Sujet Précédent Sujet Suivant

Mt-uninstaler et cie ...

Fermé
sam - 22 janv. 2005 à 19:51
 Sylvain - 21 mars 2005 à 18:45
Bonsoir,

j'ai xp pro, et il y a une semaine j'ai eu un pb avec word. Depuis j'ai choppé quantités de spywares, chevaux de troie ... je fais tourner spybot et adaware ... ils sont enlevés mais ils reviennent. j'ai supprimé pourtant la restauration système.
Le pire c'est surtout que mon ordi rame, surtout quand je le démarre, presque 30 minutes, là où il m'en fallait 2.
c'est l'horreur ... merci d'avance pour votre aide

Dessous une copie de mon log dans hijackthis ...

Logfile of HijackThis v1.99.0
Scan saved at 19:45:51, on 22/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\PktFilter\pktfltsrv\pktfltsrv.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\NavNT\vptray.exe
C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE
C:\autoprotect.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\RAMASST.exe
C:\logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\Pilotes Audio SigmaTel AC97\stacmon.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Program Files\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Program Files\Drag'n Drop CD+DVD\BinFiles\DragDrop.exe /StartUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE /P24 "EPSON Stylus Photo RX500" /O6 "USB001" /M "Stylus Photo RX500"
O4 - HKLM\..\Run: [REGRUNM] C:\autoprotect.exe
O4 - HKLM\..\Run: [bsf] C:\WINDOWS\bsf.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Program Files\Iomega\AutoDisk\AD2KClient.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: iFinger.lnk = C:\Program Files\iFinger\iFinger.exe
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099649657948
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10F6627-30D9-4B74-9EBD-03E534DC2972}: NameServer = 164.81.1.4,164.81.1.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = drec.unilim.fr,unilim.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = drec.unilim.fr,unilim.fr
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Unknown - C:\WINDOWS\System32\IomegaAccess.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Stateless Packet Filtering - Unknown - C:\Program Files\PktFilter\pktfltsrv\pktfltsrv.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: ZipToA - Unknown - C:\WINDOWS\System32\ZipToA.exe

encore merci si qqun peut m'aider

6 réponses

Réponse 1 / 6
Utilisateur anonyme
22 janv. 2005 à 20:45
bonsoir,

suis perplêxe sur ton log

des doutes sur :

C:\autoprotect.exe

O4 - HKLM\..\Run: [REGRUNM] C:\autoprotect.exe (protègerait quoi?)
O4 - HKLM\..\Run: [bsf] C:\WINDOWS\bsf.exe <-- le programme bsf? késako tu connais?

en même temps ton message porte sur "mt-uninstaler et cie ..." en recherche sur Google on tombe là-dessus
http://cds.unionway.com/risk/html/20050116115500.log.html

*This file is generated by AppHunter
; Please contact support@cyberdefender.com for more details
[Summary]
Discovered=01/16/2005 11:55:00
Filename=autoprotect.exe
Company=N/A
Risk=2.2
..........
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\]
REGRUNM=C:\AppHunter\risk\autoprotect.exe.gz.up
...........
[FileCreated]
c:\docume~1\apphun~1\locals~1\temp\installer.exe=1
c:\program files\uwcds\mt-uninstaller.exe=1




*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 2 / 6
sam
22 janv. 2005 à 20:59
bonsoir,

je suis aussi très perplexe.
Autoprotect, c'est une protection en temps réel de Norton.
Bsf ... c'est une base de données.

Le programme mt-uninstaller est détecter par avast (mais quand c'est supprimer, cela revient quand je rallume mon ordi).
Ce programme m'ouvre media ticket et la page pj34r1ng.us dès que je me connecte sur internet.

En fait j'ai eu bcp de spywares depuis mon pb lundi ... dès que mon ordi est connecté sur internet, il est infecté, et surtout depuis il rame, c'est affolant... et il se plante souvent.

Merci pour l'aide
0
Réponse 3 / 6
Utilisateur anonyme
22 janv. 2005 à 21:15
ok je vois (mais pas dans le log hélàs) c'est bien planqués en tout cas

va lire les infos d'assiste sur média tickets/onglet : attaquants
http://assiste.free.fr/p/frameset/12.php

ça serait peut être eux alors le mt-xxxx (download.com/mediaticketsinstaller) ? qui te proposerait l'mt-uninstall (non préconisé sur assiste)

des anti-spys a tester

a² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)
http://www.emsisoft.net/fr/software/download/

SpySweeper 1.3/anti-spywares (30 jours d'essai)
http://www.webroot.com/

avast ne scanne pas en mode sans échec?

des scans antivirus online tu peux les multiplier et désactiver ton antivirus le temps des scans

http://www.ravantivirus.com (RAV Anti-Virus)
http://www.bitdefender.com/scan/licence.php (Bitdefender)
http://security.symantec.com/ssc/home.asp?j=1&langid=fr&venid=sym&plfid=23&pkj=TEBDENTKDDASYUCPDGG (Symantec)
http://www.pandasoftware.com/activescan/fr/activescan_principal.htm (Panda Software)
http://housecall.trendmicro.com (Trend Micro)
http://www.secuser.com (Secuser)



*Devise : Je m'intéresse à l'avenir parceque
c'est là que je vais passer le reste de ma vie*
0
Réponse 4 / 6
Teddy-Bear Messages postés 758 Date d'inscription mercredi 12 janvier 2005 Statut Membre Dernière intervention 5 mars 2005 91
22 janv. 2005 à 21:29
Bonsoir,

Pas necessaire d'avoir du NORTON qui tourne avec Avast, Risques de problemes:

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\NavNT\rtvscan.exe


O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: Norton AntiVirus Client - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe


@+

_____________________________
Un Bon Troyen Est Un Troyen M O R T
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
sam
22 janv. 2005 à 22:07
J'ai rallumé en mode sans échec. a2 n'a pas réussi à tourner sur c: (j'ai essayé plusieurs fois), donc j'ai fait tourner sur le dossier c:\windows .... il a planté avant la fin, mais entre temps 2 mouises ont été détectées (AdmanCtl, je pensais l'avoir enlevé!!!!, et W32-trojan, je ne suis pas sûre du nom) . Mais tout ne semble pas régler à l'évidence. J'ai passé la journée dessus je suis creuvée, j'arrête ... mais je reviendrai pour essayer de régler ce gros pb (peut être que lundi). Je suis vraiment inquiète parce que mon ordi rame !


Merci encore pour l'aide, et à bientôt j'espère.
0
Réponse 6 / 6
Sylvain
21 mars 2005 à 18:45
Bonjour, serait -il possible d'avoir une description des étapes simplifié pour pouvoir détruire ce virus, média - tickets uninstaler, et quelle sont les formes visibles des dégradations que génére ce virus
0

Discussions similaires

encore PayPal ...est-ce une arnaque ?
erwin16 -
sissi12 -

2 réponses
paypal prélèvement suspect
islandpie -
marie6claude -

3 réponses
prelèvement frauduleux sur paypal
kenpachi07 -
Afrikarnak -

17 réponses
Virement paypal
Cherine.melisa -
Utilisateur anonyme -

2 réponses
adele
marine carnet-pantier -
irongege -

2 réponses