Spy ou du meme genre avec autosearch

elise -  
 balltrap34 -
bonjour, j'ai moi aussi chopé une cochonnerie, et j'ai tout tenté pour le virer : ad-aware, spyware doctor, hijack this, j'ai beau supprimer les données en question, au reboot ca se reinstalle je ne sais pas comment.
ca commence franchement à m'ennerver. J'ai aussi downloadé l'add on pour ad aware (VX2 cleaner) qui ne m'a rien trouvé. Et j'ai toujours de fichu popup indésirables.
Voici le log de hijack this :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\borland\interbase\Bin\IBGuard.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe
C:\Program Files\borland\interbase\Bin\IBServer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\Documents and Settings\Elise\Desktop\HijackThis.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -a
O4 - HKCU\..\Run: [RssReader] C:\Program Files\RssReader\RssReader.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: PC Atomic Sync.lnk = C:\Program Files\BrigSoft\BSAtomic\BSAtomic.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: MoneySide (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.suprnova.org
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

si vous avez des conseils je serai grandement reconnaissante, je ne sais plus quoi faire, meme après avoir consulté google et forums sur forums.
Merci

80 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Le problème porte sur une infection persistante où des logiciels malveillants se réinstallent au redémarrage malgré Ad-Aware, Spyware Doctor et HijackThis, avec des popup et un comportement système perturbé.
Des approches proposées incluent l’utilisation du mode sans échec et des outils tels que Spy Sweeper ou Spybot, puis la tentative de désinstallations via un UnInstaller comme Look2Me.
D’autres conseils évoquent des méthodes pour supprimer des DLL tenaces ou des fichiers bloqués avec MoveOnB et la gestion des démarrages via msconfig pour empêcher les réapparitions.
En cas de corrélation avec l’accès réseau, certains constatent que l’infection s’active lors de la connexion et modifie le fichier hosts, d’où la nécessité potentielle de déconnecter le réseau.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. elise
     
    les données en question que j'ai supprmées et qui reviennent tout le temps sont :

    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch

    dans mon fichier host... j'edite le fichier à la main aussi, et juste après c'est remis je ne sais comment.
    0
  2. elise
     
    de ce que j'ai pu comprendre en passant des heures à tenter de le virer, c'est un adware qui a du corrompre une de mes dll pour le moment je n'ai pas pu trouver laquelle, et qui dès que je modifie mon fichier hosts (ou meme le supprime) le recrée desuite après, en mode sans echec il ne fait rien par contre des que j'ouvre une session en mode normal sous mon compte il est lancé

    il m'a copié toute une liste dans le hosts :

    127.0.0.1 www.igetnet.com
    127.0.0.1 code.ignphrases.com
    127.0.0.1 clear-search.com
    127.0.0.1 r1.clrsch.com
    127.0.0.1 sds.clrsch.com
    127.0.0.1 status.clrsch.com
    127.0.0.1 www.clrsch.com
    127.0.0.1 clr-sch.com
    127.0.0.1 sds-qckads.com
    127.0.0.1 status.qckads.com
    69.20.16.183 auto.search.msn.com
    69.20.16.183 search.netscape.com
    69.20.16.183 ieautosearch
    69.20.16.183 ieautosearch

    résultat j'ai encore plein de popups, qui se lancent toutes seules meme malgré mon anti popup
    0
  3. gbinforme Messages postés 14930 Date d'inscription   Statut Contributeur Dernière intervention   4 744
     
    bonjour,

    "c'est un adware"

    entièrement d'accord et c'est pour cela que je te dis
    de télécharger le petit programme CWShredder™ Version 2.0
    à cette adresse :
    http://www.intermute.com/spysubtract/cwshredder_download.html

    puis de le lancer selon la procédure donnée ici

    http://europe.branchez-vous.com/Europe/logiciel/04-10/08-312101.html

    et il devrait te corriger définitivement ton problème.

    toujours zen
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. elise
     
    j'ai installé et lancé le soft en question, cliqué sur "fix" mais rien n'a faire ca n'a pas résolu le pb voici le log en question après fix :
    **** Run Keys ****

    RUN: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
    RUN: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    RUN: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    RUN: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    RUN: [anvshell] anvshell.exe
    RUN: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    RUN: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    RUN: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
    RUN: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    RUN: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    RUN: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
    RUN: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    RUN: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    RUN: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -a
    RUN: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
    RUN: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

    **** Browser Helper Objects ****

    **** IE Toolbars ****

    TOOLBAR: [Norton AntiVirus] C:\Program Files\Norton AntiVirus\NavShExt.dll
    TOOLBAR: [&Google] c:\program files\google\googletoolbar2.dll
    TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx

    **** IE Extensions ****

    IEExt: []
    IEExt: [Créer un Favori de l'appareil mobile]
    IEExt: [Créer un Favori de l'appareil mobile]
    IEExt: [Research]
    IEExt: [MoneySide]

    **** Hosts File Entries ****

    HOSTS: 127.0.0.1 localhost
    HOSTS: 127.0.0.1 www.igetnet.com
    HOSTS: 127.0.0.1 code.ignphrases.com
    HOSTS: 127.0.0.1 clear-search.com
    HOSTS: 127.0.0.1 r1.clrsch.com
    HOSTS: 127.0.0.1 sds.clrsch.com
    HOSTS: 127.0.0.1 status.clrsch.com
    HOSTS: 127.0.0.1 www.clrsch.com
    HOSTS: 127.0.0.1 clr-sch.com
    HOSTS: 127.0.0.1 sds-qckads.com
    HOSTS: 127.0.0.1 status.qckads.com
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 auto.search.msn.com
    HOSTS: 69.20.16.183 search.netscape.com
    HOSTS: 69.20.16.183 ieautosearch
    HOSTS: 69.20.16.183 ieautosearch

    **** IE Settings ****

    Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Local Page: C:\WINDOWS\SYSTEM32\blank.htm
    Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    **** IE Context Menu (Right click) ****

    IEContext: [&Google Search] res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    IEContext: [E&xport to Microsoft Excel] res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IEContext: [Pages liées] res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    IEContext: [Pages similaires] res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    IEContext: [Version de la page actuelle disponible dans le cache Google] res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

    **** Layered Service Providers ****

    LSP: MSAFD Tcpip [TCP/IP]
    LSP: MSAFD Tcpip [UDP/IP]
    LSP: RSVP UDP Service Provider
    LSP: RSVP TCP Service Provider
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CFEC5A2F-3B40-4CCC-883F-7BCBDAE9C9F4}] SEQPACKET 0
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{CFEC5A2F-3B40-4CCC-883F-7BCBDAE9C9F4}] DATAGRAM 0
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{75C85DA3-692E-4063-8415-758679EF3341}] SEQPACKET 1
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{75C85DA3-692E-4063-8415-758679EF3341}] DATAGRAM 1
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D9BC88C5-D747-4240-9116-C7A5B82BA9BF}] SEQPACKET 2
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D9BC88C5-D747-4240-9116-C7A5B82BA9BF}] DATAGRAM 2
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{27B832C8-2C8C-44E9-B1FF-BA317D253AED}] SEQPACKET 3
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{27B832C8-2C8C-44E9-B1FF-BA317D253AED}] DATAGRAM 3
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7CA49FE1-E126-4874-9405-5FAC8DCA8DA5}] SEQPACKET 4
    LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7CA49FE1-E126-4874-9405-5FAC8DCA8DA5}] DATAGRAM 4

    **** Blocked Control Panel Items ****

    BLOCKED: [ncpa.cpl] No
    BLOCKED: [odbccp32.cpl] No

    **** Downloaded Program Files ****

    {166B1BCA-3F9C-11CF-8075-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab]
    {8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
    {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
    {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} [http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab]
    {D27CDB6E-AE6D-11CF-96B8-444553540000} [http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab]

    **** Custom IE Search Items ****

    SEARCH: [SearchAssistant] http://ie.search.msn.com
    SEARCH: [CustomizeSearch] http://ie.search.msn.com
    0
  6. BrunoBll
     
    Bonjour,
    Il y a quelques temps j'ai eu un soucis plus ou moins équivalent, j' ai fini par le nettoyer à la main dans la base de registre.
    J'avais remarqué une clé bizarre :
    HKEY_LOCAL_MACHINE\software\microsoft\windows\run : clé "sys" valeur "regedit -s sys.reg"

    Ce fichier modifiait à chaque démarrage la base de registre pour réinstaller les différentes pages. En supprimant cette clé et le fichier Sys.reg j'ai réglé le problème. Je ne sais pas si cela règlera vos problèmes.
    Cordialement
    P.S. :
    Extrait du fichier en question :
    REGEDIT4
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start
    Page"="http://%62%6B%74%78%74%62%2E%74%2E%6D%75%78%61%2E%63%63/%68%2E%70%68%
    70?%61%69%64=227"
    "HOMEOldSP"="http://%62%6B%74%78%74%62%2E%74%2E%6D%75%78%61%2E%63%63/%68%2E%
    70%68%70?%61%69%64=227"
    "Search

    etc.....
    0
    1. elise
       
      merci pour ton conseil. Malheureusement je n'ai trouvé aucune clef y ressemblant :(
      j'ai observé mon run et runonce dans la base de registre, rien ne me semble anormal.
      J'ai aussi observé les process qui tournent, si vous y voyez quelque chose d'anormal...

      Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time
      Idle 0 0 1 0 0 3:09:11.437 0:00:00.000
      System 4 8 56 341 0 0:00:54.812 0:00:00.000
      smss 768 11 3 21 172 0:00:00.718 24:43:47.250
      csrss 816 13 14 578 1708 0:00:10.250 24:43:44.062
      winlogon 840 13 29 949 8684 0:00:12.421 24:43:43.437
      services 884 9 16 335 1488 0:00:05.750 24:43:42.156
      lsass 896 9 17 295 1932 0:00:11.671 24:43:42.125
      svchost 1068 8 10 309 1368 0:00:00.937 24:43:41.218
      svchost 1216 8 67 1387 14232 0:00:24.484 24:43:41.093
      svchost 1308 8 6 73 692 0:00:00.218 24:43:40.468
      CCSETMGR 1428 8 6 182 2488 0:00:00.328 24:43:40.062
      CCEVTMGR 1496 8 22 259 2728 0:00:00.328 24:43:39.250
      spoolsv 1656 8 11 133 2972 0:00:00.421 24:43:38.125
      CTSVCCDA 1768 8 2 28 392 0:00:00.031 24:43:31.703
      inetinfo 1792 8 24 454 5828 0:00:11.015 24:43:31.656
      ibguard 1804 8 4 40 624 0:00:00.109 24:43:31.546
      mdm 1824 8 5 85 796 0:00:00.171 24:43:31.390
      NAVAPSVC 1868 8 11 223 7352 0:00:13.062 24:43:31.187
      nvsvc32 1904 8 3 48 464 0:00:00.437 24:43:31.078
      svchost 1980 8 2 37 392 0:00:00.046 24:43:27.968
      SAVSCAN 1992 8 7 62 9176 0:00:02.015 24:43:27.828
      wdfmgr 188 8 4 58 420 0:00:00.031 24:43:27.421
      MsPMSPSv 200 8 2 43 396 0:00:00.046 24:43:27.109
      ibserver 516 8 5 56 916 0:00:00.140 24:43:23.593
      rundll32 1936 8 2 175 4196 0:00:12.578 24:01:38.468
      explorer 556 8 16 598 22252 0:02:44.078 24:01:34.859
      NvMixerTray 384 8 2 96 1020 0:00:00.500 24:01:32.546
      type32 608 8 3 39 2864 0:00:01.140 24:01:31.828
      point32 1508 8 4 63 1220 0:00:01.640 24:01:31.531
      anvshell 1880 8 1 73 996 0:00:00.312 24:01:31.296
      CCAPP 1956 8 19 293 7480 0:00:03.750 24:01:30.859
      MsgPlus 1712 8 1 22 640 0:00:00.109 24:01:30.625
      iMON 312 8 1 39 1360 0:00:00.703 24:01:30.046
      WCESCOMM 1524 8 2 61 1104 0:00:00.265 24:01:29.093
      InstallStub 676 8 2 129 2520 0:00:00.406 24:01:28.671
      swdoctor 1120 8 9 334 28736 0:02:48.765 24:01:28.234
      OUTLOOK 2424 8 34 1364 21316 0:00:52.609 24:01:19.640
      msnmsgr 2740 8 18 471 13036 0:00:08.484 24:01:08.328
      IEXPLORE 3512 8 12 412 8820 0:00:09.187 0:16:34.937
      notepad 2244 8 1 24 696 0:00:00.046 0:14:29.687
      IEXPLORE 500 8 15 442 8596 0:00:04.562 0:02:25.218
      cmd 2868 8 1 21 1452 0:00:00.078 0:01:01.906
      pslist 3572 13 2 93 776 0:00:00.046 0:00:00.062
      0
  7. elise
     
    y aurai pas un tool qui permettrait de savoir quel process ecrit ou touche un fichier ?
    0
  8. gbinforme Messages postés 14930 Date d'inscription   Statut Contributeur Dernière intervention   4 744
     
    bonsoir

    pour suivre l'idée de BrunoBll,
    essaie de chercher si tu trouves des fichiers .reg
    qui permettent de mettre à jour le registre
    car pour toi c'est peut-être autre chose que sys.reg

    toujours zen
    0
  9. elise
     
    oui j'y avais pensé et j'ai regardé, rien de tel nulle part :(
    0
  10. bernie61
     
    salut élise
    voilà résultat
    Relances HijackThis et cocher toutes ces lignes, puis FIX :
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
    O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
    O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll

    A vérifier celui là est-ce toi qui a placé :
    O9 - Extra button: MoneySide (HKLM)
    O15 - Trusted Zone: http://www.suprnova.org
    Si non alors coche puis FIX

    a+
    0
  11. elise
     
    merci bcp pour ta réponse.
    j'ai fait comme tu m'as dit, et pour Unknown file in Winsock LSP ne voulant pas me le supprimer j'ai utilisé LSPFix et ca n'a corrigé le pb, par contre mon fichier hosts lui reste tjrs modifié meme si je supprme les lignes.
    Voici le resultat après fix de ce que tu m'as dit :

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\CTSvcCDA.EXE
    C:\WINDOWS\System32\inetsrv\inetinfo.exe
    C:\Program Files\borland\interbase\Bin\IBGuard.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\borland\interbase\Bin\IBServer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
    C:\Program Files\Microsoft IntelliType Pro\type32.exe
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\WINDOWS\anvshell.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Messenger Plus! 3\MsgPlus.exe
    C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
    C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe
    C:\Program Files\Spyware Doctor\swdoctor.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\HJT\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
    O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -a
    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: PC Atomic Sync.lnk = C:\Program Files\BrigSoft\BSAtomic\BSAtomic.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
    O9 - Extra button: Research (HKLM)
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O15 - Trusted Zone: http://www.suprnova.org
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    0
  12. gbinforme Messages postés 14930 Date d'inscription   Statut Contributeur Dernière intervention   4 744
     
    bonjour

    il reste encore ceci à supprimer :

    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q

    et

    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch
    O1 - Hosts: 69.20.16.183 ieautosearch

    essaye de les "fixer" en mode sans echec si cela ne marche pas
    en mode normal.

    toujours zen
    0
  13. elise
     
    oui je sais, j'aimerai bien mais à chaque fois que je les supprime, comme j'expliquais plus haut, ils sont aussi tot remis par je ne sais quoi, meme quand j'edite le fichier hosts à la main, je vire, je sauve, et ca revient dans la secondes d'apres. j'ai meme essayé de supprimer le fichier hosts pour voir ce que ca donne, l'adware me le recrée derriere...
    0
  14. bernie61
     
    salut
    tout vient de ton pgm MESSENGER PLUS
    tu fais donc
    Démarrer/panneauConfig/ajoutSuppressionProgramme
    et là tu supprime ce pgm

    tu redémarres ensuite
    refais un HijackThis pour contrôle

    si plus rien installe Messenger 6.2 ou alors Messenger Plus mais en REFUSANT de recevoir d'autres info ou pub... lis bien tout dans l'installation de messenger Plus pour pas accepter n'importe quoi
    a+
    0
  15. elise
     
    messenger plus je l'ai installé y a des mois en ne cochant pas les programmes "conseillés" justement. ce adware lui a fait surface samedi suite à un jeu flash.
    et je n'ai pas mis à jour messenger plus depuis que je l'ai installé, donc comment pourrait il etre la source de ce pb ?
    0
  16. bernie61
     
    re
    pour vérifier si c'est ça ou autre chose, désinstalle tu check puis tu pourras tjs réinstaller
    a+
    0
  17. Utilisateur anonyme
     
    bonsoir,

    non, ça ne vient pas de Messenger+
    sans vouloir te décourager c'est le 4ème post (3 sur des forums français dont toi et 1 post sur un forum allemand) tout le monde se casse les dents dessus , toujours le même problème de ce fichier hosts insupprimable, qui revient à chaque reboot, ça doit être un nouveau spy non reconnu pour le moment des logiciels anti-spys

    1 popup qui s'ouvre sans arrêt
    du genre url xxxx 69.20.16 .yyy6.html

    aucune solution trouvée.......

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  18. elise
     
    merci dolly.dagger, j'ai vu ca oui sur d'autres forums, j'ai quand meme posté espérant trouver une solution mais les gars qui ont codé ça, c'est à devenir fou, j'ai passé des heures sur ma machine un peu partout à trouver qui surveillait le fichier hosts dns les processus, fouillé partout, rien trouvé snifff...
    tu dois avoir raison
    0
  19. elise
     
    bon ben en tout cas faites attention aux popups dans les jeux flash faite pas comme moi ;)
    0
    1. gbinforme Messages postés 14930 Date d'inscription   Statut Contributeur Dernière intervention   4 744
       
      bonsoir

      c'est moins risqué avec firefox car on ne les voit pas !

      toujours zen
      0
  20. Utilisateur anonyme
     
    je te donne les forums, mais bon.... un gars a formaté après 5 jours de galère et d'aides diverses

    http://forum.hardware.fr/hardwarefr/WindowsSoftwareReseaux/Spyware-yyy6-html-Fenetres-IE-s-ouvrant-seules-sur-des-pages-de-pub--sujet-190920-1.htm
    http://forum.hardware.fr/hardwarefr/WindowsSoftwareReseaux/HELP-spyware-de-malade--sujet-191374-1.htm

    le forum allemand :
    http://board.protecus.de/board.php?boardid=7
    post --->: ht**://69.20.56.3/yyy6.htm <- diese seite kommt bei mir immer raus.

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  • 1
  • 2
  • 3
  • 4