hijackthis - Explorer plante apres infection de spyware
hijackthis - Explorer plante apres infection de spyware - Win NT/2K/XP - Windows & Software
Marsh Posté le 25-10-2005 à 16:16:46
http://www.laboratoire-microsoft.org/t/13103/
sinon c'est "control" dans executer.......
Message édité par xanack le 25-10-2005 à 16:19:28
Marsh Posté le 25-10-2005 à 17:15:03
Merci mais apers etude j'avais wininstall.exe et un site dans les site de confiance. Qui ne devait pas etre là.
Sinon j'ai toujours mon pb du bureau qui ne reagis pas du tout au clic de souris, ni a la touche windows.
Je continue de chercher ...
Marsh Posté le 08-11-2005 à 10:22:31
Apres une mise à jour de l'anti-virus du bureau, ca resoud une par du pb. Et à identifié le pb st3.dll.
Par contre là je cherche a le supprimer. Je vais checker le forum.
Sujets relatifs:
- version internet explorer
- Intrenet explorer en fonctionne plus!
- Internet Explorer 6
- Au secour mon pc devient fou (voir mon analyse HijackThis)
- Reintialisation Explorer si partage reseau n'existe plus
- problème étrange sous internet explorer !
- Comment Viré Un Skin Internet Explorer...
- Paramétrage d'Internet explorer avec un routeur ?
- Probleme de Virus / Spyware ? Impossible à enlever.
- PB démarrage internet explorer dû à Counterspy
Marsh Posté le 25-10-2005 à 16:01:18
En surfant sur le site Ogame, une de leur publicité apres une pop up ma installé un spyware.
(Etant au travail je ne voulais pas installé d'autre logiciel que ceux fournis, j'aurais au moins du installer Firefox, bref)
Ce spyware etait de la forme suivante : Icone dans les trayicons un rond rouge avec une crois blanche (spyware infected) ou alors c'est un antivirus du travail qui m'informait. Ensuite le fond d'ecran etait bleu avec un message "Warning Spyware etc ...."
Mon bureau windows ne fonctionnait pas. Donc je redemarre la machine.
le bureau se fige pas d'icone dans les trayicones, sablier si la souris se place sur le menu demarrer. Donc le seul moyen que j'ai actuellement est de stoper le processus explorer.exe et de tout lancer par le gestionnaire des taches avec le bouton "nouvelle tache".
Adaware m'a virer plein de spyware. Apres rescan plus rien clean. Mais toujours mon pb d 'explorer.
ensuite je passe un coup de hijackthis.
Mais je ne comprend rien. qqn pourrait il y jetter une coup d'oeil, sachant aussi que je suis au travail j'ai masqué qqs info par des ******.
Logfile of HijackThis v1.99.1
Scan saved at 15:40:07, on 25/10/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
d:\dernier\bin\agntsrvc.exe
C:\WINNT\system32\cmd.exe
d:\dernier\bin\dbsnmp.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\taskmgr.exe
C:\temp\HJ\HijackThis.exe
C:\WINNT\explorer.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.phoenixjp.net/news/fr/index.php?page=999
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://f3siegweb1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni
par France 3
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\AppliF3\Acroread\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINNT\system32\st3.dll - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} -
C:\WINNT\system32\st3.dll
O2 - BHO: C:\WINNT\adsldpbc.dll - {59E5D7C6-0809-4559-A4F8-7EA5DE288AFA} - C:\WINNT\adsldpbc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [cpqek] C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: START_PAGE_URL=http://f3siegweb1
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: http://*.F3siegWeb1
O15 - Trusted Zone: http://in3net.******3.fr
O15 - Trusted Zone: *.searchmeup.com
O16 - DPF: {020f6116-407b-11d3-a3bb-00c04fa32518} (JavaBeansBridge Object) -
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) -
http://ex3villages.******3.fr/qp2.cab
O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -
http://f3sieg2km****.pc.siege.**** [...] /jinit.exe
O16 - DPF: {CAFECAFE-0013-0001-0013-ABCDEFABCDEF} (JInitiator 1.3.1.13) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pc.siege.******3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pc.siege.******3.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ******3.fr,siege.******3.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pc.siege.******3.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ******3.fr,siege.******3.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ******3.fr,siege.******3.fr
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O20 - Winlogon Notify: st3 - C:\WINNT\system32\st3.dll
O20 - Winlogon Notify: st3i - C:\WINNT\q15752781.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS
Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development -
C:\WINNT\system32\DWRCS.exe
O23 - Service: Ingres Client (Ingres_Client) - Unknown owner -
C:\AppliF3\IngresII\ingres\bin\clntproc.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation -
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\AppliF3\Oracle\BIN\ONRSD80.EXE
O23 - Service: OracleDERNIERAgent - Oracle Corporation - d:\dernier\bin\agntsrvc.exe
O23 - Service: OracleDERNIERClientCache - Unknown owner - d:\dernier\BIN\ONRSD.EXE
O23 - Service: OracleDEVORAAgent - Unknown owner - D:\devora\bin\agntsrvc.exe (file missing)
O23 - Service: OracleDEVORACLEClientCache80 - Unknown owner - d:\DevOracle\BIN\ONRSD80.EXE (file
missing)
O23 - Service: OracleDEVORAClientCache - Unknown owner - D:\devora\BIN\ONRSD.EXE (file missing)
O23 - Service: OracleORADEV9iClientCache80 - Unknown owner - d:\Oradev9i\BIN\ONRSD80.EXE (file
missing)
O23 - Service: Oracle Reports Server [Rep60_F3SIEG2Km****-DES6i]
(OracleReportServer-Rep60_F3SIEG2Km****-DES6i) - Unknown owner - D:\des6i\bin\rwmts60.exe (file
missing)
O23 - Service: Oracle Reports Server [Rep60_F3SIEG2Km****-dev6i]
(OracleReportServer-Rep60_F3SIEG2Km****-dev6i) - Oracle Corp - d:\dev6i\bin\rwmts60.exe
O23 - Service: User Profile Hive Cleanup (UPHClean) - Unknown owner - C:\Program
Files\uphclean\uphclean.exe (file missing)
Merci de me sortir du caca car une infection au travail est toujours difficile à justifier.
Une autre question savez vous comment lancer le panneau de config en ligne de commande ? Pour que je puisse verifier si il n y a pas de logiciel non desirable d'installé.