Salut à tous
 
Voilà j'ai un problème : ce que je trouve avec spyware, c'est un processus critique :
 
Win32.TrojanDownloader.Swizzor.br(Index TAC:8):1 Total des références
 
A chaque fois j'ai un fichier .exe (sous divers nom) qui est dans Temp, quand je le supprime, une autre applcation apparaît tout de suite et prends sa place    
 
Qu'est ce qu'il génère ces fichiers de m**** et comment on le trouve et supprime.  
Voilà merci à tous d'avance
 

C'est sûrement une saleté, mais je voudrais pas dire, mais tu t'emmèles pas mal les pinceaux dans les termes techniques (spyware critique du processus trojanesque viral).
 
J'ai pas fouillé  mais:
 
* que balance l'antivirus (si tu en as un..., et lequel et mis à jour?)
* as tu essayé en mode sans échec
* peut être existe-t-il un fix spécifique?
 
Intéresse toi à:  MSConfig, Hijackthis, Regcleaner
 
et surtout culutre toi sur le B-A-BA de la sécurité informatique.
www.secuser.com  site de veille
ou aussi le topic sécuritaire sur ce même forum.
 
Et puis si tu as un doute pose des questions plutôt que de tout casser avec des softs qui peuvent être délicats d'utilisation.

Oui j'ai essayé l'antivirus (mis à jour), il ne trouve rien.
En mode sans échec j'ai essayé de le virer, mais la c'est toujours là.
A quoi sert Hijackthis ?

Logfile of HijackThis v1.97.7
Scan saved at 12:15:01, on 27/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Henri\Mes documents\Mes programmes\mes installations\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dcgbvdikdoxpjuoejyuziif [...] 7nWbmg.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {92A8DBE9-68CF-B7A8-1B3F-5CA3AC1E786C} - C:\DOCUME~1\Henri\APPLIC~1\SETUPP~1\defy help.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Settings Vc License More] C:\Documents and Settings\All Users\Application Data\GrimExitSettingsVc\Blue License.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Trans bird] C:\DOCUME~1\Henri\APPLIC~1\DRVCHI~1\fordlognew.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft. [...] 2457523148
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ABF9CCD-E36D-4E0E-A41A-635362D449AD}: NameServer = 212.151.136.242 130.244.127.162
 
je trouve cela avec hijackthis
 
Le "truc" en R1 me semble asez bizarre  

poster ça dans le topic hijackthis

j'ai mis l'IP dans la base http://www.ripe.net/whois

En faisant une recherche par google, ça pourrait venir de msn plus. C'est vrai que ça doit être à cause de cela ?

je pense pas , même si quand tu installe msn+ faut faire gaffe il me semble sinon ça installe un ou des spywares

Et donc je fais quoi ?

je vais manger et je te donnes mon avis sur ton log. mais l'analyseur a du te donner des pistes quand même
 
on voit ça tout à l'heure

 
Ouais ya leur salete de sponsor la... j'ai jamais reussi a m'en debarrasser complletement une fois installer... a par le formattage

Le sponsor, un truc genre Mysearch qui te fais changer la page de démarrage et qui t'ajoute une "barre d'outils" ?

 
voila les lignes à cocher dans Hijack.
 
Alors tu fermes le max de progs (dont Internet Explorer)
 
sous hijack This tu coches les lignes ci-dessus et tu fais "Fix"
 
reboot en mode sans échec et en administrateur et nettoie c:\documents and Settings
 
\All Users\Application Data\GrimExitSettingsVc\Blue License.exe
 
\Henri\APPLIC~1\SETUPP~1\defy help.exe
 
\Henri\APPLIC~1\DRVCHI~1\fordlognew.exe
 
et vire les répertoires correspondant "GrimExitSettingsVc" "SETUPP~1" et "DRVCHI~1"
 
reboot en mode normal et reposte un log

Je nettoie, c'est à dire que je supprime ces 3 applications ?

Ca, c'est du Lop.com.
 
Fais ceci:
 
Télécharge et lance cet uninstall:
 
http://lop.com/help.html#uninstall
 
Si SpyBot ou un autre logiciel de sécurité t'empêche de le faire (message de sécurité):
-IE->outils->options internet->sécurité
-Sites sensibles : enlève Lop.com
-Télécharge le fichier
-Remets Lop.com en site sensible
-Lance le fichier.
 
Redémarre. Poste un nouvel HijackThis.

Logfile of HijackThis v1.98.2
Scan saved at 21:40:27, on 27/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Henri\Mes documents\Mes programmes\mes installations\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {92A8DBE9-68CF-B7A8-1B3F-5CA3AC1E786C} - C:\DOCUME~1\Henri\APPLIC~1\SETUPP~1\defy help.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Trans bird] C:\DOCUME~1\Henri\APPLIC~1\DRVCHI~1\fordlognew.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1ABF9CCD-E36D-4E0E-A41A-635362D449AD}: NameServer = 130.244.127.161 212.151.136.254
 
Lop.com m'a enlevé tous les favoris et aussi msn plus (ou alors ils ne se sont pas lancés ??)

Voilà j'ai tout fais ce que vous m'avez dis :
 
Logfile of HijackThis v1.98.2
Scan saved at 22:03:11, on 27/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Henri\Mes documents\Mes programmes\mes installations\hijackthis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/bina [...] b30149.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b28578.cab
 
Plus rien sous ad-aware se
en perdant tout mes favoris...
Je ne dois donc plus utiliser msn plus ou le problème ne venait pas de là ??

Ha non, ça n'a rien à voir. Il ne désistalle que ses "applications". (Toutefois, il a sûrement été installé avec msn +...donc, je ne sais pas ..pour peu qu'il y ait eu un log commun...)
 
Il reste ceci:
 
O2 - BHO: (no name) - {92A8DBE9-68CF-B7A8-1B3F-5CA3AC1E786C} - C:\DOCUME~1\Henri\APPLIC~1\SETUPP~1\defy help.exe  
O4 - HKCU\..\Run: [Trans bird] C:\DOCUME~1\Henri\APPLIC~1\DRVCHI~1\fordlognew.exe  
 
à fixer.
 
Si tu réinstalles msn+, lors de l'installation, refuse les "sponsors".
 

O2 - BHO: (no name) - {92A8DBE9-68CF-B7A8-1B3F-5CA3AC1E786C} - C:\DOCUME~1\Henri\APPLIC~1\SETUPP~1\defy help.exe  
O4 - HKCU\..\Run: [Trans bird] C:\DOCUME~1\Henri\APPLIC~1\DRVCHI~1\fordlognew.exe  
 
=>> je les ai fixés
 
Msn + est toujours installé, sauf que maintenant lorsque je lance msn, msn + ne se lance pas automatiquement.

ton dernier log est bon

Ah il est ok, enfin..
 
mais donc msn plus je le désinstalle ou pas ?

désinstalle et réinstalle-le si vraiment tu le veux mais en faisant gaffe aux petites lignes et aux cases à cocher ou pas qui installent les sponsors (mais je m'y connais pas trop car je n'ai pas msn je passe par le réseau Jabber qui est open source et qui permet quand même de discuter avec les personnes qui sont sous msn)
 
edit : ortho

ok, merci
 
Bah tant pis pour msn plus, je me contenterais de msn.

ok