Malware impossible a eliminer - Sécurité - Windows & Software
Marsh Posté le 18-01-2005 à 12:11:32
scan avec HijackThis et copie le rapport ici
Marsh Posté le 18-01-2005 à 12:24:13
mauvaise manip je recommence dans quelques minutes ...
Marsh Posté le 18-01-2005 à 12:51:40
ah ? parce qu'il y avait 2 trucs a priori!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.mjlqkyinwzxxqxvouas.biz/X1KKU4X5P [...] niYoTB1NaDwOfPNx.html
==> Coche juste cette ligne, et clic sur FixIt
Celle-ci aussi semble douteuse a froid :
O4 - HKLM\..\Run: [CAST MAPI BORE ROAM] D:\Documents and Settings\All Users\Application Data\drive dale cast mapi\copyinside.exe
Est-ce que tu sais si ca correspond a quelque chose que tu utilise ? Tu peux toujours passer par spybot (mode avancé --> Outils --> Démarrage) pour la desactiver avt de supprimer au cas ou.
Ensuite il faudra le supprimer du disque (parfois un reboot est necessaire)
Marsh Posté le 18-01-2005 à 12:57:04
la première ligne c'est du Lop à mon avis, donc à virer par l'uninstalleur fait pour
Citation : You can go to your Start Menu--Control Panel, then choose the 'Add / Remove Programs' option. Depending on which version of the software you have installed locate 'Lop.com' or 'LOP SEARCH' or 'Window Searching' or 'Window Active' or "Browser Enhancer" or "Ultimate Browser Enhancer" or "Search Plugin" from the menu to run the uninstaller. |
Marsh Posté le 18-01-2005 à 14:25:56
J'ai bien suivi vos conseils mais rien a faire !
J'efface les fichiers suspects et ils reaparaissent au bout de quelques minutes ...
Je vous remets le rapport :
Logfile of HijackThis v1.99.0
Scan saved at 14:16:52, on 18/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\wanmpsvc.exe
D:\WINDOWS\system32\rundll32.exe
D:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
D:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
D:\Program Files\QuickTime\qttask.exe
D:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
D:\Program Files\Winamp\winampa.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
D:\Program Files\Real\RealPlayer\RealPlay.exe
D:\Program Files\Anti-Trojan-55\ATWatch.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\AOL 9.0\aoltray.exe
d:\progra~1\intern~1\iexplore.exe
D:\Program Files\AOL Compagnon\companion.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\Program Files\SpeedFan\speedfan.exe
D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Documents and Settings\Lexon93\Bureau\hijackthis_199-1\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bwlrgkwxwvsgvrtbuhpchad [...] OfPNx.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing)
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AOLSAV] D:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] D:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOL Spyware Protection] "D:\PROGRA~1\FICHIE~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [S2kCtl] D:\Documents and Settings\Lexon93\Bureau\s2kctl15b101\S2kCtl.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [RealTray] D:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CAST MAPI BORE ROAM] D:\Documents and Settings\All Users\Application Data\drive dale cast mapi\copyinside.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] D:\Program Files\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [msnappau] "D:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [debug scr] D:\DOCUME~1\Lexon93\APPLIC~1\GRIMFI~1\filmpeakaxis.exe
O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart
O4 - Startup: 42 AC Plug.lnk = D:\Program Files\iOpus-AC-Plug\acplug.exe
O4 - Startup: SpeedFan.lnk = D:\Program Files\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = D:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = D:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\PROGRA~1\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.fr/computercheckup/qdiagcc.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{90A6EC3D-86BA-44D5-9B6C-77AD6E836DEB}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Unknown - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service - America Online, Inc. - D:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: AOL Spyware Protection Service - Unknown - D:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - D:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - D:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - D:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: McAfee.com Personal Firewall Service - McAfee.com Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - D:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - D:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - D:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - D:\WINDOWS\System32\vssvc.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - D:\WINDOWS\wanmpsvc.exe
O23 - Service: Carte de performance WMI - Unknown - D:\WINDOWS\System32\wbem\wmiapsrv.exe
Peut on les effacer autrement ?
Merci.
Marsh Posté le 18-01-2005 à 14:53:37
tu as bien lancé le désinstalleur? http://lop.com/new_uninstall.exe
il faut penser à fermer tous les programmes (en particulier Internet Explorer) avant de faire ça.
Marsh Posté le 19-01-2005 à 12:15:25
Bon ça y est tout est rentré dans l'ordre je suis super content !
Il m'aura quand même fallu passer la journée dessus ...
Merci a tous et en particulier a Minipouss !
Marsh Posté le 19-01-2005 à 13:40:14
de rien
Marsh Posté le 19-01-2005 à 15:54:54
J'ai parlé trop vite ça recommence c'est vraiment la merde ce truc !
En fin de soirée je vous metterai le log je sais que sans ça vous ne pouvez pas m'aider.
Sinon c'est quoi exactement ce lop.com ? Mon anti-virus le detecte comme Cheval de troie ?!!
Encore merci ...
Marsh Posté le 19-01-2005 à 15:59:12
non, Lop c'est juste une barre de recherche, pas un trojan je pense.
j'attend le log de ce soir
Marsh Posté le 19-01-2005 à 16:34:31
(Pour Lexon) Allo! Ce que je ferai et par expérience lol j'irais dans démarrer, cliquer sur exécuter et taper msconfig, puis regarder si ce search bar figure pas dans la liste de démarrage si oui, tu retires le crochet et tu cliques sur appliquer puis sur ok et ça demandera à redémarrer ton ordi et là, il figurera pu. S'il est quelque part dans restore temp... tu as windows XP ou ME, clique sur démarrer, paramètres, panneau de configuration, ensuite sur l'icone "système" et cherche dans ces onglets où c'est écrit désactivé la restauration du système, mets un crochet dans la case, clique sur appliquer ensuite sur ok, ca demandera un reboot de l'ordi, par la suite, tu repasses un scan et si tu le vois pas c'est qu'il est sorti. Alors tu refais la même procédure pour retourner sur désactivé la restauration du système et tu retires le crochet et tu fais appliquer ensuite ok, et ca va encore demander de redémarrer l'ordi, tu dis ok (oui)
et si cela ne fait pas, si tu as windows XP ou ME, tu peux toujours faire une restauration du système à une date antérieure. bye bye Lexon a+
Marsh Posté le 19-01-2005 à 16:58:08
juste pour dire que ce qu'il y a dans Msconfig c'est listé dans son log hijackthis ci-dessus dans les clés 04
Marsh Posté le 19-01-2005 à 17:28:17
bien ok c'est beau, mais si cela fonctionnait par msconfig? hen... minipouss me semble que ça ferait vite lol pis s'il venait qu'à dire que rien y fait? lol ben non, je blague là, y a toujours un moyen de s'en sortir dis donc? tu saurais pas quoi avec un "peut-être malware genre: not-a-virus:riskware.mirc ca l'air que ça rôde sur pas mal de version mirc d'ailleurs. Je l'ai et même si je passe le scanner a², il nettoie d'accord mais il faut que je vide mon restore temp, ensuite, je perds l'icone du mirc32 pour me connecter. Si je vais le re télécharger, c'est certain que cette affaire revient. Et si c'est dans le fond pour ne dire que c'est à nos risques de télécharger mirc puisque c'est pas un virus, pourquoi pas être clair... bye bye a+
Marsh Posté le 19-01-2005 à 17:47:16
pas tout pigé là
Marsh Posté le 19-01-2005 à 17:56:02
quand j'écris, il m'arrive de faire un peu genre, me parler lol c'est juste de connaître l'identité de ce: not-a-virus:riskware.mirc
Il se peut que ce soit juste un avis que c'est à nos risques de télécharger ce logiciel de chat pour aller sur le irc. Jusqu'ici, je n'ai pas eu de réponse. Mais j'ai fait une recherche sur google et c'est là que j'ai vu que bien des versions de ce logiciel de chat mirc est collé avec cette espèce de not-a-virus:riskware.mirc
Donc, je me disais que peut-être quelqu'un ici saurait s'en débarrasser, ce que je pense, finalement, c'est que ça peut pas + aggraver que c'était avant. Il y a et aura toujours de ces virus ou malware partout. bon, c'est tout! lol ici c'est l'heure du dîner, bye bye!
Marsh Posté le 19-01-2005 à 19:19:57
là ça va mieux
Marsh Posté le 18-01-2005 à 11:51:02
Salut,
Fallait bien que ça arrive ... voilà j'ai chopé une belle merde que je n'arrive pas éliminé malgré ma super protection qui se compose de Giant Antispyware, de Ad-Aware, de Spybot, de AOL Spyware et de Anti-Trojan !
Toutes les 30 secondes Spybot Resident m'envoie ce message :
Categorie : Browser Page
Modif : Valeur changed
Element : search Bar
Ancienne valeur : http://bewvztydy ....
Nouvelle valeur : http://tntgcu ....
je refuse la modif et rien ne change !
Au démarrage Giant m'envoie le même message que je bloque evidemment ...
Resultat des anti spyware :
Ad-Aware :
Vendor : Win32.TrojanDowloader.Swizzor.br
category : Malware
destination : dans le fichier Temp
Spybot :
Rien
Giant :
Comme Ad-Aware
AOL Spyware :
Rien
Anti-Trojan :
Rien
Que me conseillez-vous de faire ? J'en ai ras le cul de ce truc !
Je vous remercie d'avance