Spyware; mon log hijackthis; qui peut m'aider pour le menage? plz

Spyware; mon log hijackthis; qui peut m'aider pour le menage? plz - Sécurité - Windows & Software

Marsh Posté le 29-03-2005 à 00:10:23    

Bonjour,
Alors voilà, je suis sous XP pro SP2 et hier, en ouvrant une fenetre internet explorer, mon URL de demarrage avait changé... Il est passé de http://www.google.fr à about:blank tout en me lançant une page de recherche dans ce style : ici... Ce que je n'avais pas du tout programmé!
Bon, apres de nombreuses suppressions de fichiers arrivés sur mon PC aux environs de l'heure du "drame", cette page ne se lançait plus au démarrage de IE (car avant, elle se remettait par defaut a chaque execution de IE meme quand je remettais google en page de demarrage). Le probleme, c'est que quand cette page se lançait, un pop up se lançait aussi (en desactivant au préalable mon anti-popup integré au IE du SP2 sans que je le demande non-plus et ne voulait plus se reactiver).
Maintenant que la page about:blank ne se lance plus, j'ai, environ toutes les demi-heures ce pop-up qui se lance toujours, meme si aucune fenetre IE n'est en cours...
Je vous ai mit des captures d'ecrans pour que vous les voyez (Elles ont plusieurs apparence differentes)  
 
Capture1 = 123ko
Capture2 = 125ko
 
Ma question est donc de savoir si quelqu'un sait comment retirer definitivement ces désabréables pop-up qui se lancent tout seuls... Sans IE! J'ai fait un scan, je n'ai pas de virus...
 
 
 
PS: un dernier détaille, si je ne la ferme pas (la fenetre), elle ne se relance jamais en double...


Message édité par Devilish_Seraph le 29-03-2005 à 21:31:19
Reply

Marsh Posté le 29-03-2005 à 00:10:23   

Reply

Marsh Posté le 29-03-2005 à 02:36:07    

ce n'est pas un virus mais un spyware...
regarde sur ce forum les nombreuses solutions pour désinfecter et te protéger contre ce fléau...
 
en premier lieu tu devrais poster ici un log du logiciel hijackthis!
 
puis tu peux tenter de te désinfecter/proteger avec :
-des antispywares pour désinfecter (spybot + ad-aware c'est deja super)
-des protections (spywareblaster + blocage des activex et des cookies)
 
et le top du top, changer de naviguateur passe d'internet explorer vers firefox, tu gagnera en sécurité...
 
 
[:bagu]


Message édité par bagu le 29-03-2005 à 02:37:10
Reply

Marsh Posté le 29-03-2005 à 09:20:08    

Heureusement, j'ai firefox! Mais il me faut les deux, certains site sont seulement créés pour IE! Pour ce qui est de Highjackthis, je verrai ça ce soir et je posterai le log ici si je ne trouve pas! Merci bien!
 
Pourrais-je aussi avoir des noms de logiciels "spybot + ad-aware" qui fonctionnent sous XP pro SP2?  
 
 
Au passage, mon tasklist et taskkill ont disparu, je les avais avant mon formatage et pourtant j'ai reinstallé avec le meme CD... Quelqu'un aurait une solution?


Message édité par Devilish_Seraph le 29-03-2005 à 12:32:13
Reply

Marsh Posté le 29-03-2005 à 16:50:26    

Logfile of HijackThis v1.99.1
Scan saved at 16:44:32, on 29/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Program Files\Logiciels\NetLimiter\NetLimiter.exe
C:\Program Files\Logiciels\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logiciels\SuperCopier\SuperCopier.exe
C:\program files\jeux\steam\steam.exe
C:\Program Files\Logiciels\mIRC\mirc.exe
C:\Program Files\Logiciels\eChanblard\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Seraph\Local Settings\Temporary Internet Files\Content.IE5\439REYND\HijackThis[1].exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {BDEA2C1E-9550-4686-91A7-522BB1AE3EEC} - C:\WINDOWS\system32\pnhi.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\Logiciels\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\Logiciels\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\Logiciels\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [mirc.exe] C:\Program Files\Logiciels\mIRC\mirc.exe
O4 - Startup: eChanblard.lnk = C:\Program Files\Logiciels\eChanblard\emule.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\LOGICI~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\LOGICI~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1826544328
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Filter: text/html - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O18 - Filter: text/plain - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
 

Reply

Marsh Posté le 30-03-2005 à 00:17:06    

Je te dirais de virer ca :
 
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll/spage.html
O2 - BHO: (no name) - {BDEA2C1E-9550-4686-91A7-522BB1AE3EEC} - C:\WINDOWS\system32\pnhi.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O18 - Filter: text/html - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O18 - Filter: text/plain - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
 
Puis passe un bon coup d'ad aware + spybot + spyware blaster
Et met ton pc à jour via windows update.
 
 
 
[:bagu]

Reply

Marsh Posté le 30-03-2005 à 08:06:56    

Comment je peux virer ça? Je le fais direct en allant dans les repertoire et "Suppr" ou bien je peux le faire par HijackThis?

Reply

Marsh Posté le 30-03-2005 à 08:09:38    

Logfile of HijackThis v1.99.1
Scan saved at 08:04:09, on 30/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Program Files\Logiciels\NetLimiter\NetLimiter.exe
C:\Program Files\Logiciels\D-Tools\daemon.exe
C:\Program Files\Logiciels\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logiciels\SuperCopier\SuperCopier.exe
C:\program files\jeux\steam\steam.exe
C:\Program Files\Logiciels\mIRC\mirc.exe
C:\Program Files\Logiciels\eChanblard\emule.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\LOGICIELS\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {BDEA2C1E-9550-4686-91A7-522BB1AE3EEC} - C:\WINDOWS\system32\pnhi.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\Logiciels\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\Logiciels\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Logiciels\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\Logiciels\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [mirc.exe] C:\Program Files\Logiciels\mIRC\mirc.exe
O4 - Startup: eChanblard.lnk = C:\Program Files\Logiciels\eChanblard\emule.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\LOGICI~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Logiciels\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Logiciels\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\LOGICI~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1826544328
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Filter: text/html - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O18 - Filter: text/plain - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
 

Reply

Marsh Posté le 30-03-2005 à 08:10:39    

J'ai essayé de virer des trucs mais je sais pas si ça a marché... Tu peux me donner un nom d'un logiciel d'ad aware + spybot + spyware blaster s'il te plait?

Reply

Marsh Posté le 30-03-2005 à 12:14:26    

bagu a écrit :

Je te dirais de virer ca :
 
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll/spage.html
O2 - BHO: (no name) - {BDEA2C1E-9550-4686-91A7-522BB1AE3EEC} - C:\WINDOWS\system32\pnhi.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O18 - Filter: text/html - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O18 - Filter: text/plain - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
 
Puis passe un bon coup d'ad aware + spybot + spyware blaster
Et met ton pc à jour via windows update.
 
 
 
[:bagu]


  :ouch:  :ouch:  :ouch:

Reply

Marsh Posté le 30-03-2005 à 12:30:03    

c'est dingue de donner des conseils comme ça bordel :pfff:


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 30-03-2005 à 12:30:03   

Reply

Marsh Posté le 30-03-2005 à 13:51:44    

va voir les reponses à ma question suit bien tt ce qui ce dit ça marche!!

Reply

Marsh Posté le 30-03-2005 à 14:06:11    

enjiemoa a écrit :

va voir les reponses à ma question suit bien tt ce qui ce dit ça marche!!


 
Non. Ici, le parasite c'est cette "Se.dll".  
 
Cocher et fixer:
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Seraph\LOCALS~1\Temp\se.dll,DllInstall  
redémarrer en sans échec et vider ce dossier:
C:\DOCUME~1\Seraph\LOCALS~1\Temp\

Reply

Marsh Posté le 30-03-2005 à 14:36:04    

Hum hum...je ne lui conseillais pas de supprimer...mais de fermer ca....pffft
 
Faut pas non plus croire que je veux lui supprimer internet explorer, non !!??!!
 
Mais étant donné que bcp de spyware son actif avec ie d'allumé, on le ferme...et ensuite seulement on désinfecte...quand a htpatch et a SiSUSBrg, j'ai déja eut des virus qui se sont logé dedans, donc pour les désinfecter, il faut les fermer (du moins, moi j'ai du les fermer)
 
Avant de juger un conseil, permettez au moins a celui qui l'a donné de s'expliquer un peu mieu...vous avez vu à quelle heure je l'avais posté ma réponse ?? a cette heure, je reconnais que je suis peu etre trop succint dans mes explications ! (fatigue  de nuit blanche powaaaa :( )


Message édité par bagu le 30-03-2005 à 14:36:43
Reply

Marsh Posté le 30-03-2005 à 15:38:09    

bagu a écrit :

Je te dirais de virer ca :
...


:o
 
:D

Reply

Marsh Posté le 30-03-2005 à 15:40:14    

Excuse, mais chez moi virer=fermer (de ce cas la du moins) abus de lagage, peut etre...mais désolé si je ne suis pas précis dans mes termes apres une nuit blanche...

Reply

Marsh Posté le 30-03-2005 à 18:44:52    

De toute façon, je ne peux que te dire merci! Meme si tu m'avais fait faire une bétise, c'etait de bon coeur! ;)

Reply

Marsh Posté le 30-03-2005 à 18:46:23    

Par contre quand tu dis "redemarrer en mode sans echec" c'est le Windows ou hijackthis? Parce que si c'est windows... Je sais pas faire! :(

Reply

Marsh Posté le 30-03-2005 à 18:48:59    

Reply

Marsh Posté le 30-03-2005 à 18:52:23    

tu tapotes F8 durant le démarrage du pc pour te retrouver en mode sans échec :)
 
edit : chui un peu lent là :D


Message édité par minipouss le 30-03-2005 à 18:52:54
Reply

Marsh Posté le 30-03-2005 à 18:56:21    

lol
Merci, je vais essayer

Reply

Marsh Posté le 30-03-2005 à 19:04:52    

Bon, c'est fait! Je vous remontre mon log hijackthis pour que vous puissiez admirer (et confirmer l'absence de spyware...) :D  
 
Une derniere question si ce log est OK... Quel ad aware ou/et spybot ou/et spyware blaster choisir? Merci beaucoup a tout le monde pour votre aide!
 
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 18:57:09, on 30/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Program Files\Logiciels\NetLimiter\NetLimiter.exe
C:\Program Files\Logiciels\D-Tools\daemon.exe
C:\Program Files\Logiciels\jre1.5.0_02\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logiciels\SuperCopier\SuperCopier.exe
C:\program files\jeux\steam\steam.exe
C:\Program Files\Logiciels\mIRC\mirc.exe
C:\Program Files\Logiciels\eChanblard\emule.exe
D:\LOGICIELS\HijackThis.exe
C:\WINDOWS\system32\mdm.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program Files\Logiciels\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\Logiciels\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Logiciels\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\Logiciels\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\jeux\steam\steam.exe" -silent
O4 - HKCU\..\Run: [mirc.exe] C:\Program Files\Logiciels\mIRC\mirc.exe
O4 - Startup: eChanblard.lnk = C:\Program Files\Logiciels\eChanblard\emule.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\LOGICI~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Logiciels\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Logiciels\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\LOGICI~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1826544328
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O18 - Filter: text/html - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O18 - Filter: text/plain - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Reply

Marsh Posté le 30-03-2005 à 19:11:03    

Coche ces lignes:
 
O18 - Filter: text/html - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll  
O18 - Filter: text/plain - {9248A2D2-A577-4A67-8BCB-77EDC16B47CB} - C:\WINDOWS\system32\pnhi.dll  
 
Clique "Fix checked" et redémarre.
 
Poste un nouveau log.
 
============
 
Ad-Aware SE est excellent. SpyBot peut être un complément.
SpywareBlaster est préventif donc utile aussi.

Reply

Marsh Posté le 30-03-2005 à 19:11:58    

oui à part que je ne trouve rien sur cette dll "C:\WINDOWS\system32\pnhi.dll"
 
peux-tu aller sur http://virusscan.jotti.org/ et charger de fichier pour le faire analyser par plusieurs antivirus d'un coup? pour savoir si c'est une merde connue ou pas
 
edit : Acro tu fais chier à être plus rapide à chaque fois :o
 
 
:D


Message édité par minipouss le 30-03-2005 à 19:12:40
Reply

Marsh Posté le 30-03-2005 à 19:23:33    

Euh... Je la trouve pas à l'endroit indiqué cette DLL... Meme avec une recherche Windows...

Reply

Marsh Posté le 30-03-2005 à 19:24:25    

:lol:  :hello:  
 
C'est une dll au nom aléatoire. Elle fait partie du trojan, si on peut dire. Typique:
 
- Des lignes R avec Temp\se.dll
- Une O2 avec une dll aléatoire.
- une O4 pour le lancement de se.dll
- deux O18 avec la mm dll que les O2.
 

Reply

Marsh Posté le 30-03-2005 à 19:25:19    

Devilish_Seraph a écrit :

Euh... Je la trouve pas à l'endroit indiqué cette DLL... Meme avec une recherche Windows...


 
Normalement, elle est supprimée, maintenant.

Reply

Marsh Posté le 30-03-2005 à 19:25:38    

faut afficher les fichiers système et cachés dans les options des dossiers de l'explorateur windows (menu outils)
 
edit  :cry:  :cry:  :cry: :hello: Acrobaze :D


Message édité par minipouss le 30-03-2005 à 19:26:17
Reply

Marsh Posté le 30-03-2005 à 19:26:36    

Et j'en fait quoi moi? :'(

Reply

Marsh Posté le 30-03-2005 à 19:29:51    

Oui oui, c'est fait! Mais y'a pas!

Reply

Marsh Posté le 30-03-2005 à 19:39:30    

Bon bah j'ai plus de fenetre IE qui s'affiche toute seule donc je crois que ça me suffiera... J'aimerai juste savoir quel logiciel il faut pour se proteger contre les spy! Des noms! N'hesitez pas a les denoncer! ;)
 
Et merci pour tout! (encore)

Reply

Marsh Posté le 30-03-2005 à 19:54:43    

Devilish_Seraph a écrit :

Bon bah j'ai plus de fenetre IE qui s'affiche toute seule donc je crois que ça me suffiera... J'aimerai juste savoir quel logiciel il faut pour se proteger contre les spy! Des noms! N'hesitez pas a les denoncer! ;)
 
Et merci pour tout! (encore)


 
Ad-Aware SE est excellent. SpyBot peut être un complément.  
SpywareBlaster est préventif donc utile aussi.
 
Mais c'est avant tout TA prudence.

Reply

Marsh Posté le 30-03-2005 à 19:56:30    

Bah je suis prudent, j'ai le sp2 a jour, j'active pas les activeX sur les sites que je connais pas etc... Mais celui la est passé je ne sais comment...

Reply

Marsh Posté le 30-03-2005 à 20:01:27    

et tu lances emule dès le démarrage du pc :D ;)

Reply

Marsh Posté le 30-03-2005 à 20:03:09    

Devilish_Seraph a écrit :

Bah je suis prudent, j'ai le sp2 a jour, j'active pas les activeX sur les sites que je connais pas etc... Mais celui la est passé je ne sais comment...


 
Et un antivirus, par exemple:
http://free.grisoft.com/freeweb.ph [...] /us/tpl/v5
 
Gratuit.

Reply

Marsh Posté le 30-03-2005 à 20:05:38    

Non... :D

Reply

Marsh Posté le 30-03-2005 à 20:06:16    

C'est une passoire AVG FREE...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed