des .exe louches dans gestionnaires de taches + spyware "collant"

des .exe louches dans gestionnaires de taches + spyware "collant" - Sécurité - Windows & Software

Marsh Posté le 15-06-2006 à 21:42:10    

:hello:  
En ce moment j'ai de gros souci avec un spyware magic control (enfin je crois, spybot me le sort souvent) qui me sort des pop-up même dans la page google, yahoo et autre le problème c'est que parfois c'est des pop-up limite hot et je suis pas seul sur ce PC.
 
j'ai fait une capture de mes .exe et je crois qu'il y a un souci, quelqu'un peut me dire ce qui cloche svp j'y connais rien malheureusement :(  
Comme les svchost.exe qui sont nombreux dont un qui monte a 30 000ko :sweat:  
j'ai fait un scan avec kaspersky, un spybot au démarrage mais rien a faire :(  
 
http://img100.imageshack.us/img100/9205/sanstitre1copie0ug.jpg
 
J'ai WindowsXPpro sp1, pentiumIV 2.8, 512mo ram, Atiradeon9800pro
 :jap:  :jap:


Message édité par gaymer's le 15-06-2006 à 21:48:54
Reply

Marsh Posté le 15-06-2006 à 21:42:10   

Reply

Marsh Posté le 15-06-2006 à 21:50:54    

bonjour,
 
telecharge la version original de hijackthis http://www.merijn.org/files/hijackthis.zip
 
déconnecte toi du net et installe le.
 
lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'
ouvrir tu fais un copier coller de tout son contenu.
 

Reply

Marsh Posté le 16-06-2006 à 00:55:22    

et install le SP2 ça fait pas de mal :D

Reply

Marsh Posté le 16-06-2006 à 08:21:09    

le sp2 va vraiment changer quelque chose?

Reply

Marsh Posté le 16-06-2006 à 08:25:41    

Je vois rien de dramatique. le nombre de svchost est normal, tous tes process sont connus, je ne connaissais pas PSFree ( Panicware Software Pop-Up Stopper ), vsnpstd ( T'as une webcam logitech toi ), et PDVDServ ( PowerDVD).
 
Bref, tout va bien, panique pas !


Message édité par Tetedeiench le 16-06-2006 à 08:25:58
Reply

Marsh Posté le 16-06-2006 à 08:40:53    

C'est du coté des spywares alors que je dois voir, j'ai des pop-up dans la page de demmarage de google avant y en avait pas, magiccontrol reviens souvent dans spybot et je dois en voir d'autres

Reply

Marsh Posté le 16-06-2006 à 21:01:05    

Fais un scan Spybot+Ad-Aware en mode sans échecs. Poste le log hijack demandé. On verra bien si tu as des cochonneries ;)

Reply

Marsh Posté le 16-06-2006 à 22:22:08    

Voila  :jap: !
 

Citation :


Logfile of HijackThis v1.99.1
Scan saved at 10:40:46, on 15/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\System32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\Program Files\Real Alternative\Update_OB\realsched.exe
I:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
I:\WINDOWS\vsnpstd.exe
I:\Program Files\iTunes\iTunesHelper.exe
I:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
I:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
I:\Program Files\SpeedFan\speedfan.exe
I:\Program Files\Kerio\Personal Firewall\persfw.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\wdfmgr.exe
I:\WINDOWS\System32\UAService7.exe
I:\Program Files\Raxco\PerfectDisk\PDSched.exe
I:\Program Files\iPod\bin\iPodService.exe
I:\Program Files\Spyware Doctor\sdhelp.exe
I:\Documents and Settings\**********\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - I:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\program files\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - I:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - I:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - I:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] I:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] I:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "I:\Program Files\Real Alternative\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RemoteControl] "I:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [            -1033] "I:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIPTA] "I:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [snpstd] I:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] I:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "I:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mercora] "I:\Program Files\Mercora\MercoraClient.exe" -min
O4 - HKLM\..\Run: [BSplayer_WhenUSave_Installer] I:\Program Files\BSplayer_WhenUSave_Installer\BSplayer_WhenUSave_Installer.exe
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AnyDVD] I:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "I:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NBJ] "I:\Program Files\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "I:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - Startup: SpeedFan.lnk = I:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = I:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://i:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Télécharger avec NetTransport - I:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Image Converter 2 ??? - I:\Program Files\Sony\Image Converter 2\menu.htm
O8 - Extra context menu item: Pages liées - res://i:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://i:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Personnaliser - I:\Program Files\PROMT98\promtie4\options.htm
O8 - Extra context menu item: Recherche &Google - res://i:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Rechercher sur Internet - I:\Program Files\PROMT98\promtie4\search.htm
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - I:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - I:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Traduire - I:\Program Files\PROMT98\promtie4\translat.htm
O8 - Extra context menu item: Traduire dans R-Express - I:\Program Files\PROMT98\promtie4\wts.htm
O8 - Extra context menu item: Traduire dans WebView - I:\Program Files\PROMT98\promtie4\webview.htm
O8 - Extra context menu item: Traduire la page - I:\Program Files\PROMT98\promtie4\page.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - I:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://i:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\WINDOWS\System32\msjava.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - I:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - I:\Program Files\PROMT98\promtie4\promtie5.htm
O9 - Extra 'Tools' menuitem: Traduire - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - I:\Program Files\PROMT98\promtie4\promtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - I:\Program Files\PROMT98\promtie4\options.htm
O9 - Extra 'Tools' menuitem: Personnalisez traduction - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - I:\Program Files\PROMT98\promtie4\options.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://210.80.76.119/object/Dldrv.ocx
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 8049440718
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/so [...] launch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b31267.cab
O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.co [...] _1_6_0.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "I:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - I:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - I:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - I:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - I:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - I:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - I:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - I:\WINDOWS\System32\UAService7.exe

Reply

Marsh Posté le 16-06-2006 à 22:53:44    

OK, je te répondrais demain ;)

Reply

Marsh Posté le 17-06-2006 à 11:20:20    

re,
 
 
 
1/Télécharge la version d'évaluation d'Ewido:
http://www.ewido.net/en/download/
 
Installe et mets à jour.
 
Important: Pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu".  
 
Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.
 
2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html
 
3/
demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:
 
WhenUSave/BSplayer_WhenUSave_Installer  
FlashGet
 
si ces programmes sont presents desinstallent les.
 
 
4/lance hijackthis en cliquant sur do a scan system only coche ces lignes (si presente):
 
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)  
O4 - HKLM\..\Run: [BSplayer_WhenUSave_Installer] I:\Program Files\BSplayer_WhenUSave_Installer\BSplayer_WhenUSave_Installer.exe
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - I:\Program Files\FlashGet\jc_all.htm  
O8 - Extra context menu item: Télécharger en utilisant FlashGet - I:\Program Files\FlashGet\jc_link.htm  
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://210.80.76.119/object/Dldrv.ocx  
O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab  
 
Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked
 
 
5/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:
 

Citation :

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Cocher la case : Afficher les fichiers et dossiers cachés
Décocher la case : Masquer les extensions des fichiers dont le type est connu
Décocher la case : Masquer les fichiers protégés du système d'exploitation
cliquer sur "Appliquer"
cliquer sur le bouton "Appliquer à tous les dossiers" / OK


 
6/supprime ce qui est en gras:
 
I:\Program Files\ BSplayer_WhenUSave_Installer<== tout le dossier
I:\Program Files\ FlashGet<== tout le dossier
 
 
7/Relance Ewido et clique sur scanner puis sur scan complet du système.
 
Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".
 
A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.
 
8/redemarre en mode normal
 
9/poste le rapport d'ewido ainsi qu'un nouveau log hijackthis.
 
bon courage, et si tu as la moindre question n'hesite surtout pas ;)
 
@+

Reply

Marsh Posté le 17-06-2006 à 11:20:20   

Reply

Marsh Posté le 17-06-2006 à 12:44:09    

:ouch:  
 
Bon, je vais faire tout ça, merci bcp

Reply

Marsh Posté le 18-06-2006 à 03:01:14    

FlashGET est juste un downloader, pas de soucis c'est pas un virus ni un malware !


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 19-06-2006 à 20:11:48    

bonjour,
 
FlashGET est souvent accompagné par des bestioles, donc vaut mieux le supprimer.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed