J'ai un spyware "invirable" (RESOLU)
J'ai un spyware "invirable" (RESOLU) - Win NT/2K/XP - Windows & Software
Marsh Posté le 03-09-2004 à 13:01:03
hmm, a priori SAHBundle est considerer par un virus par certain AV, t as un AV d installé (et mis a jour 
) ?
Marsh Posté le 03-09-2004 à 13:02:21
a mon avis, il se lance au démarrage. fait un tour dans ta base de registre !
Marsh Posté le 03-09-2004 à 13:14:50
va voir dans la base de registre pour l'enlever :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
puis vire le fichier exe dans le repertoire temp.
Marsh Posté le 03-09-2004 à 13:19:58
merci pour vos réponses rapides
j'ai déjà été dans la BDR, dans la section RUN, mais il revient automatiquement et instantanément
Là, par exemple pendant que j'écris, il est bloqué chaque seconde par Ad-Watch et cherche chaque seconde à s'installer
Pour WebRebates0, une recher Google envoie sur un site en anglais et la manip n'a pas l'air simple, mais pas simple du tout pour le virer
Ce spyware a une sorte de protection : tu l'effaces et il revient dans le quart de secondes
Marsh Posté le 03-09-2004 à 13:29:04
fais un log avec Hijack This et poste le résultat ici pour commencer
Marsh Posté le 03-09-2004 à 13:45:04
Voilà ce que trouve Hijackthis !
Logfile of HijackThis v1.97.7
Scan saved at 13:45:02, on 03/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
D:\Programmes\Symantec AntiVirus\DefWatch.exe
D:\Programmes\Norton\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
D:\Programmes\Norton\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmes\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\Programmes\Norton\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\winlogon.exe
C:\Program Files\Fichiers communs\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\Programmes\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
D:\Programmes\Logitech\iTouch\iTouch.exe
D:\Programmes\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Programmes\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
M:\Drivers XP - INTEL\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmes\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmes\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmes\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] D:\Programmes\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "D:\Programmes\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programmes\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmes\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\Norton\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programmes\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AWMON] "D:\PROGRA~1\AD-AWA~2\Ad-Watch.exe"
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\bundle.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmes\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Organise-notes (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2857785968
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft. [...] 4550231481
Marsh Posté le 03-09-2004 à 13:47:34
on voit bien dans la section 04 les
WebRebates0
wupdater
et
SAHbundle qui me pourrissent la vie
Pour info, je retourne au boulot : de retour vers 19H
encore merci !
Marsh Posté le 03-09-2004 à 14:02:22
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
pas normal que tu en ais deux (d'ailleurs ça se retrouve dans les clés RUN 
)
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
pas normal ça comme pour les truc Nvidia je pense que ça devrait être rundll32.exe et il n'y a pas marqué ".exe"
edit : il semblerai que ce soit : "Control panel item for Hercules Fortissimo soundcards (Start -> Settings -> Control Panel) based upon a Cirrus Logic "SoundFusion" DSP."
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\bundle.exe
que de la saloperie à virer.
bon je recherche un peu plus sur le web pour ça
Pense aussi à regarder dans ajout/suppr de programme au cas où 
(en fait webrebates doit y être)
Message édité par minipouss le 03-09-2004 à 14:09:13
Marsh Posté le 03-09-2004 à 18:19:08
ça y'est je suis revenu du boulot ...et c'est le week-end 
Bon pour le 1er 04 (hercplgs...tu as bien deviné : j'ai une carte son Fortissimo2)
Les 3 autres saloperies, je n'y arrive pas
Ni par suppression direct dans la base des registres
Ni par désactivation du démarrage avec MSConfig
Ni avec Ad-aware, spyboot et spysweeper 
Ni avec le "fix it" de hijackthis
Le problème est que cette saloperie semble "protégée et dès que tu l'effaces ou la désactives, elle réapparait
Et impossible de virer le fichier Mon007 dans le "Temp" du local setting (acces refusé pour cause de fichier en cours d'utilisation"
je suppose que c'est ce log qui surveille et protège les 3 indésirables
Peut être une suppression sous DOS mais je ne sais pas faire
je suis ous XP pro et je ne maitrise pas bien les comandes DOS
Marsh Posté le 03-09-2004 à 18:44:24
et si tu vides le dossier des fichiers temporaires internet
depuis les options internet.
---------------
*** liens utiles pour le dépannage *** personnalisation de XP ***
Marsh Posté le 03-09-2004 à 18:46:23
tu as tenté en Mode sans échec? même si à mon avis ça changera pas grand chose.
Marsh Posté le 03-09-2004 à 18:51:19
Non je n'ai pas essayé en mode sans échec
Il me semblait que c'est un mode utile parce que les pilotes ne sont pas lançés, mais je ne vois pas bien ce que cela apporterait dans mon cas
Maintenant si tu penses que ça peut être utile, je ne suis pas à un boot près
Surtout que si rien ne marche, je vais péter un plomb et lancer un petit format c: avant de réfléchir 
Marsh Posté le 03-09-2004 à 18:54:29
Tente ceci :
-----------1
Si ce n'est pas déjà fait,
Munis-toi de la dernière version d'AdAware SE sur:
http://lavasoft.element5.com/french/support/download/
Pack français sur:
http://www.webmatze.tk/
télécharger->installer et mettre à jour.
----------------------2
Redémarre en mode sans échec (en tapotant F8 au démarage).
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\bundle.exe
Lance HijackThis. Coche ces lignes et clique "Fix checked".
----------
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
Et supprime:
C:\Program Files\Web_Rebates <-le dossier
C:\Program Files\Common files\updater <-le dossier
C:\DOCUME~1\CHRIST~1\LOCALS~1\Temp\ <- vide totalement ce dossier
Vide la corbeille.
Toujours en mode ss échec, lance une analyse complète Ad-Aware SE. Sélectionne et supprime tout ce qu'il trouvera.
---------------------
Redémarre en mode normal et poste un nouvel HijackThis.
Message édité par acrobaze le 03-09-2004 à 18:54:46
Marsh Posté le 03-09-2004 à 19:09:02
Merci à toi aussi Acrobase
J'ai copié ton post dans word je rebbote et j'applique
je reviens tout à l'heure avec les résultats d'un nouveau Hijackthis
pour info :
- j'ai la dernière version de ad aware SE pro en Fr
- Lorsque j'installe XP je fais systématiquement le choix d'afficher les fichiers cachés et les extensions connues
dans le mode actuel, avec l'explorateur je ne vois pas de dossier WebRebates0 ni de dossier updater dans le Common Files
Peut être les verrais je en mode sans échec ?
je suis tes instructions et je reviens
Marsh Posté le 03-09-2004 à 19:12:29
tu n'as pas regardé dans ajout/suppr de programme pour webrebates? il doit s'y trouver pourtant
Marsh Posté le 03-09-2004 à 19:16:29
| marcusb a écrit : |
C'est tout à fait possible qu'ils n'existent plus, supprimés par Ad-Aware déjà, par exemple, puisqu'ils ne sont pas dans les "Running processes:". Par contre donc,leur inscription en bdr était toujours là.
Mais il vaut toujours mieux vérifier.
Marsh Posté le 03-09-2004 à 19:47:01
me revoila
d'abord pardon à Neho dont je n'avais pas vu l'intervention
deuxio : merci à Acrobaze qui se spécialise dans l'aide des hijacké (j'ai failli poster ma réponse dans le topic de shi 
)
Tercio : c'est la cata : rien n'a changé
Logfile of HijackThis v1.97.7
Scan saved at 19:40:59, on 03/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Stardock\SDMCP.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
D:\Programmes\Symantec AntiVirus\DefWatch.exe
D:\Programmes\Norton\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
D:\Programmes\Norton\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\sessmgr.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\Programmes\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmes\Logitech\iTouch\iTouch.exe
D:\Programmes\Logitech\MouseWare\system\em_exec.exe
D:\Programmes\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\Programmes\Symantec AntiVirus\Rtvscan.exe
D:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\PROGRA~1\AD-AWA~2\Ad-Watch.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\HPZipm12.exe
D:\Programmes\Norton\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
M:\Drivers XP - INTEL\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmes\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmes\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmes\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] D:\Programmes\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "D:\Programmes\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programmes\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmes\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\Norton\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programmes\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AWMON] "D:\PROGRA~1\AD-AWA~2\Ad-Watch.exe"
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmes\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Organise-notes (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2857785968
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft. [...] 4550231481
Pourtant : je ne voyais pas dossier updater dans common files alors j'ai vidé tout le dossier
et il n'y a pas non plus de fichier Webrebates0 dans l'explorateur meme en mode sans echec
Pourtant (cf hijackthis ci dessus 
ces saloperies sont toujours là 
Marsh Posté le 03-09-2004 à 19:52:50
Donc, si je comprends bien :
-Tu coches les lignes dans HijackThis
-Tu cliques "Fix checked"
-Tu redémarres
-Elles y sont quand même.
Message édité par acrobaze le 03-09-2004 à 19:53:14
Marsh Posté le 03-09-2004 à 20:03:51
bizarre 
au fait utilise la dernière version de HijackThis (1.98.2 )
Marsh Posté le 03-09-2004 à 20:17:14
oui Acrobaze c'est exactement ça
non minipouss : c'est la version 1.97.7
Marsh Posté le 03-09-2004 à 20:25:06
Minipouss est un DIEU ? 
j'ai installé la version 1.98.2 de Hijackthis
j'ai fait un scan puis un fix
et voilà le résultat :
Logfile of HijackThis v1.98.2
Scan saved at 20:24:32, on 03/09/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Stardock\SDMCP.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
D:\Programmes\Symantec AntiVirus\DefWatch.exe
D:\Programmes\Norton\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\NMSSvc.exe
D:\Programmes\Norton\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\Programmes\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
D:\Programmes\Logitech\iTouch\iTouch.exe
D:\Programmes\Logitech\MouseWare\system\em_exec.exe
D:\Programmes\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\Programmes\Symantec AntiVirus\Rtvscan.exe
D:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\PROGRA~1\AD-AWA~2\Ad-Watch.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\HPZipm12.exe
D:\Programmes\Norton\Norton AntiVirus\SAVScan.exe
c:\program files\internet explorer\iexplore.exe
D:\PROGRA~1\Norton\NORTON~1\Navw32.exe
M:\Drivers XP - INTEL\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programmes\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programmes\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programmes\Norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] D:\Programmes\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "D:\Programmes\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programmes\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programmes\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\Norton\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programmes\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programmes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AWMON] "D:\PROGRA~1\AD-AWA~2\Ad-Watch.exe"
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programmes\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2857785968
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
c'est fini ?
Je n'ose y croire !!!!
Marsh Posté le 03-09-2004 à 20:28:35
je l'espère pour toi
tu as fait quoi depuis tout à l'heure?
Marsh Posté le 03-09-2004 à 20:32:12
j'ai diné avec ma femme et mes enfants !!!
il y avait une rentrée en 5ème à raconter 
Marsh Posté le 03-09-2004 à 20:53:20
c'est pas ce que je voulais dire
je parlais niveau tentative anti-spyware
Marsh Posté le 04-09-2004 à 00:50:56
là je fais un petit Call Of Duty
Maintenant je télécharge le démo du nouveau Medal of Honor (540 Mo quand même !!!) en anglais
Juste ces petits clins d'oeil pour dire que ça a l'air dêtre bon cette fois !!!
encore merci je ne m'en serais pas sorti seul
Sujets relatifs:
- Plus de son fermeture fenêtre de téléchargement Resolu
- [resolu] comment restaurer le chemin réel de dlls ?
- [zarb] ralentissement soudain Xp [résolu]
- spyware... saloperie qui partent jamais. [resolu]
- [résolu] Configuration de zone alarm pour partager une connexion
- Jamais vu ça : impossibilité totale dinstaller windows xp ! [resolu]
- Oups !! Fichier trop volumineux jeté à la corbeille par erreur [RESOLU
- [RESOLU]Voisinage réseau sous win millénium Vs win98se
- IE ne fonctionne plus... (résolu)
Marsh Posté le 03-09-2004 à 12:52:52
La recherche est temporairement désactivée, alors je me permets de demander de l'aide sur une question qui a déjà du être posée :
Documents and settings/ Local setting/ User / Temp, un spyware reconnu par Ad Awaren Spyboot et Spysweeper qui revient systématiquement:
j'ai dans le C
Mon007.log
Ad-Watch Alarm me dit valeur : SAHBundle
J'ai fait une recherche sur google, mais je suis tombé sur des explications en anglais trop dures pour moi
Savez vous comment éradiquer cette chienlit ?
J'ai également d'autres indésirables dans MSConfig, onglet démarrage, qui reviennent aussi et qui je suppose sont liées :
WebRebates0
wupdateur
bundle
Au secours !!!!
Message édité par MarcusB le 03-09-2004 à 20:34:37