Trojan?? Rapport HijackThis

Trojan?? Rapport HijackThis - Sécurité - Windows & Software

Marsh Posté le 12-09-2005 à 22:05:08    

Depuis quelques heures, j'ai chopé un sale truc...
Mon fond d'écran est noir avec un message d'alerte "Warning your computer is infected..."
 
Security2k.net me dit que j'ai des trojans et pas moyen de virer cela. Il y a des messages d'alertes tout le temps, bref: j'en peux plus.
 
Voici le dernier message de security2k.net: " Your IP address is 82.xxx.xxx.xxx. Using this address a remote computer '88.115.69.23' has gained an access to your computer and is collecting the information about the sites you've visited and the files contained in the folder 'My Documents'."
 
J'ai fait un scan avec HijackThis v1.99.1 qui me donne cela (mais je ne sais pas le lire). Quelqu'un pourrait m'aider, svp?  :(  
 
Logfile of HijackThis v1.99.1
Scan saved at 21:53:49, on 12/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Daily Weather Forecast\weather.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Mon nom\Desktop\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp68BC.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -  
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{348D2B71-3EF8-4225-8324-9B681D3FDA1D}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{348D2B71-3EF8-4225-8324-9B681D3FDA1D}: NameServer = 80.10.246.130 80.10.246.3
O21 - SSODL: System - {49AA8C82-E1E4-4CE3-BFC6-B1A1C85C2712} - mcsys.dll (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Message édité par argo1234 le 12-09-2005 à 22:23:06
Reply

Marsh Posté le 12-09-2005 à 22:05:08   

Reply

Marsh Posté le 12-09-2005 à 22:15:42    

spytrooper me trouve enormément de trucs là. (des centaines d'entrées avec "risk: severe"...

Reply

Marsh Posté le 12-09-2005 à 22:19:46    

et voici celui de "Silent Runners":
 
"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
 
 
Startup items buried in registry:
---------------------------------
 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS]
"SpyTrooper" = "C:\Program Files\SpyTrooper\SpyTrooper.exe" [null data]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [null data]
"winlogon.exe" = "msole32.exe" [null data]
"paint.exe" = "shnlog.exe" [null data]
"notepad2.exe" = "popuper.exe" [null data]
 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"Jet Detection" = ""C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"" [empty string]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize" ["Kaspersky Lab"]
"RegSvr32" = "C:\WINDOWS\System32\msmsgs.exe" [null data]
"PSGuard" = "C:\Program Files\PSGuard\PSGuard.exe" [null data]
"System" = "C:\WINDOWS\System32\kernels32.exe" [file not found]
"Daily Weather Forecast" = "C:\Program Files\Daily Weather Forecast\weather.exe" [null data]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA}\(Default) = "HP Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hp68BC.tmp" [null data]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Display Panning CPL Extension"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "HyperTerminal Icon Ext"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
 
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"System" = "{49AA8C82-E1E4-4CE3-BFC6-B1A1C85C2712}"
  -> {CLSID}\InProcServer32\(Default) = "mcsys.dll" [file not found]
 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "Explorer.exe C:\WINDOWS\System32\kernels32.exe, msmsgs.exe" [MS], [file not found], [null data]
 
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
 
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
 
 
Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------
 
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "NoActiveDesktopChanges"=dword:00000001  
[prevents changes to Active Desktop; removes Web tab from Display Properties|
Desktop (tab)|Customize Desktop... (button)|Desktop Items (window)]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Prohibit changes}
 
HIJACK WARNING! "NoDispBackgroundPage"=dword:00000001  
[removes Display Properties, Desktop (tab)]
{User Configuration|Administrative Templates|Control Panel|Display|
Hide Desktop tab}
 
 
Active Desktop and Wallpaper:
-----------------------------
 
Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\System32\\wppp.html"
 
 
Enabled Screen Saver:
---------------------
 
HKCU\Control Panel\Desktop\
 
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
 
 
Startup items in "Jean-François" & "All Users" startup folders:
---------------------------------------------------------------
 
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"ZoneAlarm Pro" -> shortcut to: "C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe -nopopup" ["Zone Labs Inc."]
 
 
Winsock2 Service Provider DLLs:
-------------------------------
 
Namespace Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 
Transport Service Providers
 
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 
Toolbars, Explorer Bars, Extensions:
------------------------------------
 
Explorer Bars
 
Dormant Explorer Bars in "View, Explorer Bar" menu
 
HKLM\Software\Classes\CLSID\{01002DB2-8170-4D9B-A8B1-DDC9DD114E03}\ = "Volet Wanadoo"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\audience\audience.dll" [empty string]
 
HKLM\Software\Classes\CLSID\{3BAF4A27-C764-4E1A-A6F4-62F7A7E5E51C}\ = "ToolBand Class"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\audience\audience.dll" [empty string]
 
HKLM\Software\Classes\CLSID\{5BF498C0-931E-4A4F-B33F-456D07137EAA}\ = "Volet Wanadoo"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\audience\audience.dll" [empty string]
 
Extensions (Tools menu items, main toolbar menu buttons)
 
HKCU\Software\Microsoft\Internet Explorer\Extensions\
{1462651F-F4BA-4C76-A001-C4284D0FE16E}\
"ButtonText" = "Wanadoo"
"Exec" = "http://www.wanadoo.fr" [file not found]
 
 
Miscellaneous IE Hijack Points
------------------------------
 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
 
Missing lines (compared with English-language version):
"{08C06D61-F1F3-4799-86F8-BE1A89362C85}" = "Search Class" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Wanadoo\SEARCH~1.DLL" [empty string]
 
 
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
 
kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"" ["Kaspersky Lab"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
 
 
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
  took 6 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
  took 14 seconds.
---------- (total run time: 72 seconds)


Message édité par argo1234 le 12-09-2005 à 22:21:13
Reply

Marsh Posté le 12-09-2005 à 22:40:06    

bon, je déconnecte ce DD
et je me mets sur un autre.
 
en espérant avoir un peu d'aide d'ici là :-(

Reply

Marsh Posté le 12-09-2005 à 22:42:59    

salut,
 
reboot en mode sans echec et après vire ça avec hijackthis
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe, msmsgs.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\System32\intell32.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -  
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] cracks.cab
O21 - SSODL: System - {49AA8C82-E1E4-4CE3-BFC6-B1A1C85C2712} - mcsys.dll (file missing)
 
 
Et supprime les fichiers :
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\intell32.exe
 
et les répertoirs :
C:\Program Files\PSGuard\
C:\Program Files\Daily Weather Forecast\
 
Après tu install lavasoft adaware (regarde dans ma signature pour les infos)
et tu vas sur le site de trendmicro pour faire un scann online !
 
Après tu reboot et tu post un log de hijackthis de nouveau


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 12-09-2005 à 22:45:41    

ok, merci  :hello:  
je fais ça tout de suite  

Reply

Marsh Posté le 12-09-2005 à 22:53:11    

tu peux virer ça aussi tiens : C:\foo.mht


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 12-09-2005 à 22:59:49    

en passant aussi va virer ça de la base de registre :  
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
supprime cette ruche
 
Après ça dis moi ce qu'il y a là comme clés :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 12-09-2005 à 23:15:52    

Il reboote mais dès que je touche à quelque chose il bloque en me disant qu'il va fermer le programme  :heink:  
J'ai même plus de configuration de connexion au web là.
 
J'ai du débrancher l'autre disk et me remettre sur celui-là, histoire de pouvoir au moins accéder au web (et à ton message)...
 
je retente tout de suite et je te dis ça
 :jap:  

Reply

Marsh Posté le 12-09-2005 à 23:27:27    

ho la tu peux aussi virer ça  
 
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\popuper.exe  
 
tain il est plein de merde ton PC :D


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 12-09-2005 à 23:27:27   

Reply

Marsh Posté le 12-09-2005 à 23:32:55    

ça ça couille trop, tu peux mettre le HDD sur une autre machine pour virer tous les fichiers pouris et tu reboot sur la machine de base en mode normal histoire de virer les trucs qui restent


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 12-09-2005 à 23:34:52    

ça aussi poubelle
 
mcsys.dll
 
bon en résumé tu dois virer ces fichiers :
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\popuper.exe
C:\foo.mht
mcsys.dll
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\intell32.exe
 
et les répertoirs :
C:\Program Files\PSGuard\
C:\Program Files\Daily Weather Forecast\  


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 12-09-2005 à 23:39:11    

alors, je viens de virer ce que tu m'as dis avec hijackthis
et aussi les autres que tu mentionnais
 
idem pour la base de registre.
le HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\  
donne à présent:
Name: default
type: Reg_sz
Data: (value not set)
 
je vais rebooter et faire un scan ad-aware

Reply

Marsh Posté le 12-09-2005 à 23:40:02    

ok, je vire auusi ce que tu as dis avant de rebooter

Reply

Marsh Posté le 12-09-2005 à 23:42:58    

impossible virer cela:
C:\WINDOWS\System32\msole32.exe  
C:\WINDOWS\System32\shnlog.exe  
C:\WINDOWS\popuper.exe  
 
ils sont constamment en cours utilisation. et quand j'essaie de les desactiver avec les task manager, il réapparaissent instantanément :-(

Reply

Marsh Posté le 13-09-2005 à 00:11:18    

bon ça chie trop là...
 
je vais au dodo (debout à 6h) et je vois ça plus tard
 
darxmurf--> merci beaucoup en tout cas, je vois que j'avance  :hello:  

Reply

Marsh Posté le 14-09-2005 à 17:10:09    

Me revoilà. J'ai donc eu le temps, aujourd'hui de m'occuper plus sérieusement de cette vérole et... j'ai apparemment réussi à la supprimer!  :)  
 
Mon problème était que même en mode sans échec, je n'arrivais pas à virer plusieurs fichiers et surtout ceux-là:
C:\WINDOWS\System32\msole32.exe  
C:\WINDOWS\System32\shnlog.exe  
C:\WINDOWS\popuper.exe  
 
Ils se mettaient toujours en tâche et réapparaissaient immédiatement.
 
Bref, en "Mode sans échec", j'ai utilisé plusieurs programmes sans trop de succès et enfin SmitfraudFix  :love: qui a été radical.
 
Après ça, un nettoyage à la main de quelques restes et le tour semble joué.
 
Je balance quand même un log Hijack pour vérifier. Si quelqu'un pouvait me dire rapidement si ça va, ça serait très sympa.  :jap:  
 
Logfile of HijackThis v1.99.1
Scan saved at 17:07:18, on 14/09/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Documents and Settings\Mon nom\Desktop\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\DOCUME~1\JEAN-F~1\LOCALS~1\Temp\cxtpls_loader.exe" /PC=CP.IST /ForSupportedBrowsers /ShowLegalNote=nonbranded
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{348D2B71-3EF8-4225-8324-9B681D3FDA1D}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{348D2B71-3EF8-4225-8324-9B681D3FDA1D}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
 

Reply

Marsh Posté le 14-09-2005 à 21:31:48    

yup ça va mieu :D mais je supprimerais encore ça moi  
 
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\DOCUME~1\JEAN-F~1\LOCALS~1\Temp\cxtpls_loader.exe" /PC=CP.IST /ForSupportedBrowsers /ShowLegalNote=nonbranded
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 15-09-2005 à 13:18:30    

darxmurf a écrit :

yup ça va mieu :D mais je supprimerais encore ça moi  
 
O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\DOCUME~1\JEAN-F~1\LOCALS~1\Temp\cxtpls_loader.exe" /PC=CP.IST /ForSupportedBrowsers /ShowLegalNote=nonbranded
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto


 
tout à fait  [:aloy]  
 
merci darxmurf

Reply

Marsh Posté le 15-09-2005 à 22:08:05    

vire tout ce qu'il y a là dedans : C:\DOCUME~1\JEAN-F~1\LOCALS~1\Temp\


---------------
Des trucs - flickr - Instagram
Reply

Marsh Posté le 16-09-2005 à 01:51:36    

darxmurf a écrit :

vire tout ce qu'il y a là dedans : C:\DOCUME~1\JEAN-F~1\LOCALS~1\Temp\


 
 :jap:

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed