Drôle de processus.

Résolu/Fermé
Cracramon - 12 févr. 2005 à 22:04
 moe - 12 févr. 2005 à 23:08
Bonjour, j'ai fait un petit check-up de mes processus, et j'ai vu un processus assez étrange, il se nomme "Golden Retriever Cash Back", il n'y a pas de ".exe" notifié.
J'ai fait plusieurs recherches sur Google, mais je ne trouve rien, sauf peut-être quelques sites sur des chiens, alors si quelqu'un pouvait me renseigner ça serait gentil.

Merci d'avance

8 réponses

salut cracramon

http://forum.iamnotageek.com/t-78000.html
Si ca correspond à ton cas, Golden Retriever Cash Back n'est juste que la partie cachée de l'iceberg.
Peut etre que la combinaison spybot, ad-aware, spysweeper en viendront à bout...

a+
0
J'ai déjà essayé Spybot, et Ad-Aware, mais rien il est toujours là...

Sinon, merci pour l'aide mais je n'ai que 14 ans et l'anglais n'est pas vraiment mon fort, alors je comprends pas trop ce qu'il y a marqué la dedans ...
0
0
re

télécharge hijackthis ici:
http://telechargement.zebulon.fr/138-HijackThis-1.99.html
L'aide est ici:
http://www.zebulon.fr/articles/HijackThis.php
lance le et:
Clic sur "do a system scan and save logfile
Fait un copier/coller du log sur le forum.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Voilà :

Logfile of HijackThis v1.99.0
Scan saved at 22:37:33, on 12/02/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\dslagent.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\MSN+\MsgPlus.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\WINNT\system32\gah95on6.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINNT\twain_32\A4CIS\WATCH.exe
C:\MSCAN\Msoffice\panel.exe
C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE
I:\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Jeanique\LOCALS~1\Temp\Rar$EX00.882\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dhnet.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MSN+\MsgPlus.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://images.goa.com/v3/InstallGoaIT/Itpp/V2,0,1,6/npwwg.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c2.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - http://www.innova-webplaner.de/innova/pano/prog/DE/rundum.6.5.0.10.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/013f4116546d849a9c06/netzip/RdxIE601.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/fr/win/QuickTimeInstaller.exe
O16 - DPF: {66446E32-5EB9-4FEC-A06D-F3D88E2D5947} (Download Class) - http://www.sexoacceso.com/downloader/downloadertlf.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/v3/InstallGoaIT/ChatAx/V4,0,5,4/npaxchat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{281227AC-141E-4BE2-B62C-C955720AB7D9}: NameServer = 194.119.228.67 193.74.208.135
O17 - HKLM\System\CS1\Services\Tcpip\..\{281227AC-141E-4BE2-B62C-C955720AB7D9}: NameServer = 194.119.228.67 193.74.208.135
O23 - Service: Avertissement - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Gestion d'applications - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Explorateur d'ordinateur - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Client DHCP - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gestionnaire de disque logique - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Client DNS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Journal des événements - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Service de télécopie - Unknown - C:\WINNT\system32\faxsvc.exe
O23 - Service: Serveur - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Station de travail - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Service d'application d'assistance TCP/IP NetBIOS - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Affichage des messages - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINNT\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINNT\system32\netdde.exe
O23 - Service: Ouverture de session réseau - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Agent de stratégie IPSEC - Unknown - C:\WINNT\System32\lsass.exe
O23 - Service: Emplacement protégé - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire de comptes de sécurité - Unknown - C:\WINNT\system32\lsass.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINNT\System32\SCardSvr.exe
O23 - Service: Planificateur de tâches - Unknown - C:\WINNT\system32\MSTask.exe
O23 - Service: Service d'exécution par délégation - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINNT\system32\smlogsvc.exe
O23 - Service: Telnet - Unknown - C:\WINNT\system32\tlntsvr.exe
O23 - Service: Client de suivi de lien distribué - Unknown - C:\WINNT\system32\services.exe
O23 - Service: Gestionnaire d'utilitaires - Unknown - C:\WINNT\System32\UtilMan.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
O23 - Service: Horloge Windows - Unknown - C:\WINNT\System32\services.exe
O23 - Service: Infrastructure de gestion Windows - Unknown - C:\WINNT\System32\WBEM\WinMgmt.exe
O23 - Service: Extensions du pilote WMI - Unknown - C:\WINNT\system32\Services.exe
0
Si tu as accepté les sponsors lors de l'installation, désinstalle messenger plus!3(sponsors=spyware).
Tu pourra le réinstaller plus tard en refusant les sponsors.
Ensuite, reposte un log hijackthis
0
Je ne pense pas que ça vient de là (J'ai pas installé les sponsors)
Mais bon, on va toujours essayer.
0
Bon, si tu n'as pas accepté les sponsors alors:

- Redémarre en mode sans échec en appuyant sur la touche F8 au démarrage de ton PC(apres l'ecran du bios)

Termine les processus suivant:
Ouvrir le gestionnaire des taches: CTRL+ALT+SUPPR
Clic-droit sur le processus et choisir terminer le processus.
Termine:
C:\Program Files\Windows AdStatus\WinStat.exe
C:\WINNT\system32\gah95on6.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe

Lance hijackthis et Fixe:
cocher au début de chaques lignes valider avec fix checked

O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINNT\system32\gah95on6.exe

tu peux fixer toute les 016

Avant de supprimer les fichiers infectés:

- Afficher les dossiers cachés et fichiers système:
panneau de configuration > options des dossiers > onglet affichage

cocher " afficher les fichiers et dossiers cachés "
décocher " masquer les extentions des fichiers dont le type est connu
décocher " masquer les fichiers protégés du système"

clic sur demarrer>rechercher dans les options avancées, vérifier que:
rechercher dans les dossiers systeme,
dans les fichiers et dossiers cachés,
dans les sous-dossiers
soient cochés.


Supprimer:

c:\temp\salm.exe
C:\WINNT\system32\gah95on6.exe
C:\Program Files\Windows AdStatus <= tout le dossier

vérifier aussi la presence de:
salmhook.dll
salm_kyf.dat
salmau.dat
salm_gdf.dat
salm.log
à supprimer si présent

Redemarrer et refaire un scan hijack pour vérifier si tout et ok
recocher " masquer les fichiers protégés du système" dans les options des dossiers
0