J'en peux plus : aidez moi a virer ce malware !!! - Sécurité - Windows & Software
Marsh Posté le 17-11-2003 à 23:28:31
Mmh, tu peux essayer COOL WEB SHREDDER, sinon vois avec un détecteur de BHo au cas où ...
Marsh Posté le 18-11-2003 à 09:45:41
J'ai essayé BHOcop et il me detecte que googlebar et adobe
Ca doit pas etre un BHO mais un petit prog resident qui se declenche de temps en temps
Help me, il doit bien avoir un moyen de virer ce truc non ?
Marsh Posté le 18-11-2003 à 10:11:30
le log spysweeper detecte les chanchements de pages..
Mais le mieux est d'essayer mozilla firebird...et virer internet explorer
Marsh Posté le 18-11-2003 à 10:17:02
scan anti virus on sait jamais, il trouvera ptet quelque chose lui
Marsh Posté le 18-11-2003 à 10:44:38
L'antivirus ne trouve rien
J'ai essayer spysweeper il a trouvé des trucs mais je pense pas que ce soit ça
C'est qd même impressionnant, j'utilise trois antispy differents et ils me trouvent tous des trucs differents.
Marsh Posté le 18-11-2003 à 11:26:11
gosein a écrit : le log spysweeper detecte les chanchements de pages.. |
+1
Le malware, c'est windows + internet explorer, et aucun antispy arrive encore à les virrer...
Marsh Posté le 18-11-2003 à 15:09:20
meme probleme que toi
j'ai un raccourci vers un site de cul qui se met sur le bureau et un autre dans mon menu demarrer. je lance adaware et là il me detecte plein de trucs (cokies...) il m'efface tout et vaccine, mais deux trois jours plus tard ca reviens...
le lien pointe (de memoire) sur un site nommé carpediem.
Marsh Posté le 18-11-2003 à 15:19:24
wallly988 a écrit : meme probleme que toi |
ben oui mais faut pas retourner sur le site qui t'installe ça ...
vu qu'adaware a pas de module chargé en permanence pour controler ie et la ram.
Marsh Posté le 18-11-2003 à 15:24:35
je connais pas ce site (le nom correspond au repertoire ou l'icone etait installée). je ne dis pas que l'on accede jamais à un site de cul depuis mon ordi, mais par ex. la semaine derniere j'etais le seul à me connecter à partir de ce poste et je me suis peut etre connecté 5 min dans la semaine, le temps d'envoyer des emails. pourtant, meme aprés adaware, ce raccourci est réapparu.
Marsh Posté le 18-11-2003 à 16:40:40
Quel Windows ?
tu peux lire mon sujet :
http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269
copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.
Marsh Posté le 18-11-2003 à 17:15:36
Avec ad-aware, tu peux activer ad-watch qui surveille en permanence les spywares et les modifs de la bdr.
Marsh Posté le 18-11-2003 à 22:37:10
Merci de vos réponses
J'ai tout essayé et je vois pas
Je précise qu'effectivement, je ne vais pas sur le site en question, il revient tout seul
Je continue a chercher...
Marsh Posté le 18-11-2003 à 22:45:51
Globule a écrit : Merci de vos réponses |
tu lance le gestionnaire de tache, tu va dans processus, tu repère le nom du fichier qui se lance et te met ce lien en page de démarrage, ensuite tu fais une recherche sur ton dur dudit fichier, tu l'éfface et puis tu va dans win.in ou system.ini et tu efface aussi la ligne de commande qui le lance...voilà c'est tout !!
Graffy
Marsh Posté le 18-11-2003 à 23:13:51
faut pas aller sur les sites warez ca evite ce genre de merde
Marsh Posté le 19-11-2003 à 08:15:21
charpenay a écrit : faut pas aller sur les sites warez ca evite ce genre de merde |
meme si j'admet que les sites warez sont des nids à virus ou adware, là ca provient plus d'un site commercial que d'autre chose.
à noter que mon amie a choper un truc de ce style à son travail (un commerce). sa liaison est une rtc qui ne sert que pour les emails. alors moi je suis en train de regarder du coté des emails recus....( elle c'est pire, parceque le matin lorsqu'elle ouvre, elle se rend compte que l'ordi se connecte en pleine nuit)
Marsh Posté le 19-11-2003 à 08:20:15
pgriffet a écrit : Quel Windows ? |
Logfile of HijackThis v1.97.7
Scan saved at 08:18:44, on 19/11/03
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\IOMEGA\AUTODISK\ADSERVICE.EXE
C:\PROGRAM FILES\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\MESSAGER WANADOO\DEMON.EXE
C:\PROGRAM FILES\WANADOO\CNXMON.EXE
C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE
C:\PROGRAM FILES\IOMEGA\AUTODISK\ADUSERMON.EXE
C:\PROGRAM FILES\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST800\DSLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\AUTOCAD LT 2000\ACLT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE
C:\PROGRAM FILES\WANADOO\COMCOMP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\WANADOO\WATCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_48.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Demon] C:\PROGRA~1\MESSAG~1\Demon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\WANADOO\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [System32] System32.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Program Files\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Program Files\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Program Files\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [eDonkey2000] C:\PROGRAM FILES\EDONKEY2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Barre d'état système] SysTray.Exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [TNTClk] C:\WINDOWS\BUREAU\TNT.EXE /Core:12e03 /Mem:15b05 /Tim:41016293
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [frnrtwg] "C:\WINDOWS\SYSTEM\FRNRTWG.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [LTQLYOM] "C:\WINDOWS\SYSTEM\LTQLYOM.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [System32] System32.exe
O4 - HKLM\..\RunServices: [ADService] C:\Program Files\Iomega\AutoDisk\ADService.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st800\dslmon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Wanadoo (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub [...] tor/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/down [...] mv9VCM.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binar [...] L_pack.cab
O16 - DPF: {D1B80EBF-1A26-4FEC-B0B9-DCB934C6507E} (Loader Class) - http://dialup.carpediem.fr/CABS/cd [...] Membre.cab
voila ce que ca donne, et les liens indesirables correspondent à la derniere ligne: "http://dialup.carpediem.fr/CABS/cd/1,0,3,8/fr/AccesMembre.cab"
les trucs "akamai" je sait pas ce que c'est!
Marsh Posté le 19-11-2003 à 09:54:37
Très chelou :
O4 - HKLM\..\Run: [LTQLYOM] "C:\WINDOWS\SYSTEM\LTQLYOM.exe"
O4 - HKLM\..\RunServices: [System32] System32.exe
O4 - HKLM\..\Run: [frnrtwg] "C:\WINDOWS\SYSTEM\FRNRTWG.exe"
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet5_48.dll
Ce qui suit est un résidu du spyware de Kazaa
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Dans Hijack, tu coches les cases ci-dessus ainsi que celle avec carpediem et tu cliques sur "Fix Checked".
Tu quittes Hijack, tu le fais à nouveau tourner pour voir.
Je ne sais pas ce que représente les 2 akamai en rubrique O16, tu peux toujours les cocher.
Si jamais une application en avait besoin, ils seraient à nouveau téléchargés.
Marsh Posté le 19-11-2003 à 10:07:40
merci beaucoup, j'attends quelques jours et je te dirai si ca a resolu le probleme!
Marsh Posté le 19-11-2003 à 10:33:27
Wally j'ai fait ce que t'as dit et ca donne ca:
Logfile of HijackThis v1.97.7
Scan saved at 10:31:06, on 19/11/2003
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Documents and Settings\Poup\Application Data\Microsoft\Internet Explorer\Quick Launch\IEXPLORE.EXE
C:\Documents and Settings\Poup\Application Data\Microsoft\Internet Explorer\Quick Launch\IEXPLORE.EXE
C:\Drivers\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [iedll] c:\WINDOWS\iedll.exe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/ga [...] /ct1_x.cab
O16 - DPF: Yahoo! Hearts - http://download.games.yahoo.com/ga [...] /ht1_x.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub [...] tor/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
Qu'en penses-tu ?
Marsh Posté le 19-11-2003 à 10:36:24
c'est pgriffet qui a proposé ca (rendre à cesar...) et qui ma soumis une reponse, nul doute qu'il va analiser ton checkup et te donner une solution!
Marsh Posté le 19-11-2003 à 14:17:14
O4 - HKCU\..\Run: [iedll] c:\WINDOWS\iedll.exe
Voici ce que j'ai trouvé à son sujet
X iedll iedll.exe Homepage hijacker, redirecting to coolwwwsearch.com
Tu peux le virer aussi. Il pirate ta page d'accueil.
Ceci
Citation : |
inconnu au bataillon, pas présent sur mon XP Pro SP1 et très absent sur Google.
Regarde les propriétés du programme pour en savoir plus, la date de création, etc.
Ce qui est bizarre, c'est qu'ils n'étaient pas là ce matin ??
Marsh Posté le 19-11-2003 à 22:02:48
C'est bon j'ai TROUVE
Juste en dessous de iedd.exe se trouve un prog qui s'appelle addclass.exe
En le lançant, il a tout changé immediatement
Je l'ai viré ainsi que sur le dd et ca devrait etre ok
Merci bcp a tous et surtout à pgriffet car il m'a mis sur la voie
En fait il y a dans le registre deux cles run, une dans HKlocal machine et l'autre dans Hklocal user, et cette dernière m'avait echappé
Que d'histoire
Merci encore à tous
Reste la question : Pourquoi ne se declenchait il pas a chaque démarrage ?
Mystere...
Ps: Merci bcp à Wally egalement
Marsh Posté le 25-11-2003 à 12:07:04
autant dire qu'un mec qui touche pas un peu en info est "un peu" mal avec un bidule pareil....
PS: après c'est "allô frangin/tonton/fiston, j'ai mon ordi qui déconne!?"
Marsh Posté le 17-11-2003 à 23:14:09
Bjr
Je vous explique mon pb:
Tous les 3-4 jours, au redemarrage de mon pc, il y a un petit prog qui me modifie ma page d'accueil, mes favoris et diverses cles de registres
L'adresse incriminée qui apparait est http://www.hand-book.com
Elle se met partout (c'est un site de cul)
J'ai scanné avec ad-aware et spybots mais ils ne me detectent rien
Je vire donc les adresses des favoris et je nettoie mon registre et tout va bien
Jusqu'a ce que je redemmare le pc au bout du 4e jour (environ) et la il me rajoute tout
Je précise que je peux redémarrer autant de fois que je veux avant et il ne se passe rien
J'ai verifié dans Run de la bdr, demarrage etc... y'a rien
J'en peux plus, que qqn m'aide sur ce pb SVP