Tibs dialer

Tibs dialer - Sécurité - Windows & Software

Marsh Posté le 27-11-2004 à 18:27:12    

comment virer ce foutu dialer à la c** !!!!!
 
mode sans échec je veux bien...mais après quoi ?
mon regedit marche pas !!!!
 
merci


---------------
novice en tout, je suis la somme de riens
Reply

Marsh Posté le 27-11-2004 à 18:27:12   

Reply

Marsh Posté le 28-11-2004 à 13:40:47    

Où est enregistré ton dialer ?   :??:


---------------
La patience est la plus grande des vertus, il est vraiment dommage que j'en soit autant dépourvu.
Reply

Marsh Posté le 28-11-2004 à 13:56:17    

Si regedit ne fonctionne pas, c'est qu'il y a autre chose..
 
Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 

Reply

Marsh Posté le 24-03-2005 à 16:28:43    

Moi aussi g ce foutu dialer qui réapparait toujours! Aidez moi à m'en débarasser svp! Pouvez vous me dire s'il est dangereux, avec une connexion adsl? (j'ai peur ;-()
 
J'ai lancé "hijackthis" comme dit dans le message précédent et récupérer le log que voici (c'est long):
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\windows\system32\chbsnog.exe
C:\windows\system32\packager.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\Mes fichiers reçus\HijackThis.exe
 
 
O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll
O2 - BHO: (no name) - {38D4D5D0-423E-4220-B6F9-30918C2AE4A4} - C:\WINDOWS\sasetup.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [chbsnog] c:\windows\system32\chbsnog.exe
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
 
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
 
 
je n'y comprend pas grand chose, n'étant pas vraiment calée en info, mais j'espère que vous pourrez m'aider! Que dois-je faire?


Message édité par leane7 le 24-03-2005 à 16:31:03
Reply

Marsh Posté le 24-03-2005 à 16:41:23    

acrobaze a écrit :


-Le copier/coller ici, dans une réponse,sans rien faire d'autre.


 
 
C'est dingue ca, pourquoi tu sort ça a chaque fois, tu tiens vraiment a macher tout le boulot de tout le monde et laisser les gens dans l'assistanat le plus total ?
C'est quand meme pas bien compliqué de passer a l'analyseur en ligne pour dégrossir un minimum...
http://www.hijackthis.de/fr

Reply

Marsh Posté le 24-03-2005 à 16:46:21    

El Pollo Diablo a écrit :

C'est dingue ca, pourquoi tu sort ça a chaque fois, tu tiens vraiment a macher tout le boulot de tout le monde et laisser les gens dans l'assistanat le plus total ?
C'est quand meme pas bien compliqué de passer a l'analyseur en ligne pour dégrossir un minimum...
http://www.hijackthis.de/fr


 [:benou_+1]  
 
Bien d'accord.  
 
Maintenant faut voir avec qui tu discutes, en l'occurence Acrobaze, qui est plutôt du genre "surtout je ne dois absolument rien dévoiler de ma méthode !" [:russ]


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-03-2005 à 19:04:33    

El Pollo Diablo a écrit :

C'est dingue ca, pourquoi tu sort ça a chaque fois, tu tiens vraiment a macher tout le boulot de tout le monde et laisser les gens dans l'assistanat le plus total ?
C'est quand meme pas bien compliqué de passer a l'analyseur en ligne pour dégrossir un minimum...
http://www.hijackthis.de/fr


 
Parce que l'analyseur n'est pas fiable, d'abord.  
 
Il n'y a pas de méthode particulière à part l'habitude.

Reply

Marsh Posté le 24-03-2005 à 19:07:01    

O4 - HKLM\..\Run: [chbsnog] c:\windows\system32\chbsnog.exe  
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe  
 
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
c:\windows\system32\chbsnog.exe
C:\WINDOWS\farmmext.exe
 
Vide la corbeille. Redémarre en mode normal et poste un nouveau log.

Reply

Marsh Posté le 24-03-2005 à 19:13:06    

acrobaze a écrit :

Parce que l'analyseur n'est pas fiable, d'abord.


 
Ca permet d'éliminer au moins 90% du contenu du log dans tous les cas.
Et y'a google sinon, lancer une recherche sur les exe dont on doute c'est pas tres compliqué non plus.
 

Citation :

Il n'y a pas de méthode particulière à part l'habitude.


 
Mais bien sur  :sarcastic:  

Reply

Marsh Posté le 24-03-2005 à 19:16:53    

acrobaze a écrit :

Parce que l'analyseur n'est pas fiable, d'abord.


Permet d'élimier 95% des lignes. Le reste Google et le bon sens de l'utilisateur s'en chargent.

acrobaze a écrit :


Il n'y a pas de méthode particulière à part l'habitude.

:lol: et puis quoi encore ?


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-03-2005 à 19:16:53   

Reply

Marsh Posté le 24-03-2005 à 19:32:03    

El Pollo Diablo a écrit :

Ca permet d'éliminer au moins 90% du contenu du log dans tous les cas.
 

Citation :

Il n'y a pas de méthode particulière à part l'habitude.


 
Mais bien sur  :sarcastic:


 
Non. On en a déjà discuté. Cet "analyseur" fait des erreurs dans les deux sens :
- il fait passer des trojans pour légitimes
- il incite au contraire à supprimer des fichiers légitimes (par exemple avec ce %...que va comprendre un débutant avec des réponses à 43% etc..).
 
L'intention de ses créateurs est certainement louable, mais ce n'est pas encore au point.
 
Ben non, ça t'épate peut-être, mais il n'y a pas de méthode, à part l'expérience et Google. L'expérience, tu ne sembles pas l'avoir, c'est tout. Et je t'assure que ce n'est pas en postant sur l'"analyseur" que tu l'auras. L'expérience elle vient en se mesurant aux questions qui se posent, pas en se déchargeant sur un robot.
Et puisque tu poses la question, je suis "First Responder" à CastleCops (tu m'as peut-être lu sans le savoir avec Google...) et "Hijack Helper" sur CyberTechHelp.  
 
Même Google est compliqué pour un débutant. Combien il y a encore de personnes effrayées de voir svchost, parce qu'ils ont lu que ça pouvait être un virus...
 
Bon, bref. Si tu n'es pas capable d'analyser un log, continue de poster des liens vers l'analyseur qui te tient tant à coeur. Moi, lorsque je poste, je ne critique personne, j'essaie de donner un coup de main aux débutants le plus souvent déroutés.
 
Bonne soirée.
 
 
 

Reply

Marsh Posté le 24-03-2005 à 20:22:24    

acrobaze a écrit :

Non. On en a déjà discuté. Cet "analyseur" fait des erreurs dans les deux sens :
- il fait passer des trojans pour légitimes


 
Jamais vu ca perso.
 

Citation :

- il incite au contraire à supprimer des fichiers légitimes (par exemple avec ce %...que va comprendre un débutant avec des réponses à 43% etc..).


 
Et donc je disais pour les fichiers ou il persiste un doute, je ne vois aucun probleme a ce qu'on viennet les poster ici.
 

Citation :

Ben non, ça t'épate peut-être, mais il n'y a pas de méthode,


 
Merde, comment tu fais alors  [:columbo2]  
 

Citation :

à part l'expérience


 
Et c'est sur qu'en insistant pour que les mecs postent les logs sans chercher a comprendre il vont vachement en acquerir de l'expérience.
 

Citation :

et Google.


 
Outil d'une complexité incroyable s'il en ai.
 

Citation :

L'expérience, tu ne sembles pas l'avoir, c'est tout.


 
Oui oui ca doit être ca.
C'est a se demander comment je faisais avant meme l'appartition d'hijackthis d'ailleurs.
Mon expérience me dit en tout cas que si les mecs se contentent de poster leurs logs en attendant qu'on leur mache tout le travail comme tu les y incite, c'est sur que dans 1 mois leur systeme va être a nouveau aussi pourri.
Surtout que ce que tu leur dits a chaque fois ca désactive les trojan et les spywares, mais ca ne les vire pas du systeme pour autant.
 

Citation :

Et je t'assure que ce n'est pas en postant sur l'"analyseur" que tu l'auras. L'expérience elle vient en se mesurant aux questions qui se posent, pas en se déchargeant sur un robot.


 
L'experience ne s'aquiert certainement pas en attendant qu'on fasse tout le taf pour soi.
 

Citation :

Et puisque tu poses la question, je suis "First Responder" à CastleCops (tu m'as peut-être lu sans le savoir avec Google...) et "Hijack Helper" sur CyberTechHelp.


 
Heu, non non, j'ai jamais posé la question, et je m'en moque un peu completement, j'ai même jamais entendu parler ce ses sites, et rien que le fait qu'il y ai ce genre de titre ca me fait bien rigoler.
 

Citation :

Même Google est compliqué pour un débutant.


 
 :heink:  
 

Citation :

Combien il y a encore de personnes effrayées de voir svchost, parce qu'ils ont lu que ça pouvait être un virus...


 
Encore une fois, ca permet de faire au moins un gros nettoyage avant de poster ce qui reste, et d'acquerir cette experiérience qui te tient tant a coeur.
 

Citation :

Bon, bref. Si tu n'es pas capable d'analyser un log, continue de poster des liens vers l'analyseur qui te tient tant à coeur. Moi, lorsque je poste, je ne critique personne, j'essaie de donner un coup de main aux débutants le plus souvent déroutés.


 
Moi aussi j'essaie de leur donner un coup de main, si ma methode est sans doute plus compliquée et longue au départ, la prochaine il sauront se débrouiller tout seul.
Donne un poisson a un homme il mangera une journée, aprend lui a pécher il pourra manger toute sa vie...


Message édité par El Pollo Diablo le 24-03-2005 à 20:26:26
Reply

Marsh Posté le 24-03-2005 à 20:28:38    

-Toi non plus tu ne semble pas avoir l'expérience acrobaze. Tu as oublié pleins de choses importantes :  
 
-il faut d'abord redemarrer en mode sans échec puis cocher les lignes, car les spyware en questions peuvent réécrire dans la BDR s'ils sont envore lancés en mémoire.
Il y'en a même qui marche par pairs et qui se relancent même si tu qu'il l'un des deux processus.
Donc >> Mode sans échec.
-Ensuite tu as zappé quelques lignes :  
Coches ces lignes :  
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll  
O2 - BHO: (no name) - {38D4D5D0-423E-4220-B6F9-30918C2AE4A4} - C:\WINDOWS\sasetup.dll  
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe  
O4 - HKLM\..\Run: [chbsnog] c:\windows\system32\chbsnog.exe  
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
et evidemment tu peux supprimer les fichiers équivalents.
 
et tu peux aussi cocher ça. il sert à rien.
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  

Reply

Marsh Posté le 24-03-2005 à 20:51:39    

El Pollo Diablo a écrit :

Donne un poisson a un homme il mangera une journée, aprend lui a pécher il pourra manger toute sa vie...

[:chapi-chapo]  
 
Mais Acrobaze (pardon, First Responder :o) a la tête dure comme du bois à propos de ce débat là, qui est le seul pour lequel il poste. J'ai d'ailleurs utilisé le même proverbe il y a plus d'un an, dans des échanges dans le genre avec lui... et on voit à quel point ça sert :sweat:
 
Le but est le même, mais c'est prendre les gens pour des imbéciles que de tout faire à leur place. Et ça ne leur rend pas service !


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 24-03-2005 à 21:00:51    

gatsusat a écrit :

-Toi non plus tu ne semble pas avoir l'expérience acrobaze. Tu as oublié pleins de choses importantes :  
 
-il faut d'abord redemarrer en mode sans échec puis cocher les lignes, car les spyware en questions peuvent réécrire dans la BDR s'ils sont envore lancés en mémoire.
Il y'en a même qui marche par pairs et qui se relancent même si tu qu'il l'un des deux processus.
Donc >> Mode sans échec.
-Ensuite tu as zappé quelques lignes :  
Coches ces lignes :  
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll  
O2 - BHO: (no name) - {38D4D5D0-423E-4220-B6F9-30918C2AE4A4} - C:\WINDOWS\sasetup.dll  
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe  
O4 - HKLM\..\Run: [chbsnog] c:\windows\system32\chbsnog.exe  
O4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exe
et evidemment tu peux supprimer les fichiers équivalents.
 
et tu peux aussi cocher ça. il sert à rien.
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime


 
Allons bon...Les "spécialistes" sortent des bois...
 
Si je demande ceci, c'est qu'il y a une raison :

Citation :

Vide la corbeille. Redémarre en mode normal et poste un nouveau log.


 
Gatsucat :
Ps2 :http://www.liutilities.com/products/wintaskspro/processlibrary/ps2/
 
qttask.exe
Dans "HijackThis", il y a "Hijack", et autant que je sache, QuickTime n'est pas un hijacker.
 
Et enfin, si tu étais un tantinet renseigné sur HijackThis, tu saurais que les dernières versions terminent les processus lorsqu'ils sont cochés et "fixés".

Reply

Marsh Posté le 24-03-2005 à 21:08:17    

bon ok pour PS2 mais j'ai déjà eu à faire à un spyware qui se nommait de la sorte. ou un nom similaire.
 
pour qttask.exe c'est pas un spy mais un exe de boulet qui ne sert à rien, à part encombrer la mémoire. Car Quicktime, ne sert pas tous les jours d'une part, et d'autre part ce petit exe ne sert pas à grand chose. Peut etre poru lancer quicktime plus rapidement. M'enfin bon, chacun son avis.
 
Ensuite comme je le disait plus haut. il existe certains spyware qui fonctionnent avec 2 ou plus d'executables. ET lorsque tu termine un processus, il  ya toujours un autre processus pour lancer celui que tu viens de terminer.
 
J'ai déjà connu ca, et pou dégager ca rien de mieux que le mode sans échec ou sinon bloquer l'accès aux spyware via les options de sécurité du répertoire dans lequels ils sont situés. mais C'est un peu barbare.

Reply

Marsh Posté le 24-03-2005 à 22:12:53    

Heu désolé de m'imiscer dans votre débat mais le but de ce forum est de fournir aux internautes une méthode si possible basée sur des exemples concrets.
Pour un cas traité en direct y en aura combien traités de facon autonome par les internautes qui auront lu ces lignes ?
Les utilisateurs de ce forum veulent (je pense) une solution rapide a leur problème ou des infos pour blinder leur sécurité.

Reply

Marsh Posté le 25-03-2005 à 07:34:56    

ya les topics uniques pour cela

Reply

Marsh Posté le 25-03-2005 à 17:31:33    

sanpellegrino a écrit :

Citation :

Acrobaze a écrit :
 
 
Il n'y a pas de méthode particulière à part l'habitude.

:lol: et puis quoi encore ?


 
Bon, je vais te livrer mon secret...mais ne le répète pas, stp.
 
J'ai trouvé sur internet une machine à $29.99. Le gars poste son log HijackThis, et il suffit de l'imprimer. L'appareil a une fente dans laquelle tu insères le log. Arrivé là, tu tournes la manivelle trois fois, en répétant : "HijackThis is my Lord!". Ensuite, tu appuies sur le gros bouton rouge, là, il faut dire : "I hope, I hope, I hope". Exactement deux minutes, dix-huit secondes et neuf dixièmes plus tard, la solution te vient à l'esprit, à condition que tu sois branché en usb 2, sinon, c'est un peu plus long.
 
Je ne sais plus le nom du site...mais tu trouveras par Google, j'en suis sûr.
 
Bon week-end.
 
Ps : voilà pour t'aider à progresser:
http://www.bleepingcomputer.com/forums/tutorial42.html
 

Reply

Marsh Posté le 25-03-2005 à 17:46:05    

acrobaze a écrit :

Bon, je vais te livrer mon secret...mais ne le répète pas, stp.


:sarcastic:
 
On en vient à ce que je pense depuis le début: tu as forgé ton "habitude" en lisant d'autres tutos. Du coup tu penses être le seul à pouvoir analyser correctement un log HJ.
 
Perso je trouve que la démarche des gens qui postent leur log sans rien faire en attendant ta réponse est mauvaise, car cela fait d'eux des assistés qui trois jours plus tard reposeront la même question. Et tu les y encourages en répondant systématiquement !
 
De plus ça pollue le forum, et plein d'autres forums. Fatiguant.
 
Je n'arrive pas à saisir pourquoi tu ne comprends pas ces arguments, sur lesquels tout le monde tombe pourtant d'accord. Tu protèges ta place de "First Helper" ou quoi :D ?


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 25-03-2005 à 18:12:58    

Je ne pense pas du tout que je suis le seul, non. Il y a des tas de gens compétents. D'où vient cette idée ?
 
On en a déjà parlé. C'est totalement absurde de dire "ça pollue le forum"...C'est comme si tu disais que les outils comme les clés par exemple polluent un garage...
HijackThis est le premier outil à utiiiser dans un forum "Sécurité". Et à partir de lui on en déduit l'utilisation d'autres outils encore.
 
Quelqu'un arrive avec un pb comme "Elite" par exemple. Tu lui proposes quoi ? Un antivirus? Non détecté. Ad-Aware? Non détecté. SpyBot? Non détecté. (ou du moins détecté mais pas éliminé.).
 
Mais c'est vrai que pour les pb un peu complexes, tu n'interviens pas.
 
Ce que je n'aime pas par-dessus tout, c'est ta façon de faire. Que tu critiques une manière de faire, c'est ton droit. Mais tu t'arranges toujours pour glisser des réflexions plus personnelles, comme ici :
 

Citation :

Tu protèges ta place de "First Helper" ou quoi


 
Je trouve cela très mal-venu et ça sent la provocation. On dirait  qu'en fait, je te gêne ici. Avant que j'arrive, tu demandais aux gars de poster un HJT, et très dédaigneux tu te permettais de dire " Ton log est plein de merdes!" et bien sûr "Va sur l'analyseur et tu as mon merveilleux tuto".
Maintenant, pas de bol...quelqu'un les analyse, les logs...et ça t'embête ça, car tu ne peux plus jouer au "spécialiste".
 
Je suis allé sur ton terrain. C'est pas sympa, hein ?
 
Allez, aies confiance. Un jour, tu arriveras à analyser un log tout seul.
 
Re bon week-end. Je t'ai laissé de la lecture!
 
 
 

Reply

Marsh Posté le 25-03-2005 à 18:33:06    

acrobaze a écrit :

HijackThis est le premier outil à utiiiser dans un forum "Sécurité".


 
Je passe une bonne partie de mes journées a dépanner des PC (c'est même un peu mon taf), et je ne me suis jamais servi de hijackthis, et ne compe pas le faire de sitot, et je n'ai jamais eu le moindre probleme pour nettoyer ou aider a nettoyer des PC.
Ce truc pollue tous les forums techniques du web a un point ou ca en devient insuportable, de plus en plus en cherchant des infos sur des exe sur google par exemple, tu tombes sur 3 pages de liens vers des logs hijackthis, pour un outils qui a part créer un peu plus d'assistés n'a quasiment aucun avantage.
 

Citation :

Et à partir de lui on en déduit l'utilisation d'autres outils encore.


 
Certainement pas avec la façon dont tu encourages systematiquement les gens a t'en servir, "sans rien faire d'autre. "  :sarcastic:  
 
OK tu aides les gens et c'est tres louable, ça les dépanne sur le coup et ils en sont tres content c'est sur, mais ca ne vire même pas physiquement tous les fichiers, dll & co de tous les softs, ca ne les empeche pas une seconde de se rechopper autant de conneries dans les 15 jours vu qu'ils n'en savent pas plus avant qu'apres ton intervention,  et ils seront toujours aussi incapable de s'en sortir tout seul. Mais c'est pas grave, tu seras encore la pour les dépanner et tout le monde sera content je suppose.
Je comprend pas l'interêt autre qu'a court terme que tu peux voir a faire ça si tu prétend vraiment vouloir aider les gens et que tu n'es pas seulement la pour te faire un ego trip.
Et ta façon de réfuter ceux qui osent remettre en cause ta façon de faire en te contentant de remettre en cause purement gratuitement leurs compétences est franchement puante.

Reply

Marsh Posté le 25-03-2005 à 19:03:31    

lol  
je debarque mais bon ca me fait bien rire...
Fo pas engueuler quelqu'un parce qu il file un coup de main quand meme....
si ya besoin d 'explication ya un tuto pour ca...

Reply

Marsh Posté le 25-03-2005 à 19:20:24    

Pu***n, on se croirait dans la cour de récréation.
 
Pas contents que l'autre ait un plus beau cahier???
 
Si vous voulez décharger votre venin, faites-le dans blabla et ne POLLUEZ pas le topic de quelqu'un!
 
Je peux vous dire que j'ai beaucoup d'expérience sur le terrain mais que j'en apprends chaque fois des interventions d'Acrobaze.
 
De toute manière, les gens qui ne sont pas des assités ne posent pas de questions sur les forums, ils cherchent.
 
Quant à la pollution des forums, je m'y suis trouvé confronté mais, au lieu de râler, je mets -logfile dans mes recherches google.
 
Pour le cas où vous ne l'auriez pas compris, le "sans rien faire d'autre" c'est juste pour ne pas modifier la config après l'envoi du log. Pas pour que la personne n'essaye pas de se débrouiller seule.
 
Si vous êtes contre l'usage de HJT, vous devez aussi être contre l'usage des anti-spy et anti-virus car, là non plus on n'apprend rien et on laisse tout faire par le programme.
 
Peut-être vous sentez-vous "détrônés" quand quelqu'un apporte des solutions là où vous n'y arrivez pas???

Reply

Marsh Posté le 25-03-2005 à 19:26:56    

on est vendredi ...

Reply

Marsh Posté le 25-03-2005 à 19:28:17    

AlainTech a écrit :

Peut-être vous sentez-vous "détrônés" quand quelqu'un apporte des solutions là où vous n'y arrivez pas???


 
Non sérieux vous avez pas un autre argument que "on est trop des l33t et vous êtes jaloux" ?  :heink:

Reply

Marsh Posté le 26-03-2005 à 09:30:04    

acrobaze a écrit :

Maintenant, pas de bol...quelqu'un les analyse, les logs...et ça t'embête ça, car tu ne peux plus jouer au "spécialiste".
 
Je suis allé sur ton terrain. C'est pas sympa, hein ?


Franchement si tu savais ce que j'en ai à faire d'être "le meilleur analyseur de logs du monde", waouw :sarcastic:. Donc tu peux arrêter avec tes projections, Hijack Helper.

acrobaze a écrit :


Allez, aies confiance. Un jour, tu arriveras à analyser un log tout seul.


:sarcastic: t'en fais pas j'y arrive déjà très bien. Arrête, tu commences à devenir ridicule avec ta petite assurance de spécialiste de HijackThis.
 
Tu sais je ne me prends pas pour le spécialiste du spyware, faut que tu (toi et d'autres) arrêtes avec cette prétendue jalousie de notre part, genre "oh le méchant First Responder il nous prend nos questions le vilain". Tout le monde s'en fout, à part toi, de répondre le premier à un log HJ.  
 
Le fait est que tu te sens obligé de considérer celui qui pose une question avec condescendance. Au lieu d'expliquer tu résouds tout. Ce que tu prends pour du dédain de ma part n'est qu'un encouragement à se bouger un peu, car je suis convaincu que le problème de spyware sera de retour peu de temps après sans un minimum d'éducation de l'utilisateur !
 
Je considère qu'une vraie aide est un apprentissage: une explication, une référence, un bon site ou un bon tuto. Pour toi il faut tout faire pour l'autre, surtout sans rien lui dire ou lui expliquer. Pense à ce proverbe: "Donne un poisson à un homme, il mangera un jour. Apprends-lui à pêcher, il mangera toute sa vie." Tu donnes pour un jour, ta solution est de court terme et t'amènera à recommencer sans cesse. D'ailleurs j'attends vainement depuis des mois une réponse de ta part à cet argument...


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 26-03-2005 à 14:15:34    

Euh... je voulais pas déclencher de conflit...
 
Au secours, le dialer réappait toujours ! Est-ce qu'il est dangereux pour une connexion adsl? Que fait-il exactement?
 
J'ai fait tout ce qui m'a été dit... je désespère.

Reply

Marsh Posté le 26-03-2005 à 15:04:54    

leane7 a écrit :

Euh... je voulais pas déclencher de conflit...
 
Au secours, le dialer réappait toujours ! Est-ce qu'il est dangereux pour une connexion adsl? Que fait-il exactement?
 
J'ai fait tout ce qui m'a été dit... je désespère.


 
Oui...je ne sais pas pourquoi ils se sont déchaînés ici...bon enfin..."les chiens aboient, mais la caravane passe..".
 
==========
 
Pourrais-tu poster un nouvel HijackThis.
 
Plus ceci :
télécharge SilentRunners
Lance-le
il génère un log lui aussi, copie-le avec le bloc notes et copie/colle-le ici.
 
Comment connais-tu l'existence de ce dialer? (antivirus..???)

Reply

Marsh Posté le 27-03-2005 à 19:11:28    

Voilà le nouveau log:
 
Logfile of HijackThis v1.99.1
Scan saved at 19:01:47, on 27/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rasautou.exe
C:\Documents and Settings\Propriétaire\Mes documents\Mes fichiers reçus\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr? [...] pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {38D4D5D0-423E-4220-B6F9-30918C2AE4A4} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
 
 
Le log de SilentRunners:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"Ibs" = "C:\WINDOWS\ibs.exe" [null data]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [null data]
"hpsysdrv" = "c:\windows\system\hpsysdrv.exe" ["Hewlett-Packard Company"]
"KBD" = "C:\HP\KBD\KBD.EXE" ["Hewlett-Packard Company"]
"Recguard" = "C:\WINDOWS\SMINST\RECGUARD.EXE" [empty string]
"VTTimer" = "VTTimer.exe" [file not found]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /installquiet /keeploaded /nodetect" ["NVIDIA Corporation"]
"UpdateManager" = ""c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"]
"adiras" = "adiras.exe" [file not found]
"mmtask" = "c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" ["TODO: <Company name>"]
"SCANINICIO" = ""C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"" ["Panda Software"]
"APVXDWIN" = ""C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s" ["Panda Software International"]
"ccApp" = ""c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"iTunesHelper" = "C:\Program Files\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Web assistant"
  -> {CLSID}\InProcServer32\(Default) = "c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{7F67036B-66F1-411A-AD85-759FB9C5B0DB}" = "SampleView"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\ShellvRTF.dll" ["XSS"]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
  -> {CLSID}\InProcServer32\(Default) = "c:\Program Files\RecordNow!\shlext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{65756541-C65C-11CD-0000-4B656E696100}" = "Panda Antivirus"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Panda Software\Panda Antivirus Platinum\pavOLE.dll" ["Panda Software"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
 
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]
 
 
Enabled Screen Saver:
---------------------
 
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
 
 
Enabled Wallpaper and Active Desktop:
-------------------------------------
 
Active Desktop is disabled.
 
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Wallpaper1.bmp"
 
 
Autostart via AUTORUN.INF on local fixed drives:
------------------------------------------------
 
INFECTION WARNING! D:\AUTORUN.INF -> "OPEN=Info.exe folder.htt 480 480" ["XSS"]
 
 
Startup items in "Propriétaire" & "All Users" startup folders:
--------------------------------------------------------------
 
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]
"hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."]
"hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
 
 
Enabled Scheduled Tasks:
------------------------
 
"FRU Task #Hewlett-Packard#hp psc 1200 series#1096042365" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1096042365"" [empty string]
 
 
Winsock2 Service Provider DLLs:
-------------------------------
 
Namespace Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 
Transport Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
 
iPod Service, iPodService, "C:\Program Files\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Panda anti-virus service, PAVSRV, "C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe" ["Panda Software"]
Panda Firewall Service, PAVFIRES, "C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe" ["Panda Software"]
Service de sécurité matérielle, GEARSecurity, "C:\WINDOWS\System32\gearsec.exe" ["GEAR Software"]
Symantec Event Manager, ccEvtMgr, ""c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, "c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe" ["Symantec Corporation"]
Symantec Network Proxy, ccProxy, ""c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
 
 
Je connais l'existence de ce dialer par Anti Spy Bot qui n'arrvait pas à le supprimer, il revient toujours ! Ensuite, g essayé de chercher une solution sur internet, mais vous ne m'avez toujours pas dit si ce dialer a des effets dangereux?
 
J'espère que qqn pourra faire qq chose!
Merci!


Message édité par leane7 le 27-03-2005 à 19:14:28
Reply

Marsh Posté le 27-03-2005 à 20:39:54    

Ok. Fais ceci :
 
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
"Masquer les fichiers système"->décoché
-------
 
Et vérifie si ces fichiers sont présents:
 
C:\WINDOWS\ibs.exe
C:\MISB.EXE

Reply

Marsh Posté le 27-03-2005 à 23:50:47    

Oui ils sont bien présents...

Reply

Marsh Posté le 28-03-2005 à 11:08:54    


Alors je penses que ce sont EUX les dials.
 
On va vérifier pour en avoir le coeur net:
 
Va sur ce SITE.
Avec "Parcourir, va à : C:\WINDOWS\ibs.exe  
Clique "Submit".
Une ou deux minutes d'analyse et il donne ses résultats.
 
Copie/colle les ici, stp.

Reply

Marsh Posté le 28-03-2005 à 11:34:19    

File:  ibs.exe  
Status:  INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain -, results will not be stored in the database.)  
Packers detected:  UPX  
   
AntiVir  TR/Dldr.Delf.GZ  
Avast  Win32:Trojano-1004  
AVG Antivirus  No viruses found  
BitDefender  BehavesLike:Trojan.Downloader (probable variant)  
ClamAV  No viruses found  
Dr.Web  No viruses found  
F-Prot Antivirus  W32/Backdoor.AYS  
Fortinet  No viruses found  
Kaspersky Anti-Virus  not-a-virus:Porn-Downloader.Win32.TibSystems  
mks_vir  No viruses found  
NOD32  probably unknown NewHeur_PE (probable variant)  
Norman Virus Control  Sandbox: W32/Downloader; [ General information ]
 
* File length: 14848 bytes.
 
[ Changes to filesystem ]
* Creates file C:\WINDOWS\ibs.exe.
* Creates file C:\misb.exe.
 
[ Changes to registry ]
* Creates value "Ibs"="C:\WINDOWS\ibs.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run".
 
[ Network services ]
* Opens URL: http://directplugin.com/dialers/127036.exe.
 
[ Security issues ]
* Starting downloaded file - potential security problem.
 
[ Process/window information ]
* Will automatically restart after boot (I'll be back...).  

Reply

Marsh Posté le 28-03-2005 à 12:10:09    

Ok. Redémarre en mode sans échec.
 
Supprime ces deux fichiers :
C:\WINDOWS\ibs.exe
C:\MISB.EXE
Vide la corbeille.  
 
Démarrr-> exécuter->tape:   regedit
Va à :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Sélectionne, fais un clic droit et choisis "Supprimer" pour cette valeur:
"Ibs" = "C:\WINDOWS\ibs.exe"
 
Edit : et pareil ici:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
 
Redémarre en mode normal.
 
Dis où ça en est.


Message édité par acrobaze le 28-03-2005 à 13:41:22
Reply

Marsh Posté le 02-04-2005 à 11:54:51    

J'ai suivi pas mal d'interventions de Acrobaze, et pour être franc, il est le seul à vraiment rendre service aux autres avec ses connaissances/éxperience sur les log HijackThis.
Le reste, si ce n'est pas de la jalousie.....ça y ressemble.  :hello:


---------------
Firefox 1.0.4 et Thundrebird 1.0.2 le duo gagnant
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed