci :)j'lai fait. a priori on dirait que wdfmgr.exe né pa une saloperie, mais ca fait pas longtmeps que je l'ai alors j'me suis posé des questions.iers32.exe je sé tjrs pa ce que cénetea.dll:goafs est clairement une saloperie.These are the Current Active Services: SERVICE DE LA PASSERELLE DE LA COUCHE APPLICATION: ALGC:\WINDOWS\System32\alg.exe ATI HOTKEY POLLER: Ati HotKey PollerC:\WINDOWS\System32\Ati2evxx.exe AUDIO WINDOWS: AudioSrvC:\WINDOWS\System32\svchost.exe -k netsvcs SERVICE DE TRANSFERT INTELLIGENT EN ARRIÈRE-PLAN: BITSC:\WINDOWS\System32\svchost.exe -k netsvcs EXPLORATEUR D'ORDINATEUR: BrowserC:\WINDOWS\System32\svchost.exe -k netsvcs SERVICES DE CRYPTOGRAPHIE: CryptSvcC:\WINDOWS\system32\svchost.exe -k netsvcs CLIENT DHCP: DhcpC:\WINDOWS\System32\svchost.exe -k netsvcs SERVICE DE RAPPORT D'ERREURS: ERSvcC:\WINDOWS\System32\svchost.exe -k netsvcs SYSTÈME D'ÉVÉNEMENTS DE COM+: EventSystemC:\WINDOWS\System32\svchost.exe -k netsvcs COMPATIBILITÉ AVEC LE CHANGEMENT RAPIDE D'UTILISATEUR: FastUserSwitchingCompatibilityC:\WINDOWS\System32\svchost.exe -k netsvcs AIDE ET SUPPORT: helpsvcC:\WINDOWS\System32\svchost.exe -k netsvcs MONITEUR INFRAROUGE: IrmonC:\WINDOWS\System32\svchost.exe -k netsvcs SERVEUR: lanmanserverC:\WINDOWS\System32\svchost.exe -k netsvcs STATION DE TRAVAIL: lanmanworkstationC:\WINDOWS\System32\svchost.exe -k netsvcs AFFICHAGE DES MESSAGES: MessengerC:\WINDOWS\System32\svchost.exe -k netsvcs CONNEXIONS RÉSEAU: NetmanC:\WINDOWS\System32\svchost.exe -k netsvcs NLA (NETWORK LOCATION AWARENESS): NlaC:\WINDOWS\System32\svchost.exe -k netsvcs GESTIONNAIRE DE CONNEXIONS D'ACCÈS DISTANT: RasManC:\WINDOWS\System32\svchost.exe -k netsvcs PLANIFICATEUR DE TÂCHES: ScheduleC:\WINDOWS\System32\svchost.exe -k netsvcs CONNEXION SECONDAIRE: seclogonC:\WINDOWS\System32\svchost.exe -k netsvcs NOTIFICATION D'ÉVÉNEMENT SYSTÈME: SENSC:\WINDOWS\system32\svchost.exe -k netsvcs PARE-FEU DE CONNEXION INTERNET (ICF) / PARTAGE DE CONNEXION INTERNET (ICS): SharedAccessC:\WINDOWS\System32\svchost.exe -k netsvcs DÉTECTION MATÉRIEL NOYAU: ShellHWDetectionC:\WINDOWS\System32\svchost.exe -k netsvcs SERVICE DE RESTAURATION SYSTÈME: srserviceC:\WINDOWS\System32\svchost.exe -k netsvcs TÉLÉPHONIE: TapiSrvC:\WINDOWS\System32\svchost.exe -k netsvcs SERVICES TERMINAL SERVER: TermServiceC:\WINDOWS\System32\svchost.exe -k netsvcs THÈMES: ThemesC:\WINDOWS\System32\svchost.exe -k netsvcs CLIENT DE SUIVI DE LIEN DISTRIBUÉ: TrkWksC:\WINDOWS\system32\svchost.exe -k netsvcs GESTIONNAIRE DE TÉLÉCHARGEMENT: uploadmgrC:\WINDOWS\System32\svchost.exe -k netsvcs HORLOGE WINDOWS: W32TimeC:\WINDOWS\System32\svchost.exe -k netsvcs INFRASTRUCTURE DE GESTION WINDOWS: winmgmtC:\WINDOWS\system32\svchost.exe -k netsvcs MISES À JOUR AUTOMATIQUES: wuauservC:\WINDOWS\system32\svchost.exe -k netsvcs CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVCC:\WINDOWS\System32\svchost.exe -k netsvcs SYMANTEC EVENT MANAGER: ccEvtMgr"C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe" CLIENT DNS: DnscacheC:\WINDOWS\System32\svchost.exe -k NetworkService JOURNAL DES ÉVÉNEMENTS: EventlogC:\WINDOWS\system32\services.exe PLUG-AND-PLAY: PlugPlayC:\WINDOWS\system32\services.exe HP CONFIGURATION INTERFACE SERVICE: HPConfigC:\WINDOWS\system32\HPConfig.exe HPWIRELESSMGR: HPWirelessMgrC:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe ASSISTANCE TCP/IP NETBIOS: LmHostsC:\WINDOWS\System32\svchost.exe -k LocalService ACCÈS À DISTANCE AU REGISTRE: RemoteRegistryC:\WINDOWS\system32\svchost.exe -k LocalService SERVICE DE DÉCOUVERTES SSDP: SSDPSRVC:\WINDOWS\System32\svchost.exe -k LocalService WEBCLIENT: WebClientC:\WINDOWS\System32\svchost.exe -k LocalService SERVICE NORTON ANTIVIRUS AUTO-PROTECT: navapsvc"C:\Program Files\Norton AntiVirus
avapsvc.exe" REMOTE PROCEDURE CALL (RPC) HELPER: O?’ŽrtñåÈ²$ÓC:\WINDOWS
etea.dll:goafs /s SERVICES IPSEC: PolicyAgentC:\WINDOWS\System32\lsass.exe EMPLACEMENT PROTÉGÉ: ProtectedStorageC:\WINDOWS\system32\lsass.exe GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSsC:\WINDOWS\system32\lsass.exe APPEL DE PROCÉDURE DISTANTE (RPC): RpcSsC:\WINDOWS\system32\svchost -k rpcss SPOULEUR D'IMPRESSION: SpoolerC:\WINDOWS\system32\spoolsv.exe WINDOWS USER MODE DRIVER FRAMEWORK: UMWdfC:\WINDOWS\System32\wdfmgr.exe

balltrap34 · Answer

rebingoimprime pour ne rien oublier et respecte l ordredemarre en mode sans echecvas dans panneau de configuration/outil d administration/servicescherche REMOTE PROCEDURE CALL (RPC) HELPERdesactive se service et met le sur arreterrelance hj et coche et fix les lignesR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\wihfc.dll/sp.html#29126 O2 - BHO: (no name) - {D4B62290-D1BC-E419-EF26-71766EF1A30E} - C:\WINDOWS\addww.dll O4 - HKLM\..\Run: [winom.exe] C:\WINDOWS\system32\winom.exe O4 - HKLM\..\RunOnce: [vedyj] C:\WINDOWS\QIII.INI:vedyj O4 - HKLM\..\RunOnce: [ulkre] C:\WINDOWS\mfcvt32.exe.bak:ulkre recherche ceci et supprimmeC:\WINDOWS
etea.dll:goafs /s C:\WINDOWS
etea.dllC:\WINDOWS\mfcvt32.exeC:\WINDOWS\system32\winom.exe C:\WINDOWS\QIII.INIainsi que tous ce que ta mis jesspasse "CWshredder"et passe aussi adaware en sans echec si tu peutsi tu peut pas passe le en mode normalla chasse et le balltrap ma vrai passionvoir site perso dans profil

Lezard · Answer

oké merci. ce que tu propose à l'air d'être une solution pour virer ce foutu netea.dll:goafs :)

j'testerai demain. j'ai pa le 'temps là. j'espere juste ke le mode sans échec plantera pas comme la derniere fois (jai jamais démarré en mode sans échec sur mon ordi portable depuis un an). la derniere foi tt se lancé, ca chargeait les parametres vitaux, puis paf écran noir avec un signe underscore ("_") ki clignote.

Lezard · Answer

fo ke jvire iers32.dll aussi nan ?

Lezard · Answer

cé bon pour iers32.dll j'ai ma réponse => DELETE

Utilisateur anonyme · Answer

salut lezard oui je confirme tu peu le supprimé ;-) @++++

Lezard · Answer

Yeah :D

j'ai l'impression que je suis débarassé de toute la merde ^^

j'ai réussi à aller en mode sans échec cette fois ci.
j'ai pas U bsoin de désactiver le service : en mode sans échec ils sont inopérant.

j'ai lancé hijack et fixé.
j'ai fait du cwshredder
j'ai fait du about buster
j'ai fait du spybot + vaccinnation
j'ai fait du adaware

ils m'ont tous trouver quelque chose, et on tous détruit :)

merci bcp les gars :)

balltrap34 · Answer

salut
si tu ne fait pas exactement ce que je t ai mis cela vas revenir fait comme tu veut mais je pense que tu ne vas pas tarder a revenir nous voir

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Lezard · Answer

bah si j'ai fait ce ke tu m'a dis. j'ai virer tout ca.Bon maintenant fo ke je trouv le moyen de me connecter à hotmail.com avec Iexplorer ... ya un parametre de sécurité que je trouv po (je met tt par défo ca fé pareil) et ki fait que je bloque à l'authentification .... (cé un K isolé).

balltrap34 · Answer

re il faut faire se que j ai mis au n°14 dans l ordre et desactiver le services que je t ai marquer en mode normal imperatifla chasse et le balltrap ma vrai passionvoir site perso dans profil

Malware, data miner ... tjrs et encore !

22 réponses

Votre réponse

Discussions similaires

Newsletters