Problèmes : pop up, gator & co.... Que faire ?

Problèmes : pop up, gator & co.... Que faire ? - Sécurité - Windows & Software

Marsh Posté le 02-11-2004 à 11:47:07    

J'ai pas mal de problèmes ces derniers temps.
Des publicités s'affichent aléatoirement sur mon pc...
Impossible de mettre la page d'acceuil qu'il me plait sur IE, donc j'utilise Mozzilla...
 
Mon pc est fort ralenti après avoir lancé une grosse application du style Steam / Emule / ...
 
Je ne comprends pas d'où proviennent ces méfait ? J'update et lance regulierement Spybot, Adaware qui trouvent et effacent les mauvais fichier mais ces fichiers reviennent sans cesse...
J'ai aussi un Firewall (Symantec) mais j'ai souvent l'impression qu'il ne sert à grand chose...
 
Je n'utilise que 50% de mon DD, d'après NAV je n'ai aucune virus...
 
Que faire ?
 
 
Merci
 
[edit] c'est mon premier message sur ce forum, et je n'ai pas pretté attetion à la catégorie du sujet... est ce qu'un gentil modo pourrait le mettre là où il faut ? Merci d'avance [/edit]


Message édité par aladin92 le 02-11-2004 à 11:51:03
Reply

Marsh Posté le 02-11-2004 à 11:47:07   

Reply

Marsh Posté le 02-11-2004 à 12:12:10    


Ca vient certainement de fichiers téléchargés et installés sur ton ordi.
Gator ne passe pas par le net. Il s'installe avec un programme.
 
Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 

Reply

Marsh Posté le 02-11-2004 à 12:32:19    

Je crois que j'ai fait une grosse connerie... j'ai tout selectionné et j'ai fait "fix" du coup ca à tout supprimer et c'est seulement après, comme un gros con, que j'ai lu que certains fichier peuvent etre bon ou mauvais donc il ne faut pas supprimer sans savoir...
Qu'est ce que je risque maintenant ?  
 
 
mon log :
 

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 12:28:37, on 02/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\vpc32.exe
C:\Documents and Settings\Juan\Application Data\rsle.exe
C:\WINDOWS\System32\??rss.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Star Downloader\stardown.exe
C:\Download\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/rengo/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.websearchup.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: RichFind - {E5A2678F-DA83-4D2E-BA85-6236E90098FA} - C:\WINDOWS\richfind.dll
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {32FF6D5A-906A-7FC3-DE0E-61550AD82534} - C:\WINDOWS\System32\uscg.dll (file missing)
O2 - BHO: (no name) - {37AC3108-9465-7593-865B-61550A83793A} - C:\WINDOWS\System32\airmw.dll
O2 - BHO: IEHelper - {4a4346ad-0f96-48ea-ae85-038992ce773a} - C:\WINDOWS\System32\Q75736656.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: RichFind - {E5A2678F-DA83-4D2E-BA85-6236E90098FA} - C:\WINDOWS\richfind.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp\nopopup.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WebRebates] javaw -cp "C:\Program Files\WebRebates\System\Code" Main lp: "C:\Program Files\WebRebates"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Steam] D:\jeux\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Outr] C:\Documents and Settings\Juan\Application Data\rsle.exe
O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0
O4 - HKCU\..\Run: [Lhv] C:\WINDOWS\System32\??rss.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusea [...] xdm185XXUS
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGo [...] /npwwg.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05884f [...] xIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} - http://searchfind.info/bar/win32.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGo [...] axchat.cab
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\NavExt.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\NavExt.dll
O18 - Filter: text/html - {A771FB97-B13E-46E2-973A-1CF0B693D1BC} - C:\WINDOWS\NavExt.dll
 

Reply

Marsh Posté le 02-11-2004 à 12:49:33    

Relance HijackThis -> config -> backups -> "Restore" tout ce que tu as supprimé. Redémarre.
 
Poste un log sans rien faire.

Reply

Marsh Posté le 02-11-2004 à 13:29:38    

Spybot - Search & Destroy avec nettoie ton pc et tu peux aussi bloquer les truc installer depuis internet style gator!! et retirer des pages de demarrage de ton pc ( perso j'avais msn ect ect et j'ai laisser google et maintenant tout va nickel :) )
 
:hello:


Message édité par mecdu66 le 02-11-2004 à 13:30:26
Reply

Marsh Posté le 02-11-2004 à 14:05:37    

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 14:04:51, on 02/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Download\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/rengo/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.websearchup.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: RichFind - {E5A2678F-DA83-4D2E-BA85-6236E90098FA} - C:\WINDOWS\richfind.dll
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {32FF6D5A-906A-7FC3-DE0E-61550AD82534} - C:\WINDOWS\System32\uscg.dll  (file missing)
O2 - BHO: (no name) - {37AC3108-9465-7593-865B-61550A83793A} - C:\WINDOWS\System32\airmw.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: IEHelper - {c4fb5ffa-c123-463a-87d7-831bc3866441} - C:\WINDOWS\System32\Q75736656.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: RichFind - {E5A2678F-DA83-4D2E-BA85-6236E90098FA} - C:\WINDOWS\richfind.dll
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WebRebates] javaw -cp "C:\Program Files\WebRebates\System\Code" Main lp: "C:\Program Files\WebRebates"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp\nopopup.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Steam] D:\jeux\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Outr] C:\Documents and Settings\Juan\Application Data\rsle.exe
O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0
O4 - HKCU\..\Run: [Lhv] C:\WINDOWS\System32\??rss.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusea [...] xdm185XXUS
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGo [...] /npwwg.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05884f [...] xIE601.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C94158E1-6151-4442-ABE6-FD53D6534EFB} - http://searchfind.info/bar/win32.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGo [...] axchat.cab
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\NavExt.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\NavExt.dll
O18 - Filter: text/html - {A771FB97-B13E-46E2-973A-1CF0B693D1BC} - C:\WINDOWS\NavExt.dll
 


 
Voila j'ai tout repris, merci encore Acrobaze !
 
Je fais quoi maintenant ?

Reply

Marsh Posté le 02-11-2004 à 14:42:39    

Ouf! Bon, on va enlever les parasites.
 
-----------1
Télécharge CoolWebSchredder sur:  
http://www.spywareinfo.com/~merijn/downloads.html  
ou  
http://www.lurkhere.com/~nicefiles/index.html  
Laisse-le en attente sur ton bureau.  
 
Munis-toi de la dernière version d'AdAware SE (si tu ne l'as pas déjà)sur:  
http://lavasoft.element5.com/french/support/download/  
Pack français sur:  
http://www.webmatze.tk/  
télécharger->installer, mettre à jour.  
 
------------------2
 
Redémarrer en mode sans échec (en tapotant F8 au démarrage).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://richfind.com/ie/
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://richfind.com/ie/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/rengo/  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.websearchup.com/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://richfind.com/ie/  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://richfind.com/ie/  
R3 - URLSearchHook: RichFind - {E5A2678F-DA83-4D2E-BA85-6236E90098FA} - C:\WINDOWS\richfind.dll  
 
O1 - Hosts: 64.91.255.87 www.dcsresearch.com  
 
O2 - BHO: (no name) - {32FF6D5A-906A-7FC3-DE0E-61550AD82534} - C:\WINDOWS\System32\uscg.dll  (file missing)  
O2 - BHO: (no name) - {37AC3108-9465-7593-865B-61550A83793A} - C:\WINDOWS\System32\airmw.dll  
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll  
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)  
O3 - Toolbar: RichFind - {E5A2678F-DA83-4D2E-BA85-6236E90098FA} - C:\WINDOWS\richfind.dll  
 
O4 - HKLM\..\Run: [WebRebates] javaw -cp "C:\Program Files\WebRebates\System\Code" Main lp: "C:\Program Files\WebRebates"  
O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta  
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe  
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe  
O4 - HKCU\..\Run: [Outr] C:\Documents and Settings\Juan\Application Data\rsle.exe  
O4 - HKCU\..\Run: [Lhv] C:\WINDOWS\System32\??rss.exe  
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe  
 
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusea [...] xdm185XXUS  
 
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05884f [...] xIE601.cab  
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab  
 
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\NavExt.dll  
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\NavExt.dll  
O18 - Filter: text/html - {A771FB97-B13E-46E2-973A-1CF0B693D1BC} - C:\WINDOWS\NavExt.dll  
 
 
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
 
C:\Program Files\WebRebates\<-le dossier
C:\WINDOWS\Fonts\fonts.hta
C:\Documents and Settings\Juan\Application Data\rsle.exe
C:\WINDOWS\System32\??rss.exe Attention, pas csrss !
vpc32.exe <-par "rechercher".
 
Vide la corbeille.
 
Toujours en sans échec:
-Lance CoolWebSchredder (Fix->next
-Lance une analyse complète Ad-Aware SE. Sélectionne et supprime tout ce qu'il trouvera.
 
-----------------3
 
Redémarre en mode normal. Poste un nouveau log.
 
Edit : tu as intérêt à imprimer la liste ou à la copier dans le bloc-notes...IE sera inaccessible.
 
 
   .


Message édité par acrobaze le 02-11-2004 à 14:44:10
Reply

Marsh Posté le 02-11-2004 à 14:45:10    

Salut Acrobaze :hello:
 
juste une question, je suppose que tu as volontairement laissé "O2 - BHO: IEHelper - {c4fb5ffa-c123-463a-87d7-831bc3866441} - C:\WINDOWS\System32\Q75736656.dll " mais pourquoi?


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 02-11-2004 à 14:53:11    

minipouss a écrit :

Salut Acrobaze :hello:
 
juste une question, je suppose que tu as volontairement laissé "O2 - BHO: IEHelper - {c4fb5ffa-c123-463a-87d7-831bc3866441} - C:\WINDOWS\System32\Q75736656.dll " mais pourquoi?


 
Bonjour!
 
Non, ce n'est pas volontaire...il m'a échappé!
 
Allez...je me trouve une excuse...le rapport en "citation"...mal lisible...!  :lol:  
 
Oui, c'est pour ça que je demande tjrs un nouveau log...quand c'est un peu "rempli" comme ça, il y a risque d'en oublier!

Reply

Marsh Posté le 02-11-2004 à 15:07:37    

tu m'étonnes, moi qui croyais que c'était une de tes astuces spéciales
 
[:rofl]


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 02-11-2004 à 15:07:37   

Reply

Marsh Posté le 02-11-2004 à 19:22:26    

Mille merci Acrobaze ! C'est rare des personnes comme toi prête à aider son prochain :)
 
Merci encore !

Reply

Marsh Posté le 02-11-2004 à 19:56:20    

1348 J a écrit :

Mille merci Acrobaze ! C'est rare des personnes comme toi prête à aider son prochain :)
 
Merci encore !


 
Ok. Pense à poster un nouveau log.  :hello:

Reply

Marsh Posté le 03-11-2004 à 00:21:41    

Citation :

Logfile of HijackThis v1.98.2
Scan saved at 00:14:44, on 03/11/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\htpatch.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Documents and Settings\Juan\Application Data\rsle.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Winamp\Winamp.exe
C:\Download\HijackThis19802.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [RIP PopUp] C:\Program Files\RIP PopUp\nopopup.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [Steam] D:\jeux\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGo [...] /npwwg.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\NavExt.dll
 


 
Je n'ai trouver aucun trace de

Citation :

C:\Program Files\WebRebates\<-le dossier
C:\WINDOWS\Fonts\fonts.hta
C:\Documents and Settings\Juan\Application Data\rsle.exe
C:\WINDOWS\System32\??rss.exe Attention, pas csrss !
vpc32.exe <-par "rechercher".
 

J'ai pourtant bien l'option "voir les fichiers cachés" mais rien...
 
Sinon maintenant le pc tourne bien mieux :=)
 
Je te remercie encore une fois Acrobaze !
Si tu passe un jour dans la region bruxelloise ou non loin, previens moi je te paye une jack daniels ou une biere selon tes goûts ;)
 
Merci :)


Message édité par aladin92 le 03-11-2004 à 00:26:02
Reply

Marsh Posté le 03-11-2004 à 18:21:59    


Citation :

Je n'ai trouver aucun trace de


 
C'est possible que ce ne soient que d'anciennes traces d'infection dans la bdr. Mais il valait mieux vérifier.
 
Tout est bon, là!
 
Ok pour la bière! Salut!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed