Un dernier spy/virus/trojan (?) resiste...

Un dernier spy/virus/trojan (?) resiste... - Sécurité - Windows & Software

Marsh Posté le 19-08-2005 à 11:43:56    

Bonjour,
 
Je n'arrive pas a me debarrasser d'une cochonerie. J'utilise hijackthis, Spybot et AVG free. Je n'utilise plus IE mais Firefox. En fait, j'arrive à désinfecter le PC mais ça reviens au bout d'une heure ou deux sur le net.
 
Ca se presente comme ceci (extrait du log hjt):
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.iznypdkhxntwhqf.com/ZPM [...] ZuOs9.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ivistkyefrkrjloj.net/ZP [...] NuR4Ps.htm
O4 - HKLM\..\Run: [readmechinbeepball] C:\Documents and Settings\All Users\Application Data\BARB CITY README CHIN\VIEW DASH.exe
O4 - HKCU\..\Run: [64 wait] C:\DOCUME~1\Lolo\APPLIC~1\HTMAUD~1\mode flaw.exe
qui se cloakent en IEXPLORE.EXE dans le gestionnaire de taches (pas tâches ;) ).
 
Des icones apparaissent sur le bureau (Ringtones, Tune my PC et autres)

Reply

Marsh Posté le 19-08-2005 à 11:43:56   

Reply

Marsh Posté le 19-08-2005 à 11:47:30    

Bonjour, télécharge et lance l'uninstall lop.com
http://lop.com/toolbar_uninstall.exe
http://lop.com/new_uninstall.exe
Attention, ton antivirus risque de se déclencher. Désactive le si nécessaire.
 
Poste un nouveau rapport Hijackthis

Reply

Marsh Posté le 19-08-2005 à 22:23:47    

re,
 
J'ai toujours tendance à me méfier de ceux qui me demande de désactiver l'antivirus :heink:  
Mais une petite recherche sur tes post m'a tout de suite rassuré. Tu maitrise la section sécurité windows :wahoo:  
 
Bon, j'en ai moins qu'avant mais il reste une toolbar.
 
Logfile of HijackThis v1.99.1
Scan saved at 21:13:01, on 19/08/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus1.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\All Users\Documents\Sécurité Windows\hijackthis_199\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uyfpdtfliwmht.info/ZPMs [...] ZuOs9.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55E84853-2600-9063-E21D-D87C2F44E9BB} - C:\DOCUME~1\Lolo\APPLIC~1\PLUSMESS\TEAMREAL.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4137721531
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E95D2548-D25A-4A1F-9F0A-C8F00600FE88}: NameServer = 212.150.48.169,216.252.176.2
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
 
Je redemarre en sans echec, supprime
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uyfpdtfliwmht.info/ZPMs [...] ZuOs9.html
O2 - BHO: (no name) - {55E84853-2600-9063-E21D-D87C2F44E9BB} - C:\DOCUME~1\Lolo\APPLIC~1\PLUSMESS\TEAMREAL.exe

Reply

Marsh Posté le 19-08-2005 à 23:59:40    

Re, exact...  :pt1cable:  
 
Télécharge CCleaner:
http://www.ccleaner.com/ccdownload.asp
 
Désinstalle via Ajout/Suppression de programmes cette application:
 
Messenger Plus! 3
 
Tu la réinstalleras ultérieurement en décochant le sponsor
 
Démarre en mode sans échec (F8 ou F5)
 
Assure toi d'avoir accès à tous les fichiers.
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :  
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer


 
Démarre Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uyfpdtfliwmht.info/ZPMs [...] ZuOs9.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
 
O2 - BHO: (no name) - {55E84853-2600-9063-E21D-D87C2F44E9BB} - C:\DOCUME~1\Lolo\APPLIC~1\PLUSMESS\TEAMREAL.exe
 
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe"
 
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 4137721531
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
 
O20 - AppInit_DLLs: MsgPlusLoader.dll
 
Ferme toutes les fenêtres, tous les programmes et clique sur Fix checked
 
Supprime les fichiers/dossiers incriminés (s'ils existent encore):
 
C:\DOCUME~1\Lolo\APPLIC~1\PLUSMESS
C:\Program Files\MessengerPlus! 3
MsgPlusLoader.dll< utilise la fonction rechercher
 
Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
Exécute CCleaner sur chaque session utilisateur
 
Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification.
 
 

Reply

Marsh Posté le 20-08-2005 à 01:21:15    

Ca m'a l'air bien clean. Ce qui est bizarre c'est que je suis sur à 100% d'avoir installer Messenger+ sans sponsor. C'est possible qu'il (ré)active le sponsor si on masque la publicité de Messenger ?
 
 
Logfile of HijackThis v1.99.1
Scan saved at 00:16:22, on 20/08/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\All Users\Documents\Sécurité Windows\hijackthis_199\HijackThis.exe
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E95D2548-D25A-4A1F-9F0A-C8F00600FE88}: NameServer = 212.150.48.169,216.252.176.2
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
 

Reply

Marsh Posté le 20-08-2005 à 10:45:10    

Bonjour, ton rapport est nickel. C'est pas impossible, mais si tu peux te contenter de MSN, mieux vaut éviter les versions plus, trop de problèmes, même en refusant d'accepter le sponsor. Bonne journée et bon surf.  :hello:

Reply

Marsh Posté le 20-08-2005 à 11:09:51    

Merci pour tout :jap:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed