Spy ou du meme genre avec autosearch
elise
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
bonjour, j'ai moi aussi chopé une cochonnerie, et j'ai tout tenté pour le virer : ad-aware, spyware doctor, hijack this, j'ai beau supprimer les données en question, au reboot ca se reinstalle je ne sais pas comment.
ca commence franchement à m'ennerver. J'ai aussi downloadé l'add on pour ad aware (VX2 cleaner) qui ne m'a rien trouvé. Et j'ai toujours de fichu popup indésirables.
Voici le log de hijack this :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\borland\interbase\Bin\IBGuard.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe
C:\Program Files\borland\interbase\Bin\IBServer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\Documents and Settings\Elise\Desktop\HijackThis.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -a
O4 - HKCU\..\Run: [RssReader] C:\Program Files\RssReader\RssReader.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: PC Atomic Sync.lnk = C:\Program Files\BrigSoft\BSAtomic\BSAtomic.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: MoneySide (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.suprnova.org
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
si vous avez des conseils je serai grandement reconnaissante, je ne sais plus quoi faire, meme après avoir consulté google et forums sur forums.
Merci
ca commence franchement à m'ennerver. J'ai aussi downloadé l'add on pour ad aware (VX2 cleaner) qui ne m'a rien trouvé. Et j'ai toujours de fichu popup indésirables.
Voici le log de hijack this :
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\borland\interbase\Bin\IBGuard.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\anvshell.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe
C:\Program Files\borland\interbase\Bin\IBServer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\Documents and Settings\Elise\Desktop\HijackThis.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iMON] C:\Program Files\SOUNDGRAPH\iMON\iMON.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Program Files\Plaxo\2.0.3.16\InstallStub.exe -a
O4 - HKCU\..\Run: [RssReader] C:\Program Files\RssReader\RssReader.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: PC Atomic Sync.lnk = C:\Program Files\BrigSoft\BSAtomic\BSAtomic.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: MoneySide (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.suprnova.org
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
si vous avez des conseils je serai grandement reconnaissante, je ne sais plus quoi faire, meme après avoir consulté google et forums sur forums.
Merci
A voir également:
- Spy ou du meme genre avec autosearch
- Spy bot - Télécharger - Antivirus & Antimalwares
- Site genre coco - Accueil - Réseaux sociaux
- Spy sweeper - Télécharger - Antivirus & Antimalwares
- Remplaçant de Coco : quelles solutions pour tchater gratuitement en ligne ? - Accueil - Réseaux sociaux
- Logiciel classement musique par genre gratuit - Télécharger - Lecture & Playlists
80 réponses
bonjour elise
j'aimerai que tu essaie de télécharger ces 2 petits programmes :
- VX2Finder(126) :choisi la bonne version pour ton système
- CWS HiddenDLLFinder (DllCompare.exe)
sur ce site : http://download.broadbandmedic.com/
ensuite, tu lancesVX2Finder(126)
puis "click to find..."
puis "make log"
ensuite et tu postes le résultat.
tu lances "DllCompare.exe"
puis "run locate"
puis "compare"
puis "make a log..."
puis "ok"
ensuite et tu postes le résultat avec le précédant.
cela devrait peut-être nous permettre de réparer ...
j'ai gros espoir, et si d'autres sont concernés ... !
toujours zen
j'aimerai que tu essaie de télécharger ces 2 petits programmes :
- VX2Finder(126) :choisi la bonne version pour ton système
- CWS HiddenDLLFinder (DllCompare.exe)
sur ce site : http://download.broadbandmedic.com/
ensuite, tu lancesVX2Finder(126)
puis "click to find..."
puis "make log"
ensuite et tu postes le résultat.
tu lances "DllCompare.exe"
puis "run locate"
puis "compare"
puis "make a log..."
puis "ok"
ensuite et tu postes le résultat avec le précédant.
cela devrait peut-être nous permettre de réparer ...
j'ai gros espoir, et si d'autres sont concernés ... !
toujours zen
salut
grinforme je cois que tu essaie une partie de la soluce mis sur le site anglo saxon
enesperent que cela soient suffissant
la chasse et le balltrap ma vrai passion
voir site perso dans profil
grinforme je cois que tu essaie une partie de la soluce mis sur le site anglo saxon
enesperent que cela soient suffissant
la chasse et le balltrap ma vrai passion
voir site perso dans profil
bonsoir
Désolé mais personne ne veut de solutions,
au moment où je pensais avoir trouvé les programmes
pour localiser cette malveillance...
Pour pouvoir 'chasser' ces intrus,
on attendra donc le retour d'elise !
toujours zen
Désolé mais personne ne veut de solutions,
au moment où je pensais avoir trouvé les programmes
pour localiser cette malveillance...
Pour pouvoir 'chasser' ces intrus,
on attendra donc le retour d'elise !
toujours zen
Bon alors j'ai le même problème. Mais perso je n'ai pas le répertoire SED car je l'ai aisément supprimé.
Par contre j'ai remarqué que dans le dossier System32, il y a des DLL inhabituels qui font tous 219, 220 ou 221 ko et qui ont un nom aléatoire fait de nomre et de chiffres (ex: mv2ml9f11.dll , p6p60g7se6.dll, k6pmlg7116.dll , ilsutil.dll ...)
Ces DLL sont insupprimables et ne sont pas en cause d'après Antivir, Spybot, Ad-aware et A².
A noter que depuis que ces DLL sont apparus, est apparu aussi un fichier (IPINC.INC) qui ne contient que des adresses IP. Et bien évidement quand je le supprime ... il revient.
Comme pour les autres quand je fais un Hijackthis j'ai les mêmes lignes qui reviennet immédiatement après les avoir supprimé.
J'aurais bien voulu tester la solution de gbinforme mais son lien n'existe plus. :'(
Par contre j'ai remarqué que dans le dossier System32, il y a des DLL inhabituels qui font tous 219, 220 ou 221 ko et qui ont un nom aléatoire fait de nomre et de chiffres (ex: mv2ml9f11.dll , p6p60g7se6.dll, k6pmlg7116.dll , ilsutil.dll ...)
Ces DLL sont insupprimables et ne sont pas en cause d'après Antivir, Spybot, Ad-aware et A².
A noter que depuis que ces DLL sont apparus, est apparu aussi un fichier (IPINC.INC) qui ne contient que des adresses IP. Et bien évidement quand je le supprime ... il revient.
Comme pour les autres quand je fais un Hijackthis j'ai les mêmes lignes qui reviennet immédiatement après les avoir supprimé.
J'aurais bien voulu tester la solution de gbinforme mais son lien n'existe plus. :'(
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai trouvé les programmes sur un autre site et je les ai lancé. Voici donc le résultat :
Log de VX2Finder :
Et voici le log de Dllcompare
Log de VX2Finder :
Log for VX2.BetterInternet File Finder (ALL)
Files Found---
Additional Files---
Keys Under Notify---
BITS
crypt32chain
cryptnet
cscdll
ScCertProp
Schedule
sclgntfy
SensLogn
termsrv
wlballoon
Guardian Key--- is called:
Guardian Key--- :
User Agent String---
{34A35FCA-16D8-4938-AD45-81AFE4F6F345}
Et voici le log de Dllcompare
* DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\ilsutil.dll Fri 17 Dec 2004 10:44:58 ..S.R 223 550 218,31 K C:\WINDOWS\SYSTEM32\k6pmlg~1.dll Fri 17 Dec 2004 9:04:58 ..S.R 223 761 218,52 K C:\WINDOWS\SYSTEM32\logm.dll Mon 26 Jul 2004 22:16:52 A...R 57 344 56,00 K C:\WINDOWS\SYSTEM32\mv2ml9~1.dll Fri 17 Dec 2004 10:44:58 ..S.R 224 679 219,41 K C:\WINDOWS\SYSTEM32\p6p60g~1.dll Fri 17 Dec 2004 9:59:26 ..S.R 223 550 218,31 K C:\WINDOWS\SYSTEM32\unrar.dll Tue 18 Jul 2000 2:51:00 A.S.. 53 248 52,00 K C:\WINDOWS\SYSTEM32\vb6stkit.dll Thu 25 Mar 1999 23:00:00 A.S.. 101 888 99,50 K ________________________________________________ 1 347 items found: 1 347 files (6 H/S), 0 directories. Total of file sizes: 270 278 347 bytes 257,75 M Administrator Account = Vrai --------------------End log---------------------
bonjour
merci pour les logs.
tu les notes bien (imprime) et tu démarre mode sans échec (F8)
tu supprimes les dll pourries :
C:\WINDOWS\SYSTEM32\ilsutil.dll Fri 17 Dec 2004 10:44:58 ..S.R 223 550 218,31 K
C:\WINDOWS\SYSTEM32\k6pmlg~1.dll Fri 17 Dec 2004 9:04:58 ..S.R 223 761 218,52 K
C:\WINDOWS\SYSTEM32\mv2ml9~1.dll Fri 17 Dec 2004 10:44:58 ..S.R 224 679 219,41 K
C:\WINDOWS\SYSTEM32\p6p60g~1.dll Fri 17 Dec 2004 9:59:26 ..S.R 223 550 218,31 K
tu lances regedit (éditeur registre)
et tu recherche les clefs (sans les ") :
"34A35FCA-16D8-4938-AD45-81AFE4F6F345"
et tu supprimes les entrées concernées.
ensuite tu peux relancer tes 2 programmes
pour voir si c'est correct.
puis tu lances hijackthis et tu fixes les lignes concernées.
après, redémarre "normal" et tiens nous au courant !
toujours zen
merci pour les logs.
tu les notes bien (imprime) et tu démarre mode sans échec (F8)
tu supprimes les dll pourries :
C:\WINDOWS\SYSTEM32\ilsutil.dll Fri 17 Dec 2004 10:44:58 ..S.R 223 550 218,31 K
C:\WINDOWS\SYSTEM32\k6pmlg~1.dll Fri 17 Dec 2004 9:04:58 ..S.R 223 761 218,52 K
C:\WINDOWS\SYSTEM32\mv2ml9~1.dll Fri 17 Dec 2004 10:44:58 ..S.R 224 679 219,41 K
C:\WINDOWS\SYSTEM32\p6p60g~1.dll Fri 17 Dec 2004 9:59:26 ..S.R 223 550 218,31 K
tu lances regedit (éditeur registre)
et tu recherche les clefs (sans les ") :
"34A35FCA-16D8-4938-AD45-81AFE4F6F345"
et tu supprimes les entrées concernées.
ensuite tu peux relancer tes 2 programmes
pour voir si c'est correct.
puis tu lances hijackthis et tu fixes les lignes concernées.
après, redémarre "normal" et tiens nous au courant !
toujours zen
Bonsoir à tous,
Trouvé dans un forum cela est peut-être intéressant
Bonjour, j'ai déjà été contaminé par plusieurs spywares. Un jour je suis tombé sur un logiciel de Webroot; c'est fou toutes les saloperies qu'il a dénichées. Tu peux installer sans frais l'outil en question pour une utilisation d'essai pour 30 jours; pas de problèmes à utiliser, même s'il est en anglais...il est très efficace.Voici le lien, tu n'as qu'à cliquer sur Spy sweeper dans
"try it" Bonne chance
http://www.webroot.com/downloads/
A tchao
Trouvé dans un forum cela est peut-être intéressant
Bonjour, j'ai déjà été contaminé par plusieurs spywares. Un jour je suis tombé sur un logiciel de Webroot; c'est fou toutes les saloperies qu'il a dénichées. Tu peux installer sans frais l'outil en question pour une utilisation d'essai pour 30 jours; pas de problèmes à utiliser, même s'il est en anglais...il est très efficace.Voici le lien, tu n'as qu'à cliquer sur Spy sweeper dans
"try it" Bonne chance
http://www.webroot.com/downloads/
A tchao
bonsoir
non pas d'erreur mais lorsque tu m'as répondu
d'autres messages étaient postés.
il faut absolument faire F8 au démarrage
pour démarrer sans échec
sinon la " bête" tient la machine !
toujours zen
non pas d'erreur mais lorsque tu m'as répondu
d'autres messages étaient postés.
il faut absolument faire F8 au démarrage
pour démarrer sans échec
sinon la " bête" tient la machine !
toujours zen
salut
utilise ceci
telecharge ceci et utilise le
Pocket Kill Box :
http://download.broadbandmedic.com/KillBox.exe
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
-Ouvre le
-Selectionne le fichier à supprimer,
ou copier coller
clik sur la croix blanche
reponds "oui"
-Vide la corbeille.
Submit dossier de backup supprime le c :submit
la chasse et le balltrap ma vrai passion
voir site perso dans profil
utilise ceci
telecharge ceci et utilise le
Pocket Kill Box :
http://download.broadbandmedic.com/KillBox.exe
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
-Ouvre le
-Selectionne le fichier à supprimer,
ou copier coller
clik sur la croix blanche
reponds "oui"
-Vide la corbeille.
Submit dossier de backup supprime le c :submit
la chasse et le balltrap ma vrai passion
voir site perso dans profil
bonsoir
quel est le motif de refus ?
ils sont peut-être en lecture seule.
dans ce cas faire :
clic droit "propriétés"
et décocher "lecture seule"
toujours zen
quel est le motif de refus ?
ils sont peut-être en lecture seule.
dans ce cas faire :
clic droit "propriétés"
et décocher "lecture seule"
toujours zen
il refuse de les supprimer car il me met :
"Impossible de supprimer ....... : Cette ressource est utilisée par une autre personne ou un autre programme.
Fermez les programmes susceptibles d'utiliser le fichier et essayez à nouveau"
"Impossible de supprimer ....... : Cette ressource est utilisée par une autre personne ou un autre programme.
Fermez les programmes susceptibles d'utiliser le fichier et essayez à nouveau"
Alors j'ai essayé le prog de Balltrap34
et quand il a essayé de supprimer le fichier il explorer s'est fermé puis rouvert ... puis fermé puis rouvert ... puis fermé puis rouvert et là il m'a mis: "This file could not be deleted"
et quand il a essayé de supprimer le fichier il explorer s'est fermé puis rouvert ... puis fermé puis rouvert ... puis fermé puis rouvert et là il m'a mis: "This file could not be deleted"
bonjour
ok ce malpropre se lance même en mode sans echec.
essaie donc de nettoyer le registre,
de "fixer" avec hijackthis les lignes concernées,
puis redémarre mode sans echec et essaie de supprimer les fichiers.
bon courage !
toujours zen
ok ce malpropre se lance même en mode sans echec.
essaie donc de nettoyer le registre,
de "fixer" avec hijackthis les lignes concernées,
puis redémarre mode sans echec et essaie de supprimer les fichiers.
bon courage !
toujours zen
bonsoir
pour éviter que tes fichiers soient bloqués télécharge :
http://www.gibinsoft.net/gipoutils/bin/moveonb.exe
tu marques tes dll à supprimer et tu redemarre pour supprimer.
toujours zen
pour éviter que tes fichiers soient bloqués télécharge :
http://www.gibinsoft.net/gipoutils/bin/moveonb.exe
tu marques tes dll à supprimer et tu redemarre pour supprimer.
toujours zen
Alors le problème avec hijackthis c'est qu'il ne fixe pas les lignes en queston. Il suffit de le repasser dès qu'on a supprié les lignes pour qu'elles soient à nouveau là.
Sinon avec le dernier logiciel, j'ai sélectionné les DLL mais il ne me les a pas supprimé. Enfin quelques uns mais pas tous ... et au redémarrage de nouveaux sont apparus. Toujours des noms formés au hasard et faisant 220ko environ.
Je commence à désespérer. Ca ne marcherait pas si je démarrais sous DOS et que je les supprimais manuellement?
Sinon avec le dernier logiciel, j'ai sélectionné les DLL mais il ne me les a pas supprimé. Enfin quelques uns mais pas tous ... et au redémarrage de nouveaux sont apparus. Toujours des noms formés au hasard et faisant 220ko environ.
Je commence à désespérer. Ca ne marcherait pas si je démarrais sous DOS et que je les supprimais manuellement?
re
fait ceci pour voir
dllfix
http://pageperso.aol.fr/balltrap34/page%20virus.htm
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
---------
Voir les services
Télécharger ce petit programme qui nous donnera la liste
des services :
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
fait ceci pour voir
dllfix
http://pageperso.aol.fr/balltrap34/page%20virus.htm
-Pose-le sur le bureau.
-Double-clique.
-Décompresse-le sur le bureau.
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.
-Une fois la recherche terminée, un fichier txt doit apparaître sous
le nom "Output.txt" et sera sauvegardé dans le dossier.
-Copie/colle le contenu de "Output.txt" dans ta réponse.
---------
Voir les services
Télécharger ce petit programme qui nous donnera la liste
des services :
http://pageperso.aol.fr/balltrap34/page%20virus.htm
Le poser sur le bureau.
Le lancer.
Copier/coller le fichier texte qui apparaît.
la chasse et le balltrap ma vrai passion
voir site perso dans profil
Voici le log du petit programme de balltrap:
Sinon j'ai aussi suppimé la clé dans la base de registre. Que dois-je faire ensuite ?
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
20/12/2004
10:23
System Info:
Microsoft Windows XP [version 5.1.2600]
H: "" (94CD:80F9) - FS:NTFS clusters:4k
Total: 10 750 406 656 [10G] - Free: 10 678 235 136 [10G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q867801;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error
\\?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--
20/12/2004
10:23
System Info:
Microsoft Windows XP [version 5.1.2600]
H: "" (94CD:80F9) - FS:NTFS clusters:4k
Total: 10 750 406 656 [10G] - Free: 10 678 235 136 [10G]
*IE version and Service packs:
6.0.2800.1106 C:\Program Files\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Program Files\Windows Media Player\wmplayer.exe
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q867801;
Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
\\?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error
\\?\C:\WINDOWS\System32\GPJ6L3~1.DLL +++ File read error
Scanning for main Hijacker:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
REGEDIT4
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{646FBB01-9DDC-4629-A2B8-0836001A91D3}"
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
! REG.EXE VERSION 2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_Dlls REG_SZ
*Security settings for 'Windows' key:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read BUILTIN\Utilisateurs
(IO) ALLOW Read BUILTIN\Utilisateurs
(NI) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(IO) ALLOW Read BUILTIN\Utilisateurs avec pouvoir
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access BUILTIN\Administrateurs
(NI) ALLOW Full access AUTORITE NT\SYSTEM
(IO) ALLOW Full access AUTORITE NT\SYSTEM
(NI) ALLOW Full access BUILTIN\Administrateurs
(IO) ALLOW Full access CREATEUR PROPRIETAIRE
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read BUILTIN\Utilisateurs
Read BUILTIN\Utilisateurs avec pouvoir
Full access BUILTIN\Administrateurs
Full access AUTORITE NT\SYSTEM
Sinon j'ai aussi suppimé la clé dans la base de registre. Que dois-je faire ensuite ?
(au boulot je l'ai mais le port USB a été désactivé pour raisons de sécurité donc meme pas possible de transférer les fichiers en question sur ma clef USB :)