Virus ? spyware? je ne sais plus...

Virus ? spyware? je ne sais plus... - Sécurité - Windows & Software

Marsh Posté le 02-11-2004 à 20:52:19    

Bonsoir,
 
J'ai du attrapé un truc, mais je ne sais pas trop quoi. Après avoir fait un bon coup d'adware, j'ai des fenetres qui persistent (ouverture aléatoire pour meetic, ou pour securité, ou encore http://e.rn11.com/adbuys/a405-admed-ron...
RAs le bol.
 
De plus ma connection est supppper ralentie (de 700 ko/s je suis passé à 200ko/s)...
 
Un coup de norton n'a rien trouvé.... je fais secuser mais bon...
 
adaware me dit qu'il ne peut pas effacer agctres.dll...
Et j'ai mon rundll32 qui me prend 99% des ressources et bloque mon pc un rédémarrage sur deux...
 
Log Hijackthis :
 

Citation :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\nbpro\nbpro.exe
C:\Program Files\hijack\HijackThis19802.exe
 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.60millions-mag.com/page [...] anonyme-1/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: CnfSearch Class - {D7CD08F0-D691-11D8-9669-0800200C9A66} - c:\windows\system32\ConfuSearch.dll
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [divwin] divwin.exe
O4 - HKLM\..\Run: [windiv] windiv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Create A Monster] "C:\Program Files\Kudd.com\createAMonster.exe" -run
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0203fe [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4131513812
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab


Message édité par cadmi le 02-11-2004 à 21:00:05
Reply

Marsh Posté le 02-11-2004 à 20:52:19   

Reply

Marsh Posté le 03-11-2004 à 13:33:11    

Tu as essayé un autre antivirus en ligne ?


---------------
Hackers News & Security Crawler
Reply

Marsh Posté le 03-11-2004 à 13:55:55    

Passe Spybot, Adaware, CWShredder. Rundll32.exe est un virus il me semble, vire-le via msconfig et efface la DLL correspondante dans C:\Windows.
 
Tout est expliqué en détails dans ma signature ;)


Message édité par sanpellegrino le 03-11-2004 à 14:07:34

---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 03-11-2004 à 14:07:41    

t'es pas enforme toi aujourd'hui Sanpellegrino :)
 
rundll32 un virus? c'ets un composant essentiel de windows qui permet de lancer certains driver (comme ma carte vidéo par exemple) ;)


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 03-11-2004 à 14:17:47    

cadmi a écrit :


 
C:\Program Files\nbpro\nbpro.exe
 
ça je ne connais pas et toi?
 
R3 - URLSearchHook: CnfSearch Class - {D7CD08F0-D691-11D8-9669-0800200C9A66} - c:\windows\system32\ConfuSearch.dll
 
à mon avis une saloperie oui cf http://www.greatis.com/appdata/dc.htm#confusearch.dll
 
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
 
belle saloperie qui redirige les recherches sur le site 69.20.16.183 sauf si tu connais ce site bien sûr et que c'est toi-même qui l'a mis
 
O4 - HKLM\..\Run: [divwin] divwin.exe
O4 - HKLM\..\Run: [windiv] windiv.exe
 
très louches ces deux là même si ils ne sont pas présent dans les porcessus
 
O4 - HKLM\..\Run: [Create A Monster] "C:\Program Files\Kudd.com\createAMonster.exe" -run
O4 - HKLM\..\Run: [SESync] "C:\Program Files\SED\SED.exe"

ces 2 là je ne connais pas du tout mais les processus ne tournent pas donc résidus de précédentes installation ou de virus/spyware?


 
voila ce qui me semble louche.
 
donc ferme IE, et sous hijack This tu coches ces cases et tu fais "fix"
 
reboot en mode sans échec et cherches divwin.exe, windiv.exe, C:\Program Files\Kudd.com\createAMonster.exe et C:\Program Files\SED\SED.exe pour les supprimer
 
reposte ensuite un log hijack This


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 03-11-2004 à 14:41:49    

minipouss a écrit :

C:\Program Files\nbpro\nbpro.exe
 
ça je ne connais pas et toi?  


C'est NewsBin Pro :)

Reply

Marsh Posté le 03-11-2004 à 14:44:00    

ok :)
 
et ça sert à quoi? :D


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 03-11-2004 à 14:46:52    

minipouss a écrit :

ok :)
et ça sert à quoi? :D


Citation :

Newsbin Pro permet de rechercher des images, des programmes ou des vidéos dans les groupes de discussion.
Il faut tout d'abord configurer le logiciel pour qu'il se connecte sur le serveur de news de votre fournisseur d'accès (en général news.nom_du_provider.fr).
 
Newsbin propose ensuite une liste de groupes de discussion suceptible de fournir le type de fichier que vous recherchez (images, programmes...).Il faut faire une sélection dans cette liste avant de lancer le téléchargement des fichiers.
Newsbin fonctionne en multi-thread (il établit plusieurs connections au serveur de news pour accélérer le téléchargement).
Un visualiseur intégré permet de court-circuiter un téléchargement en cours si vous trouver que l'image ne vous intéressera pas.

Reply

Marsh Posté le 03-11-2004 à 14:48:04    

merci :jap:


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 03-11-2004 à 14:49:08    

minipouss a écrit :

merci :jap:


En resumé c'est pour télécharger sur des newsgroups :)

Reply

Marsh Posté le 03-11-2004 à 14:49:08   

Reply

Marsh Posté le 03-11-2004 à 14:51:05    

j'avais pigé, il me reste un petit bout de cerveau pour le moment [:ddr555]


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 03-11-2004 à 14:54:08    

:D

Reply

Marsh Posté le 04-11-2004 à 01:33:01    

Voila ou j'en suis :
 

Citation :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rmctrl.exe
C:\WINDOWS\System32\windiv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\hijack\HijackThis19802.exe
 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [divwin] divwin.exe
O4 - HKLM\..\Run: [windiv] windiv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0203fe [...] 601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4131513812
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab


 
J'ai viré un truc VX2.dll (spyware certifié) mais j'ai tjrs des fenetres qui s'ouvrent (grrrrrrrrrrrr) et qui bloque mon rundll32 au démarrage.... Et ma connexion ralenti.... EN tout cas pas de virus.

Reply

Marsh Posté le 04-11-2004 à 09:15:08    

Rien de louche dans ce log en tout cas, à part windiv.exe qui se lance très souvent... Tu emploies un pack de codecs ?  
 
Scanne avec Spybot & Adaware mis à jour, en mode sans échec, puis dis-nous ce qui se passe...


---------------
Got spyware ? | HFR HijackThis Tutorial
Reply

Marsh Posté le 04-11-2004 à 19:42:10    

Je fais ça ce soir, et je reposte.
Apparement j'avais le malware VX2 qui a du mal à partir.

Reply

Marsh Posté le 04-11-2004 à 19:46:35    

Spybot mis à jour le détecte


---------------
"Deux choses sont infinies : l'univers et la bêtise humaine, en ce qui concerne l'univers, je n'ai pas acquis la certitude absolue." Albert Einstein
Reply

Marsh Posté le 04-11-2004 à 20:48:58    

Pourquoi ils sont toujours là, ceux-là:
 
O4 - HKLM\..\Run: [divwin] divwin.exe  
O4 - HKLM\..\Run: [windiv] windiv.exe  

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed