spy ou du meme genre avec autosearchFermé

Question

bonjour, j'ai moi aussi chopé une cochonnerie, et j'ai tout tenté pour le virer : ad-aware, spyware doctor, hijack this, j'ai beau supprimer les données en question, au reboot ca se reinstalle je ne sais pas comment.ca commence franchement à m'ennerver. J'ai aussi downloadé l'add on pour ad aware (VX2 cleaner) qui ne m'a rien trouvé. Et j'ai toujours de fichu popup indésirables.Voici le log de hijack this :Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Common Files\Symantec Shared\ccSetMgr.exeC:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32undll32.exeC:\WINDOWS\System32\CTSvcCDA.EXEC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\Program Files\borland\interbase\Bin\IBGuard.EXEC:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\MsPMSPSv.exeC:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exeC:\Program Files\Microsoft IntelliType Pro	ype32.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\WINDOWS\anvshell.exeC:\Program Files\Common Files\Symantec Shared\ccApp.exeC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\Program Files\SOUNDGRAPH\iMON\iMON.exeC:\Program Files\Microsoft ActiveSync\WCESCOMM.EXEC:\Program Files\Plaxo\2.0.3.16\InstallStub.exeC:\Program Files\borland\interbase\Bin\IBServer.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Spyware Doctor\swdoctor.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXEC:\Documents and Settings\Elise\Desktop\HijackThis.exeC:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htmR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 69.20.16.183 auto.search.msn.comO1 - Hosts: 69.20.16.183 search.netscape.comO1 - Hosts: 69.20.16.183 ieautosearchO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exeO4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exeO4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro	ype32.exe"O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [anvshell] anvshell.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXEO4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exeO4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exeO4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -aO4 - HKCU\..\Run: [RssReader] C:\Program Files\RssReader\RssReader.exeO4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /QO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Startup: PC Atomic Sync.lnk = C:\Program Files\BrigSoft\BSAtomic\BSAtomic.exeO4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)O9 - Extra button: Research (HKLM)O9 - Extra button: MoneySide (HKLM)O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dllO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO15 - Trusted Zone: http://www.suprnova.orgO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cabO16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabsi vous avez des conseils je serai grandement reconnaissante, je ne sais plus quoi faire, meme après avoir consulté google et forums sur forums.Merci

elise · Answer

les données en question que j'ai supprmées et qui reviennent tout le temps sont :

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

dans mon fichier host... j'edite le fichier à la main aussi, et juste après c'est remis je ne sais comment.

gbinforme · Answer

bonsoirpour enlever tes espions je te propose ceci :http://europe.branchez-vous.com/Europe/logiciel/04-10/08-312101.htmlen espérant que cela soit efficace,tiens nos au courant.toujours zen

elise · Answer

de ce que j'ai pu comprendre en passant des heures à tenter de le virer, c'est un adware qui a du corrompre une de mes dll pour le moment je n'ai pas pu trouver laquelle, et qui dès que je modifie mon fichier hosts (ou meme le supprime) le recrée desuite après, en mode sans echec il ne fait rien par contre des que j'ouvre une session en mode normal sous mon compte il est lancé

il m'a copié toute une liste dans le hosts :

127.0.0.1 www.igetnet.com
127.0.0.1 code.ignphrases.com
127.0.0.1 clear-search.com
127.0.0.1 r1.clrsch.com
127.0.0.1 sds.clrsch.com
127.0.0.1 status.clrsch.com
127.0.0.1 www.clrsch.com
127.0.0.1 clr-sch.com
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch
69.20.16.183 ieautosearch

résultat j'ai encore plein de popups, qui se lancent toutes seules meme malgré mon anti popup

gbinforme · Answer

bonjour,

"c'est un adware"

entièrement d'accord et c'est pour cela que je te dis
de télécharger le petit programme CWShredder™ Version 2.0
à cette adresse :
http://www.intermute.com/spysubtract/cwshredder_download.html

puis de le lancer selon la procédure donnée ici

http://europe.branchez-vous.com/Europe/logiciel/04-10/08-312101.html

et il devrait te corriger définitivement ton problème.

toujours zen

elise · Answer

j'ai installé et lancé le soft en question, cliqué sur "fix" mais rien n'a faire ca n'a pas résolu le pb voici le log en question après fix :
**** Run Keys ****

RUN: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
RUN: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
RUN: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
RUN: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
RUN: [anvshell] anvshell.exe
RUN: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
RUN: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
RUN: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
RUN: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
RUN: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
RUN: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
RUN: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
RUN: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
RUN: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -a
RUN: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
RUN: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

**** Browser Helper Objects ****

**** IE Toolbars ****

TOOLBAR: [Norton AntiVirus] C:\Program Files\Norton AntiVirus\NavShExt.dll
TOOLBAR: [&Google] c:\program files\google\googletoolbar2.dll
TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx

**** IE Extensions ****

IEExt: []
IEExt: [Créer un Favori de l'appareil mobile]
IEExt: [Créer un Favori de l'appareil mobile]
IEExt: [Research]
IEExt: [MoneySide]

**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 www.igetnet.com
HOSTS: 127.0.0.1 code.ignphrases.com
HOSTS: 127.0.0.1 clear-search.com
HOSTS: 127.0.0.1 r1.clrsch.com
HOSTS: 127.0.0.1 sds.clrsch.com
HOSTS: 127.0.0.1 status.clrsch.com
HOSTS: 127.0.0.1 www.clrsch.com
HOSTS: 127.0.0.1 clr-sch.com
HOSTS: 127.0.0.1 sds-qckads.com
HOSTS: 127.0.0.1 status.qckads.com
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 auto.search.msn.com
HOSTS: 69.20.16.183 search.netscape.com
HOSTS: 69.20.16.183 ieautosearch
HOSTS: 69.20.16.183 ieautosearch

**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\SYSTEM32\blank.htm
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

**** IE Context Menu (Right click) ****

IEContext: [&Google Search] res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IEContext: [E&xport to Microsoft Excel] res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IEContext: [Pages liées] res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IEContext: [Pages similaires] res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IEContext: [Version de la page actuelle disponible dans le cache Google] res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CFEC5A2F-3B40-4CCC-883F-7BCBDAE9C9F4}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CFEC5A2F-3B40-4CCC-883F-7BCBDAE9C9F4}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{75C85DA3-692E-4063-8415-758679EF3341}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{75C85DA3-692E-4063-8415-758679EF3341}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D9BC88C5-D747-4240-9116-C7A5B82BA9BF}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D9BC88C5-D747-4240-9116-C7A5B82BA9BF}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{27B832C8-2C8C-44E9-B1FF-BA317D253AED}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{27B832C8-2C8C-44E9-B1FF-BA317D253AED}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7CA49FE1-E126-4874-9405-5FAC8DCA8DA5}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7CA49FE1-E126-4874-9405-5FAC8DCA8DA5}] DATAGRAM 4

**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No

**** Downloaded Program Files ****

{166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]

**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com
SEARCH: [CustomizeSearch] http://ie.search.msn.com

BrunoBll · Answer

Bonjour,
Il y a quelques temps j'ai eu un soucis plus ou moins équivalent, j' ai fini par le nettoyer à la main dans la base de registre.
J'avais remarqué une clé bizarre :
HKEY_LOCAL_MACHINE\software\microsoft\windows\run : clé "sys" valeur "regedit -s sys.reg"

Ce fichier modifiait à chaque démarrage la base de registre pour réinstaller les différentes pages. En supprimant cette clé et le fichier Sys.reg j'ai réglé le problème. Je ne sais pas si cela règlera vos problèmes.
Cordialement
P.S. :
Extrait du fichier en question :
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start
Page"="http://%62%6B%74%78%74%62%2E%74%2E%6D%75%78%61%2E%63%63/%68%2E%70%68%
70?%61%69%64=227"
"HOMEOldSP"="http://%62%6B%74%78%74%62%2E%74%2E%6D%75%78%61%2E%63%63/%68%2E%
70%68%70?%61%69%64=227"
"Search

etc.....

elise · Answer

y aurai pas un tool qui permettrait de savoir quel process ecrit ou touche un fichier ?

gbinforme · Answer

bonsoir

pour suivre l'idée de BrunoBll,
essaie de chercher si tu trouves des fichiers .reg
qui permettent de mettre à jour le registre
car pour toi c'est peut-être autre chose que sys.reg

toujours zen

elise · Answer

oui j'y avais pensé et j'ai regardé, rien de tel nulle part :(

bernie61 · Answer

salut élise
voilà résultat
Relances HijackThis et cocher toutes ces lignes, puis FIX :
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll

A vérifier celui là est-ce toi qui a placé :
O9 - Extra button: MoneySide (HKLM)
O15 - Trusted Zone: http://www.suprnova.org
Si non alors coche puis FIX

a+

elise · Answer

merci bcp pour ta réponse.j'ai fait comme tu m'as dit, et pour Unknown file in Winsock LSP ne voulant pas me le supprimer j'ai utilisé LSPFix et ca n'a corrigé le pb, par contre mon fichier hosts lui reste tjrs modifié meme si je supprme les lignes.Voici le resultat après fix de ce  que tu m'as dit :Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Common Files\Symantec Shared\ccSetMgr.exeC:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\CTSvcCDA.EXEC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\Program Files\borland\interbase\Bin\IBGuard.EXEC:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\WINDOWS\System32
vsvc32.exeC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\System32\MsPMSPSv.exeC:\Program Files\borland\interbase\Bin\IBServer.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exeC:\Program Files\Microsoft IntelliType Pro	ype32.exeC:\Program Files\Microsoft IntelliPoint\point32.exeC:\WINDOWS\anvshell.exeC:\Program Files\Common Files\Symantec Shared\ccApp.exeC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\Program Files\SOUNDGRAPH\iMON\iMON.exeC:\Program Files\Microsoft ActiveSync\WCESCOMM.EXEC:\Program Files\Plaxo\2.0.3.16\InstallStub.exeC:\Program Files\Spyware Doctor\swdoctor.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\HJT\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 69.20.16.183 auto.search.msn.comO1 - Hosts: 69.20.16.183 search.netscape.comO1 - Hosts: 69.20.16.183 ieautosearchO1 - Hosts: 69.20.16.183 ieautosearchO1 - Hosts: 69.20.16.183 ieautosearchO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exeO4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro	ype32.exe"O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initializeO4 - HKLM\..\Run: [anvshell] anvshell.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exeO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exeO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exeO4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXEO4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStartO4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -aO4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /QO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Startup: PC Atomic Sync.lnk = C:\Program Files\BrigSoft\BSAtomic\BSAtomic.exeO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)O9 - Extra button: Research (HKLM)O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO15 - Trusted Zone: http://www.suprnova.orgO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

gbinforme · Answer

bonjour

il reste encore ceci à supprimer :

O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

et

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch

essaye de les "fixer" en mode sans echec si cela ne marche pas
en mode normal.

toujours zen

elise · Answer

oui je sais, j'aimerai bien mais à chaque fois que je les supprime, comme j'expliquais plus haut, ils sont aussi tot remis par je ne sais quoi, meme quand j'edite le fichier hosts à la main, je vire, je sauve, et ca revient dans la secondes d'apres. j'ai meme essayé de supprimer le fichier hosts pour voir ce que ca donne, l'adware me le recrée derriere...

bernie61 · Answer

salut
tout vient de ton pgm MESSENGER PLUS
tu fais donc
Démarrer/panneauConfig/ajoutSuppressionProgramme
et là tu supprime ce pgm

tu redémarres ensuite
refais un HijackThis pour contrôle

si plus rien installe Messenger 6.2 ou alors Messenger Plus mais en REFUSANT de recevoir d'autres info ou pub... lis bien tout dans l'installation de messenger Plus pour pas accepter n'importe quoi
a+

elise · Answer

messenger plus je l'ai installé y a des mois en ne cochant pas les programmes "conseillés" justement. ce adware lui a fait surface samedi suite à un jeu flash.
et je n'ai pas mis à jour messenger plus depuis que je l'ai installé, donc comment pourrait il etre la source de ce pb ?

bernie61 · Answer

repour vérifier si c'est ça ou autre chose, désinstalle tu check puis tu pourras tjs réinstallera+

Utilisateur anonyme · Answer

bonsoir,

non, ça ne vient pas de Messenger+
sans vouloir te décourager c'est le 4ème post (3 sur des forums français dont toi et 1 post sur un forum allemand) tout le monde se casse les dents dessus , toujours le même problème de ce fichier hosts insupprimable, qui revient à chaque reboot, ça doit être un nouveau spy non reconnu pour le moment des logiciels anti-spys

1 popup qui s'ouvre sans arrêt
du genre url xxxx 69.20.16 .yyy6.html

aucune solution trouvée.......

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

elise · Answer

merci dolly.dagger, j'ai vu ca oui sur d'autres forums, j'ai quand meme posté espérant trouver une solution mais les gars qui ont codé ça, c'est à devenir fou, j'ai passé des heures sur ma machine un peu partout à trouver qui surveillait le fichier hosts dns les processus, fouillé partout, rien trouvé snifff...
tu dois avoir raison

elise · Answer

bon ben en tout cas faites attention aux popups dans les jeux flash faite pas comme moi ;)

Utilisateur anonyme · Answer

je te donne les forums, mais bon.... un gars a formaté après 5 jours de galère et d'aides diverses

http://forum.hardware.fr/hardwarefr/WindowsSoftwareReseaux/Spyware-yyy6-html-Fenetres-IE-s-ouvrant-seules-sur-des-pages-de-pub--sujet-190920-1.htm
http://forum.hardware.fr/hardwarefr/WindowsSoftwareReseaux/HELP-spyware-de-malade--sujet-191374-1.htm

le forum allemand :
http://board.protecus.de/board.php?boardid=7
post --->: ht**://69.20.56.3/yyy6.htm <- diese seite kommt bei mir immer raus.

*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*

bernie61 · Answer

REas-on essayéDémarrer/panneauConfig/OptionInternet/ onglet sécurité  /Site Sensible et là ajouter le N° IP  69.20.16.183  dans la listea+

bernie61 · Answer

saluten essayant un ping sur l'IP (avec 3Dtraceur)j'ai abouti à cette adresse www.fedora.nictechnetworks.com  ??? connexion impossible j'ai été redirigé vers ceci, à essayerhttp://www.look2me.com/cgi-bin/UnInstallervoilà le fichier se charge sans pbm, à voir donca+

gbinforme · Answer

bonsoirpeu de possibilités de ce coté là "onglet sécurité /Site Sensible"...il faudrait connaitre la fonction qui est infectéeet qui supprime instantanément les corrections.le gas qui a écrit cette cochonnerie doit bien se marreren lisant les forums !toujours zen

bernie61 · Answer

re salutsi l'uninstalle donné post 24 ne fonctionne pasaller dans system32 et là un à un vérifier les propiétés des fichiers : commence avec les extensions d.lla+

jp2000 · Answer

j'ai le même problème, ouverture fenêtres aléatoires qui proposent des produits anti spywares et d'autres que XP bloque.J'ai observé le fichier HOST qui change tout seul mais il y a aussi RUNDLL32 et EXPLORER qui reviennent tous seuls si on les efface...c'est fort quand même. J'ai essayé de remettre des fichiers originaux mais ils se remodifient.J'ai également remarqué qu'un répertoire de points de restauration était devenu une base pour ce virus. il a créé un fichier "change" qui semble noter tout ce qui se passe. On ne peut pas le supprimer et si on supprime tout le reste du répertoire, les fichiers reviennent de plus belle 2 mn plus tard...Help !!!

gbinforme · Answer

bonsoirquel est ton parefeu ?quel est ton antivirus ?quelle est ta version windows ?as-tu passé hijackthis ?depuis quand as-tu ce phénomène ?après quelle visite de site as-tu diagnostiqué ?ceci dit, j'ai l'impression que c'est un méchant .toujours zen

elise · Answer

c'est etrange, j'ai testé le lien que tu m'as donné, il semble ne pas fonctionner, pourtant il est cité un peu partout sur google, peut etre qu'il est temporairement down..

elise · Answer

j'ai trouvé, fallait virer les www :)

Utilisateur anonyme · Answer

virer les www?   d'où? svp*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

elise · Answer

de l'url : http://igetnet.com/downloads/NLNuninstall.exe bon par contre mon NAV ne m'a rien trouvé meme après mise à jour. je retesterai le NLuninstall apres un reboot en mode sans echec

bernie61 · Answer

salutavais-tu essayéhttp://www.look2me.com/cgi-bin/UnInstaller(voir post 24 ci dessus)a+

elise · Answer

oui biensur, je veux tellement me débarrasser de cette m...mais ca n'avait pas marché

jp2000 · Answer

toujours le même pb.J'ai une creation d'un repertoire qui est c:\prg files\SEDce repertoire SED n'est pas supprimable ; il doit contenir un fichier caché.Mais ils font quoi les developpeurs de logiciels anti virus..???

elise · Answer

SED par contre lui j'ai reussit à le virer (en mode sans echec, un coup d'ad aware, de norton et puis supression des fichiers à la main)

jp2000 · Answer

SED revient toujours aussi. Il faudrait vraiment trouver la source qui regenere tous les fichiers supprimés. Quand SPYBOT crée un point de restaur, le repertoire devient une base ou  l'on voit apparaître des raccourcis vers des repertoires divers des disques presents et des fichiers...je ne sais pas a quoi cela correspond...Merci

bernie61 · Answer

salutessaie un scan spy  là (avec activeX !!!)http://download.zonelabs.com/bin/promotions/spywaredetector/offer2.htmla+

bernie61 · Answer

resuite et là aussihttp://www.pestscan.com/ScanOrTrial.asptu notes toutes clefs trouvées et tu vas effacer avec REGEDIT(? je suppose tu sais quoi sinon info làhttp://www.vulgarisation-informatique.com/dossier_14.phpa+

jp2000 · Answer

J'ai tout effacé : le repertoire SED, les fichiers planqués dans la sauvegarde, les cles de registre, explorer.exe, userinit.eexe, rundll32,. Je l'ai fait depuis un deuxieme disque qui boote separement mais tout revient, SED, le repertoire de sauvegarde est restauré, etc...Le formatage ???

bernie61 · Answer

re salutprend ton temps et passe en revues toutes les lignes des répertoires suivants: vérifier si dans les lignes suivantes il n’y a pas de pgm suspect :HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Runet là à droite lire pgm installés et idem suivantHKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\RunOnce > VIDEHKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\RunOnceEx >VIDEHKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\WinLogonHKEY_CURRENT_USER\Software\ microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\ microsoft\Windows\CurrentVersion\RunOnce  >VIDEHKEY_CURRENT_USER\Software\ microsoft\Windows\CurrentVersion\RunServices  > VIDEHKEY_CURRENT_USER\.Default\ microsoft\WindowsNT\CurrentVersion\WindowsHKEY_LOCAL_MACHINE\SYSTEM\CurrentContrelSet\Control\sessionManager\SubSystemsHKEY_LOCAL_MACHINE\SYSTEM\CurrentContrelSet\Services\EventLogon\Applications\WinLogonen cas de doute met nous le nom icia+

un utilisateur qui en a marre des spy et autres merdes du genre · Answer

bonjours , merci , svpje crois que c avec spybot paske c depuis ke je l'est installé (un comble quand même)ou alors c'est l'antivirus gratuit de chez grisoft

gbinforme · Answer

bonjour elisej'aimerai que tu essaie de télécharger ces 2 petits programmes :-  VX2Finder(126) :choisi la bonne version pour ton système- CWS HiddenDLLFinder  (DllCompare.exe)sur ce site : http://download.broadbandmedic.com/ensuite, tu lancesVX2Finder(126)puis "click to find..."puis "make log" ensuite et tu postes le résultat.tu lances "DllCompare.exe"puis "run locate"puis "compare"puis "make a log..."puis "ok" ensuite et tu postes le résultat avec le précédant.cela devrait peut-être nous permettre de réparer ...j'ai gros espoir, et si d'autres sont concernés ... !toujours zen

balltrap34 · Answer

salutgrinforme je cois que tu essaie une partie de la soluce mis sur le site anglo saxonenesperent que cela soient suffissantla chasse et le balltrap ma vrai passionvoir site perso dans profil

gbinforme · Answer

bonsoirDésolé mais personne ne veut de solutions,au moment où je pensais avoir trouvé les programmespour localiser cette malveillance...Pour pouvoir 'chasser' ces intrus,on attendra donc le retour  d'elise !toujours zen

itsme · Answer

Bon alors j'ai le même problème. Mais perso je n'ai pas le répertoire SED car je l'ai aisément supprimé.Par contre j'ai remarqué que dans le dossier System32, il y a des DLL inhabituels qui font tous 219, 220 ou 221 ko et qui ont un nom aléatoire fait de nomre et de chiffres (ex: mv2ml9f11.dll , p6p60g7se6.dll, k6pmlg7116.dll , ilsutil.dll ...)Ces DLL sont insupprimables et ne sont pas en cause d'après Antivir, Spybot, Ad-aware et A².A noter que depuis que ces DLL sont apparus, est apparu aussi un fichier (IPINC.INC) qui ne contient que des adresses IP. Et bien évidement quand je le supprime ... il revient. Comme pour les autres quand je fais un Hijackthis j'ai les mêmes lignes qui reviennet immédiatement après les avoir supprimé.J'aurais bien voulu tester la solution de gbinforme mais son lien n'existe plus. :'(

itsme · Answer

J'ai trouvé les programmes sur un autre site et je les ai lancé. Voici donc le résultat :Log de VX2Finder :Log for VX2.BetterInternet File Finder (ALL)Files Found--- Additional Files--- Keys Under Notify---BITScrypt32chaincryptnetcscdllScCertPropSchedulesclgntfySensLogntermsrvwlballoonGuardian Key--- is called: Guardian Key--- : User Agent String---{34A35FCA-16D8-4938-AD45-81AFE4F6F345} Et voici le log de Dllcompare*    DLLCompare Log version(1.0.0.127)Files Found that Windows does not See or cannot Access*Not everything listed here means you are infected!________________________________________________C:\WINDOWS\SYSTEM32\ilsutil.dll    Fri 17 Dec 2004  10:44:58   ..S.R        223 550   218,31 KC:\WINDOWS\SYSTEM32\k6pmlg~1.dll   Fri 17 Dec 2004   9:04:58   ..S.R        223 761   218,52 KC:\WINDOWS\SYSTEM32\logm.dll       Mon 26 Jul 2004  22:16:52   A...R         57 344    56,00 KC:\WINDOWS\SYSTEM32\mv2ml9~1.dll   Fri 17 Dec 2004  10:44:58   ..S.R        224 679   219,41 KC:\WINDOWS\SYSTEM32\p6p60g~1.dll   Fri 17 Dec 2004   9:59:26   ..S.R        223 550   218,31 KC:\WINDOWS\SYSTEM32\unrar.dll      Tue 18 Jul 2000   2:51:00   A.S..         53 248    52,00 KC:\WINDOWS\SYSTEM32\vb6stkit.dll   Thu 25 Mar 1999  23:00:00   A.S..        101 888    99,50 K________________________________________________1 347 items found:  1 347 files (6 H/S), 0 directories.Total of file sizes:  270 278 347 bytes    257,75 MAdministrator Account =  Vrai--------------------End log---------------------

gbinforme · Answer

bonjourmerci pour les logs.tu les notes bien (imprime) et tu démarre mode sans échec (F8)tu supprimes les dll pourries :C:\WINDOWS\SYSTEM32\ilsutil.dll    Fri 17 Dec 2004  10:44:58   ..S.R        223 550   218,31 KC:\WINDOWS\SYSTEM32\k6pmlg~1.dll   Fri 17 Dec 2004   9:04:58   ..S.R        223 761   218,52 KC:\WINDOWS\SYSTEM32\mv2ml9~1.dll   Fri 17 Dec 2004  10:44:58   ..S.R        224 679   219,41 KC:\WINDOWS\SYSTEM32\p6p60g~1.dll   Fri 17 Dec 2004   9:59:26   ..S.R        223 550   218,31 Ktu lances  regedit (éditeur registre)et tu recherche les clefs (sans les ") :"34A35FCA-16D8-4938-AD45-81AFE4F6F345"et tu supprimes les entrées concernées.ensuite tu peux relancer tes 2 programmespour voir si c'est correct.puis tu lances  hijackthis et tu fixes les lignes concernées.après, redémarre "normal" et tiens nous au courant !toujours zen

fanto · Answer

Bonsoir à tous,Trouvé dans un forum cela est peut-être intéressantBonjour, j'ai déjà été contaminé par plusieurs spywares. Un jour je suis tombé sur un logiciel de Webroot; c'est fou toutes les saloperies qu'il a dénichées. Tu peux installer sans frais l'outil en question pour une utilisation d'essai pour 30 jours; pas de problèmes à utiliser, même s'il est en anglais...il est très efficace.Voici le lien, tu n'as qu'à cliquer sur Spy sweeper dans"try it" Bonne chancehttp://www.webroot.com/downloads/A tchao

itsme · Answer

J'ai du faire une erreur de manip. Mon message (le <54> s'est mis entre le <52> et le <53>

gbinforme · Answer

bonsoirnon pas d'erreur mais lorsque tu m'as répondud'autres messages étaient postés.il faut absolument faire F8 au démarragepour démarrer sans échec sinon la " bête"  tient la machine !toujours zen

itsme · Answer

Il refuse aussi de les supprimer en mode sans échec :(

balltrap34 · Answer

salututilise cecitelecharge ceci et utilise lePocket Kill Box :   http://download.broadbandmedic.com/KillBox.exe     (ici)               http://pageperso.aol.fr/balltrap34/page%20virus.htm -Ouvre le  -Selectionne le fichier à supprimer, ou copier coller clik sur la croix blanche  reponds "oui"  -Vide la corbeille.Submit dossier de backup supprime le c :submitla chasse et le balltrap ma vrai passionvoir site perso dans profil

gbinforme · Answer

bonsoirquel est le motif de refus ?ils sont peut-être en lecture seule.dans ce cas faire :clic droit "propriétés"et décocher  "lecture seule"toujours zen

itsme · Answer

il refuse de les supprimer car il me met : "Impossible de supprimer ....... : Cette ressource est utilisée par une autre personne ou un autre programme.Fermez les programmes susceptibles d'utiliser le fichier et essayez à nouveau"

itsme · Answer

Alors j'ai essayé le prog de Balltrap34et quand il a essayé de supprimer le fichier il explorer s'est fermé puis rouvert ... puis fermé puis rouvert ... puis fermé puis rouvert et là il m'a mis: "This file could not be deleted"

gbinforme · Answer

bonjourok ce malpropre se lance même en mode sans echec.essaie donc de nettoyer le registre,de "fixer" avec hijackthis les lignes concernées,puis redémarre mode sans echec et essaie de supprimer les fichiers.bon courage !toujours zen

gbinforme · Answer

bonsoirpour éviter que tes fichiers soient bloqués télécharge :http://www.gibinsoft.net/gipoutils/bin/moveonb.exetu marques tes dll à supprimer et tu redemarre pour supprimer.toujours zen

itsme · Answer

Alors le problème avec hijackthis c'est qu'il ne fixe pas les lignes en queston. Il suffit de le repasser dès qu'on a supprié les lignes pour qu'elles soient à nouveau là.Sinon avec le dernier logiciel, j'ai sélectionné les DLL mais il ne me les a pas supprimé. Enfin quelques uns mais pas tous ... et au redémarrage de nouveaux sont apparus. Toujours des noms formés au hasard et faisant 220ko environ.Je commence à désespérer. Ca ne marcherait pas si je démarrais sous DOS et que je les supprimais manuellement?

balltrap34 · Answer

refait ceci pour voirdllfix                    http://pageperso.aol.fr/balltrap34/page%20virus.htm -Pose-le sur le bureau. -Double-clique. -Décompresse-le sur le bureau. -Double-clique "Start.bat" et choisis l'option 1 pour le rapport. -Une fois la recherche terminée, un fichier txt doit apparaître sous le nom "Output.txt" et sera sauvegardé dans le dossier. -Copie/colle le contenu de "Output.txt" dans ta réponse.---------Voir les servicesTélécharger ce petit programme qui nous donnera la liste des services :   http://pageperso.aol.fr/balltrap34/page%20virus.htmLe poser sur le bureau. Le lancer. Copier/coller le fichier texte qui apparaît.la chasse et le balltrap ma vrai passionvoir site perso dans profil

itsme · Answer

Voici le log du petit programme de balltrap:--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==-- --==***@@@ ORIGINAL BY FREEATLAST           @@@***==--  20/12/2004 10:23 System Info: Microsoft Windows XP [version 5.1.2600]H: "" (94CD:80F9) - FS:NTFS clusters:4kTotal: 10 750 406 656 [10G] - Free: 10 678 235 136 [10G]   *IE version and Service packs:              6.0.2800.1106  C:\Program Files\Internet Explorer\Iexplore.exe *Notepad version :                 5.1.2600.0  C:\WINDOWS
otepad.exe *Media Player version :                 9.0.0.2980  C:\Program Files\Windows Media Player\wmplayer.exe! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings    MinorVersion	REG_SZ	;SP1;Q867801;  Locked or 'Suspect' file(s) found... These may be other files that Dllfix doesnt target. \?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error\?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error  Scanning for main Hijacker:   REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"AppInit_DLLs"="""DeviceNotSelectedTimeout"="15""GDIProcessHandleQuota"=dword:00002710"Spooler"="yes""swapdisk"="""TransmissionRetryTimeout"="90""USERProcessHandleQuota"=dword:00002710REGEDIT4[HKEY_CLASSES_ROOT\PROTOCOLS\Filter][HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]@="AP Class Install Handler filter""CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]@="AP Deflate Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]@="AP GZIP Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]@="AP lzdhtml encoding/decoding Filter""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/html]"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/plain]"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/webviewhtml]@="WebView MIME Filter""CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows    AppInit_Dlls	REG_SZ	*Security settings for 'Windows' key:  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:(NI)    ALLOW  Read        	BUILTIN\Utilisateurs(IO)    ALLOW  Read        	BUILTIN\Utilisateurs(NI)    ALLOW  Read        	BUILTIN\Utilisateurs avec pouvoir(IO)    ALLOW  Read        	BUILTIN\Utilisateurs avec pouvoir(NI)    ALLOW  Full access 	BUILTIN\Administrateurs(IO)    ALLOW  Full access 	BUILTIN\Administrateurs(NI)    ALLOW  Full access 	AUTORITE NT\SYSTEM(IO)    ALLOW  Full access 	AUTORITE NT\SYSTEM(NI)    ALLOW  Full access 	BUILTIN\Administrateurs(IO)    ALLOW  Full access 	CREATEUR PROPRIETAIREEffective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:Read          	BUILTIN\UtilisateursRead          	BUILTIN\Utilisateurs avec pouvoirFull access   	BUILTIN\AdministrateursFull access   	AUTORITE NT\SYSTEM--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==-- --==***@@@ ORIGINAL BY FREEATLAST           @@@***==--  20/12/2004 10:23 System Info: Microsoft Windows XP [version 5.1.2600]H: "" (94CD:80F9) - FS:NTFS clusters:4kTotal: 10 750 406 656 [10G] - Free: 10 678 235 136 [10G]   *IE version and Service packs:              6.0.2800.1106  C:\Program Files\Internet Explorer\Iexplore.exe *Notepad version :                 5.1.2600.0  C:\WINDOWS
otepad.exe *Media Player version :                 9.0.0.2980  C:\Program Files\Windows Media Player\wmplayer.exe! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings    MinorVersion	REG_SZ	;SP1;Q867801;  Locked or 'Suspect' file(s) found... These may be other files that Dllfix doesnt target. \?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error\?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error  Scanning for main Hijacker:   REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]"AppInit_DLLs"="""DeviceNotSelectedTimeout"="15""GDIProcessHandleQuota"=dword:00002710"Spooler"="yes""swapdisk"="""TransmissionRetryTimeout"="90""USERProcessHandleQuota"=dword:00002710REGEDIT4[HKEY_CLASSES_ROOT\PROTOCOLS\Filter][HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]@="AP Class Install Handler filter""CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]@="AP Deflate Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]@="AP GZIP Encoding/Decoding Filter ""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]@="AP lzdhtml encoding/decoding Filter""CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/html]"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/plain]"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"[HKEY_CLASSES_ROOT\PROTOCOLS\Filter	ext/webviewhtml]@="WebView MIME Filter""CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"! REG.EXE VERSION 2.0HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows    AppInit_Dlls	REG_SZ	*Security settings for 'Windows' key:  RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and aboveCopyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)This program is Freeware, use it on your own risk!Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:(NI)    ALLOW  Read        	BUILTIN\Utilisateurs(IO)    ALLOW  Read        	BUILTIN\Utilisateurs(NI)    ALLOW  Read        	BUILTIN\Utilisateurs avec pouvoir(IO)    ALLOW  Read        	BUILTIN\Utilisateurs avec pouvoir(NI)    ALLOW  Full access 	BUILTIN\Administrateurs(IO)    ALLOW  Full access 	BUILTIN\Administrateurs(NI)    ALLOW  Full access 	AUTORITE NT\SYSTEM(IO)    ALLOW  Full access 	AUTORITE NT\SYSTEM(NI)    ALLOW  Full access 	BUILTIN\Administrateurs(IO)    ALLOW  Full access 	CREATEUR PROPRIETAIREEffective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:Read          	BUILTIN\UtilisateursRead          	BUILTIN\Utilisateurs avec pouvoirFull access   	BUILTIN\AdministrateursFull access   	AUTORITE NT\SYSTEMSinon j'ai aussi suppimé la clé dans la base de registre. Que dois-je faire ensuite ?

gbinforme · Answer

bonjourmaintenant il faut fixer les lignes incorrectes avec hijackthiset poster le log pour voir ce qui reste.bon courage !toujours zen

gbinforme · Answer

bonjourbien sûr ce serais bien de repasser les programmes :ensuite, tu lances VX2Finder(126)puis "click to find..."puis "make log"ensuite et tu postes le résultat.tu lances "DllCompare.exe"puis "run locate"puis "compare"puis "make a log..."puis "ok"ensuite et tu postes le résultat avec le précédant.en espérant que ces deux logs soient vides !toujours zen

itsme · Answer

Alors voici le log de Hijackthis APRES avoir supprimé les lignes ... on peut voir qu'elles sont revenues.Logfile of HijackThis v1.97.7Scan saved at 15:16:50, on 20/12/2004Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exef:\Program Files\AVPersonal\AVGUARD.EXEf:\Program Files\AVPersonal\AVWUPSRV.EXEC:\WINDOWS\Explorer.EXEC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\System32\svchost.exeF:\Program Files\AVPersonal\AVGNT.EXEC:\Program Files\MSN Messenger\msnmsgr.exeC:\VSTASCAN\vsaccess.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\system32undll32.exeG:\Essai\essai	ruc.exe\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%sR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet ExploreurR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO1 - Hosts: 69.20.16.183 auto.search.msn.comO1 - Hosts: 69.20.16.183 search.netscape.comO1 - Hosts: 69.20.16.183 ieautosearchO4 - HKLM\..\Run: [AVGCtrl] f:\Program Files\AVPersonal\AVGNT.EXE /minO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exeO8 - Extra context menu item: Tout télécharger en utilisant FlashGet - F:\FlashGet\jc_all.htmO8 - Extra context menu item: Télécharger en utilisant FlashGet - F:\FlashGet\jc_link.htmO9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)O9 - Extra button: FlashGet (HKLM)O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)O9 - Extra button: Messenger (HKLM)O9 - Extra 'Tools' menuitem: Messenger (HKLM)O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dllO12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dllO12 - Plugin for ¸æS: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin4.dllO14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cabO16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cabO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095772682000O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cabO16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://univ-r.u-strasbg.fr/TSWeb/msrdp.cabO16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38108.1735648148O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex/zylomgamesplayer.cabO16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game15.zylomgames.com/activex/zylomloader.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553525000} - http://active.macromedia.com/flash2/cabs/swflash.cabO16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cabO16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cabO16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.22opt/SpySpotterInstall.cabVoici avec VX2Finder :On remarque que la clé du registre est revenue.Log for VX2.BetterInternet File Finder (ALL)Files Found--- Additional Files--- Keys Under Notify---crypt32chaincryptnetcscdllScCertPropSchedulesclgntfySensLognShellCompatibilitytermsrvwlballoonGuardian Key--- is called: Guardian Key--- : User Agent String---{34A35FCA-16D8-4938-AD45-81AFE4F6F345} Et voici avec DLLcompare :*    DLLCompare Log version(1.0.0.127)Files Found that Windows does not See or cannot Access*Not everything listed here means you are infected!________________________________________________C:\WINDOWS\SYSTEM32\logm.dll       Mon 26 Jul 2004  22:16:52   A...R         57 344    56,00 KC:\WINDOWS\SYSTEM32\unrar.dll      Tue 18 Jul 2000   2:51:00   A.S..         53 248    52,00 KC:\WINDOWS\SYSTEM32\vb6stkit.dll   Thu 25 Mar 1999  23:00:00   A.S..        101 888    99,50 K________________________________________________1 344 items found:  1 344 files (2 H/S), 0 directories.Total of file sizes:  269 834 522 bytes    257,33 MAdministrator Account =  Vrai--------------------End log---------------------

gbinforme · Answer

bonjourcette malveillance est vraiment coriace, mais il faut pas lacher.tu vas réessayer de relancer  "DLLCompare"puis tu marque les fichiers trouvés dans " moveonb"tu télécharges cet ensemble de modules :http://computercops.biz/zx/Zupe/Find%20It%20NT-2K-XP.ziptu les décompresse dans un répertoire et tu lances le ".bat"ensuite tu redémarre pour supprimer les dllet tu refais hijachthis.merci d'essayer !toujours zen

itsme · Answer

Je commence à désespérer ... j'ai pris les noms, je les ai mis dans "moveon", j'ai redemarré et certains sont partis et d'autres restent néanmoins. Et ceux qui sont partis ... ont été remplacés par d'autres !Hijack this ... toujours ces même satanées lignes qui ne veulent pas s'enlever :'(

gbinforme · Answer

bonsoirj'ai oublié de te dire de poster le rapport de "find it"si tu ne l'a pas relance le.toujours zen

seb · Answer

Bonsoir a tous,je viens de faire un post ici ce soir et je me rends compte que j'ai un probleme similaire a Elise et d'autre ici.J'ai effectiment fait un demarage sans echec et lancer spy Sweeper , Spybot et Adaware , ils me trouvent tous des erreurs; qui une fois deleter reaparaisse,j'ai neanmoins une variante de ce probleme , il me laisse en general 25 a 30 minutes max une connection souvent lente sur internet avant de la couper et je suis obliger de rebooter.Je vous met mon resultat hijackthis , des yeux aguerries peuvent peut etre trouver des similitudes ds ces problemes:Merci par avance de votre aideLogfile of HijackThis v1.99.0Scan saved at 20:20:57, on 20/12/2004Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\LEXBCES.EXEC:\WINDOWS\system32\LEXPPS.EXEC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeC:\Program Files\Norton AntiVirus
avapsvc.exeC:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wdfmgr.exeC:\Program Files\HHVcdV5Sys\VC5SecS.exeC:\WINDOWS\system32\ZoneLabs\vsmon.exeC:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\alg.exeC:\WINDOWS\System32\hkcmd.exeC:\Program Files\HHVcdV5Sys\VC5Play.exeC:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeC:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXEC:\WINDOWS\system32\LXSUPMON.EXEC:\Program Files\Messenger Plus! 3\MsgPlus.exeC:\Program Files\Winamp\winampa.exeC:\Program Files\Zone Labs\ZoneAlarm\zlclient.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Webroot\Spy Sweeper\SpySweeper.exeC:\Program Files\Virtual CD v5\System\VC5Tray.exeC:\WINDOWS\system32undll32.exeC:\Program Files\Internet Explorer\iexplore.exeC:\WINDOWS\system32\wuauclt.exeC:\Documents and Settings\Raymond\Mes documents\TMP\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.skyrock.com/R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dllO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dllO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dllO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exeO4 - HKLM\..\Run: [VC5Player] C:\Program Files\HHVcdV5Sys\VC5Play.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXEO4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXEO4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUNO4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.htmlO8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.htmlO8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.htmlO8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.htmlO9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO14 - IERESET.INF: START_PAGE_URL=http://www.skyrock.com/O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cabO16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cabO16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cabO16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cabO16 - DPF: {99B6E512-3893-4155-9964-8EB8E06099CB} (WebSpyWareKiller Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebSWK.cabO16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cabO16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cabO23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exeO23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exeO23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXEO23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exeO23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEO23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exeO23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exeO23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exeO23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeO23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exeO23 - Service: Virtual CD v5 Security service - H+H Software GmbH - C:\Program Files\HHVcdV5Sys\VC5SecS.exeO23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exeO23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exeO23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

seb · Answer

je viens de trouver ceci  avec Spy Sweepertemporary internet files\content.ie5\q5c7ux65
lnuninstall[1].exe qui un adware apres avoir supprimer ceciO23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe qui a fait rebouter ma machineC'est la premiere fois que les fichiers ne se recreent pas d'eux meme

itsme · Answer

Whaou à vue d'oeil t'as plein de trucs qui sont louches ... mais je préfère laisser ceux qui s'y connaisset mieux que moi.Sinon pour le Find-It ça ne marche pas ... il n'y a que 3 fichiers dans le .ZIP et il me met qu'il ne trouve pas toute une série de .txt.

gbinforme · Answer

bonjourdans le zip de fin-it il y a 3 fichiers qu'il faut décompresser dans un répertoire :strings.exe et locate.com sont des programmes qui demandent des paramètres.il faut lancer find.bat qui appelle les autres selon une procédure précise.cependant comme tu es en XP, il faut le lancer avec une fenêtre DOS,car sinon la procédure ne peut fonctionner.toujours zen

itsme · Answer

Voicice qu'il me met:<img src="http://alexitsme.site.voila.fr/images/introuvable.jpg">

Utilisateur anonyme · Answer

voir icilogm.dll <-- à virer- sûrement dans : C:\windows\system32\logm.dllhttp://computercops.biz/check53846previous.htmlaffiche les dossiers cachés et protégés et fait une recherche dans ton ordi/tu laisses la dll dans la corbeille avant de tester si ton ordi tourne bien sans elleaffiche les dossiers cachés :Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">> coche "Afficher les fichiers et dossiers cachés"Pour afficher les autres fichiers cachés>> décoche la case "Masquer les fichiers protégés du système d'exploitation" *et même désactiver ta restauration système pour l'empêcher de se recréer au reboot/la réactiver ensuitePanneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteursça c'est bon apparementC:\WINDOWS\SYSTEM32\unrar.dll      C:\WINDOWS\SYSTEM32\vb6stkit.dll - Essaye de multiplier les scans anti-trojans et même antivirus sur ce sitehttp://assiste.free.fr/p/frameset/anti_trojans_en_ligne.phptu utilises 1 version périmée d'hijack de 2 versions (1.97-->1.98-->1.99), mais bon, je crois qu'on verra pas ce trojan quand mêmehttp://www.zebulon.fr/articles/HijackThis.php*Devise : Je m'intéresse à l'avenir parceque  c'est là que je vais passer le reste de ma vie*

elise · Answer

grrrr... fichu france télécombref me revoilaj'ai essayé de télécharger le logiciel à l'adresse donnée (http://download.broadbandmedic.com/ ) mais impossible j'ai une erreur 400tjrs le meme soucis, je vais lancer un coup de NAV quand meme on sait jamais

gbinforme · Answer

bonsoireffectivement ce site ne fonctionne plus.pour dllcompare : http://pujol.club.fr/freeware/compare.htmlet pour supprimer les dll concernées (même date récente):http://www.gibinsoft.net/gipoutils/bin/moveonb.exesuppression au redémarrage ultérieur.pour VX2Finder pour 98 ou ME :http://www.downloads.subratam.org/VX2Finder9x(126).exeou pour XP :http://www.downloads.subratam.org/VX2Finder(126).exe lancer et supprimer dans regedit l'adresse trouvée.tu télécharges cet ensemble de modules (3) :http://computercops.biz/zx/Zupe/Find%20It%20NT-2K-XP.ziptu les décompresse dans un répertoireet tu lances le ".bat"ensuite tu redémarre pour supprimer les dllet tu refais hijachthis.merci d'essayer !toujours zen

Marc Heirbrant · Answer

J'ai attrapé ce 'truc'... en Windows 98 SE.  Pour votre info, le parefeu Kerio Personal v 2.1.4 permet de capter et de bloquer les connections au net des diverses parties de ce 'bidule'.  (appsetup, setup...) Je suis en train de sauver les meubles sur CD car je pense, au vu de vos efforts, très louables, que je risque d'avoir à reformater et repartir sur de nouvelles bases... Linux ?   A-t-on un nom pour ce vilain "bidule" ?  En effet le programmeur du "bidule"  doit bien s'amuser de nous lire... mais il est peut être déjà parti en vacances dans l'ocean Indien ayant reçu sa paye du consorsium secret des éditeurs de logiciels anti-virus. Le journaliste qui établira le lien financier entre les éditeurs de logiciels anti-virus et les programmeurs de virus et autre chevaux de troie, vendra bien son article.... qu'attendent-t-ils (les journalistes). Marc

itsme · Answer

Bon je me suis débarassé de ce truc ... je me suis dit que ça peut intéresser quelqu'un.J'en ai eu marre et j'ai débranché mon disque dur et je l'ai mis en esclave sur un deuxième pc (qui lui aussi est infecté pourtant).Ensuite j'ai supprimé les DLL qui me semblaient louches ... et j'ai tappé dans le mille. Suffisait de les supprimer et après avoir remonté mon DD sur mon PC tout refonctionnait très bien. Rien de compliqué finalement.Pour ceux qui ont du mal à reconnaitre les DLL qui sont infectés, ce sont tous ceux avec un nom qui est formé aléatoirement de chiffres et/ou de lettres. Ces DLL font 218/219/220/221 ou 222ko.Ni plus, ni moins (en tout cas pas dans tous ceux que j'avais).

Elise · Answer

sais tu dans quel répoertoire elles etaient ?

gbinforme · Answer

bonsoirPour trouver les dll il te faut télécharger dllcompare :http://pujol.club.fr/freeware/compare.htmlet pour supprimer les dll concernées (même date récente):http://www.gibinsoft.net/gipoutils/bin/moveonb.exesuppression au redémarrage ultérieur.avant de redémarrer décoches dans msconfigtout ce que tu ne connais pas précisémentcar tu pourras le remettre après.toujours zen

itsme · Answer

Dans mon cas moveonb.exe n'arrivait pas à les supprimer

itsme · Answer

bah j'avoue ne pas avoir vérifié mais plus rien ne s'ouvre inopinément, je peux à nouveau fermer les applications dans le gestionnaire des tâches et les DLL ne sont plus là.

elise · Answer

je baisse les brasad aware m'a detecté pas mal de choses avec la derniere mise à jour et norton aussi, sauf que depuis, mon systeme est devenu carrement instable, plante lamentablement, j'ai au reboot plein d'erreurs systemes, et j'ai toujours ce fichu adware qui pop-upje baisse les bras, je reinstalle une image disque dès aujourd'hui....

Spy ou du meme genre avec autosearch

80 réponses

Discussions similaires

Newsletters