Cws smartsearch.2 et variant msbho

Résolu
jeanle23 Messages postés 91 Date d'inscription   Statut Membre -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonsoir à tous, je m'en remets à vous encore une fois.
Je suis sous xp sp1, tout allait bien jusqu'à ce que mon ordi s'eteigne tout seul pendant une verification avec Spybot. Je me suis dit qu'il avait du chauffer un peu, parce qu'en le rallumant, spybot ne m'a rien trouvé.
Maintenant, mon probleme, d'apres ce que j'ai pu trouver sur le net et de CWSshredder lui-même, je me serai choppé CWS Smartsearch.2 (fenetre de CWSshredder quand j'ai voulu faire une update, typique apparament de ce trojan) et CWS variant msbho.
Mais voila, en essayant toutes les solutions trouvées sur le net, je ne trouve rien à supprimer ou d'anormal, mis à part une ligne 017 dans mon log Hijackthis qui m'indiqu que je suis connecté directement par le trojan.
Ma page d'accueil n'a pas bougée,
je ne suis redirigé vers http://69.50.190.131 que lorsque les pages demandées commencent par un chiffre
Toutes les dll et autres exe qui devraient se trouver sur mon ordi n'y sont pas ; mais d'apres ce que j'ai pu lire, une application appelée sp2chk.exe rendrait tout ceci invisible pour windows explorer...
Je ne peux pas m'en sortir seul sur ce coup là. J'ai un Avast, ZoneAlarm, spybot s&d, CWShredder, hijackthis, et j'ai fait un scan en ligne avec Panda
je ne suis pas parvenu à trouver cette ligne pour suppression :
Adware:Adware/CWS No disinfected C:\WINDOWS\color.css
Voilà, je vous mets mon log hijackthis, au cas où mais peut-être qu'il ne peut rien voir à cause de ce CWS !

Logfile of HijackThis v1.99.1
Scan saved at 20:59:10, on 26/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\AccessDirect\dadapp.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Dell\AccessDirect\DadTray.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\DSentry.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\hijackthis\HijackThisv.1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeFullInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Voila, la ligne 017 revient à chaque fois et je ne sais pas si c'est important, mais ma vitesse de connexion qui habituellement est de 3,3 Mbits/s est à 4,6 Mbits/s !

J'espère que vous allez pouvoir m'aider, merci !

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des infections par CoolWebSearch et ses variantes CWS SmartSearch.2 et msbho provoquent des redirections et des affichages inhabituels, avec une ligne O17 récurrente dans HijackThis et des perturbations de navigation. Des solutions essentielles mentionnent de vérifier et supprimer la ligne O17, d'utiliser CWShredder et HijackThis en mode sans échec, puis d'effectuer un scan avec BitDefender ou Panda et un nettoyage des objets malveillants. En cas de persistance, il faut vérifier les serveurs DNS et envisager des outils avancés comme LSPFix pour rétablir la pile réseau, car certaines méthodes malveillantes peuvent masquer leur présence et réapparaître après nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonsoir,

    1) télécharge

    http://www.mvps.org/winhelp2002/restricted.htm

    Download: -->DelDomains.inf
    pour tes lignes 015
    O15 - Trusted Zone: *.frame.crazywinnings.com
    O15 - Trusted Zone: *.static.topconverting.com


    (...undesired site add the entry to the "Restricted Zone"...)

    2) déconnecte-toi

    3) exécute le programme en suivant les indications de l'url (très facile)

    4) relance hijack/coche la ligne 017
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37 <-- CWS!!

    si elle persiste fait le en mode sans échec

    5) rescanne avec Spybot

    si tu as un problème ou autre avec l'hijack/reverse (décoche) la ligne avec le Backup (voir screen*)

    screenshot*
    http://www.ordi-netfr.org/tutorialhijackthis.html

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
    1. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
       
      Merci de m'avoir pris en consideration dolly la toulousaine !
      J'avais abondonné pour ce qui est de ces deux sites qui se sont invités dans mes sites de confiance, n'ayant rien trouvé pour m'en debarasser. Je vais faire ce que tu m'as conseillé, je te tiens au courant.
      J'ai coché la ligne 017 et, j'ai l'impression qu'apres plusieurs minutes, cela crée des problemes avec ma connexion, action annulée, page introuvable etc.
      T'as toujours rien pour mes CWS ? Meme quelque chose dans REGEDIT... Merci en tout cas.
      0
    2. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
       
      Les O15 sont enfin effacées ! Depuis le temps, au debut, je ne comprenais pas trop ce qu'il fallait attendre apres l'installation de deldomains ! En fait, ce qu'ils ne disent pas, c'est que ca ce fait automatiquement. Oui, je sais, vous autres, les bons en infos, vous avez tout de suite compris qu'une seule action est à attendre d'un fichier .inf... Pas de fentre, ni rien d'autre.
      Ah oui, hier je me suis pris pour un genie et je suis allé dans REGEDIT pour effacer la clé E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: (qui n'etait pas celle-mla d'ailleurs) et ce matin, j'ai eu lors de ma connexion, erreur 31, TCP... Tant pis pour moi :(
      Bien entendu, je n'ai pas exporter la clé, juste au cas où, comme je le fais d'habitude.
      0
      1. Utilisateur anonyme > jeanle23 Messages postés 91 Date d'inscription   Statut Membre
         
        ?? ah! ben oui.... je sais pas trop ce que tu as exactement supprimé dans la base de registre - tu peux toujours faire une restauration système, je ne peux pas te dire étant donné que je ne sais pas quelles clefs et quoi d'autres tu as bidouillé ou corrompu





        *Devise : Je m'intéresse à l'avenir parceque
        c'est là que je vais passer le reste de ma vie*
        0
  2. Utilisateur anonyme
     
    il faut cocher cette ligne
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37 <-- CWS!! (CoolWebSearch) (vérifie sur par toi même sur Google si tu veux)

    exécute l'anti-trustzone + l'hijack et regarde si ça s'améliore, c'est la seule solution - tu peux scanner en mode sans échec aussi avec Spybot

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  3. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Je sais, je n'arrete pas de la cocher !
    "CoolWebSearch/msbho: an Internet Explorer BHO that acts as a backdoor. Stored in the System32 folder under the name ‘msXXX.dll’ where XXX is three random lower-case letters; uses a random class ID. When a new IE window is open, it contacts its controlling server which directs it to install further software including sp2chk.exe (a rootkit-like hook that makes other CWS files invisible to the Windows file Explorer), tlntadmnx.exe (which puts the site 63.219.181.7 in the IE Trusted Sites Zone, then calls it to install the OnlineDialer/Ole parasite, which loads Richfind/Q) and tcpsvcss.exe (which hijacks the DNS server settings of all internet connections to 69.50.188.180 and 195.225.176.31, allowing these servers to redirect access to any site to an attacker). It can also load the CoolWebSearch/WinProtect, Freshbar and WareOut parasites. "

    J'ai trouvé ce site sur google (avec plutôt), ainsi qu'un site similaire, celui de CWSshredder. Mais je ne sais pas comment m'en debarasser. Leurs solutions ne s'appliquent pas ici, snif.
    Je fixe, je fixe...
    0
  4. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Alors, j'ai passer spybot en mode sans echec, il m'a trouvé le lien (signet) qui pointait sur la page sus-citée et c'est tout ; enfin presque puisque, d'un naturel mefiant, quand j'ai refait un scan, à la suite, mon ordi c'est eteint pendant le scan.
    La je te parle (là c'est Dolly.dagger) et j'ai du recocher ma petite case 017.
    Le message d'erreur est à peu pres, TCP... m'annonce qu'un peripherique ne fonctionne pas correctement. Je suis allez voir dans mon gestionnaire de peripherique, panneau de conf et tout et tout et rien d'anormal, sauf peut-être, carte reseau 1394 desactivée (?). Je dois changer qq chose ?
    Pour mon chef d'oeuvre (j'ai vu ton petit hochement de tete du style, ahlala), c'est simplement la clé pointée par la ligne, j'ai suivi le chemin. Comme un grand (con).
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Le message :
    TCP/IP CP a reporté l'erreur 31 : Un peripherique attaché au systeme ne fonctionne pas correctement.
    si jamais, il me faudra reformater l'ordi ? Parce que là, au bout de quelques minutes, plus aucunes pages web n'est disponibles, bien que je sois toujours connecté à internet...
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    relance hijack et clik sur open misc tools
    puis sur backup coche la 017 suppr et clik sur restore
    et la verifie si tu as retrouver ta connextion
    0
  8. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Qaund je fixe la ligne 017, au bout d'un certain temps, je ne peux plus ouvrir de nouvelles pages internet sans avoir a redemarrer mon ordi.
    Que risque-je si je reste connecté sans fixer la ligne ?
    Dois-je reconfigurer une connection ?
    Formater mon ordi carrement ?
    Bonne nuit ?
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    ne formate pas et laisse cette 017
    je sais pas se qu en pense dolly
    (pour dolly) les dns ne corresponde pas
    symantec= 69.50.184.84,195.225.176.37
    la 017 a jean=69.50.188.180 195.225.176.37

    refait un hijack et decrit nous maintenant les soucis que tu as pour faire le point
    0
  10. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Scuz balltrap34, je m'etais deconnecté le temps d'un scan avec Avast (resultat clean mais il l'etait aussi il y a trois jours (et j'etais deja contaminé))... Alors, pour resumé, j'allume mon ordi, je me connecte à internet
    1-Message "TCP/IP CP a reporté l'erreur 31 : Un peripherique attaché au systeme ne fonctionne pas correctement."
    =Ca c'est ma petite (j'espere pas grosse) connerie.
    2-Je dois relancer ma connexion internet.
    2-1-La je note depuis quelques jours que sa vitesse est passée de 3,3 à 4,6 Mbits/s.
    3-Je lance Hijack et coche la ligne 017 et la fixe.
    4-Apres plusieurs minutes, si par exemple sur ma premiere fenetre je suis sur CCM, sur ma seconde sur un autre site, l'action suivante, navigation, actualisation, etc. se concluera par un page blanche, pas dispo ou verifier les parametres reseaux (je ne sais plus trop) ; alors que sur ma premiere, je pourrais toujours actualiser ma page CCM (ds l'exemple), et suivre vos conseils avisés. Par contre, si je la ferme, là je ne pourrai plus ouvrir (du moins lire la page normale) aucune page web tout en etant toujours connecté au reseau. Et il me faudra redemarrer mon ordi pour pouvoir naviguer sur internet à nouveau.

    Ce qui m'a alerté,
    1-L'ordi qui s'eteint sans aucune somation pendant le scan de spybots&d. (et maintenant l'update de CWSshredder qui m'est refusée tout en m'alertant de mon infection par CWS Smartsearch.2)
    2-A partir de certaines pages internet, la suivante commence à se charger mais l'adresse est redirigée vers http://69.50.190.131 (apres j'ai pas regardé).

    Et dernierement, j'ai voulu refaire un scan en ligne via Pandasoftware, et arrivé au choix des zones à scanner, plus rien ne se passe et dans le coin inferieur gauche de la fentre, il y a "erreur sur la page" (avec le petit panneau jaune et le point d'exclamation). Mais je réessaierai demain.

    Voilà, vous savez tout docteur !
    Ma page d'accueil est about:blank et ca n'a pas bougé, je peux toujours telecharger ce que je veux, pas de processus, applications ou dll suspectes (pas que je puisse voir avec explorer en tout cas ! Parce que j'ai lu qu'une application rendrait tout ça invisible via windows avec ce ou ces trojan CWS...)
    Merci de vous occuper de moi meme a cette heure tardive ! A demain j'espere !
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    re
    tu ne ma pas mis un nouvel hijack
    bon telecharge ceci et utlise le
    http://216.239.39.104/translate_c?hl=fr&u=http://www.castlecops.com/downloads-file-332.html&prev=/search%3Fq%3DSmartsearch.2%26num%3D100%26hl%3Dfr%26lr%3D%26ie%3DUTF-8%26sa%3DG

    ensuite lance
    CWShredder
    met le a jour
    si tu ne la pas tu le trouvera
    (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

    il faut l'ouvrir (absolument) toutes fenêtres fermées et hors connexion et faire fix- next - next

    0
  12. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Bonjour,
    me revoilà, le lien que tu m'as proposé ne marche pas, il ne corresponds qu'à la page d'accueil de Castlecops. Je n'ai pas trouvé le file-332, et à la recherche Smartsearch.2, rien n'est trouvé. Peut-être me proposiez-vous le logiciel active Ports, c'est ça ?
    J'ai vu CWShredder 2 ? C'est quoi ?
    Je me demandais, vu que je n'arrive pas à faire la mise à jour avec mon CWShredder, est-ce que si on m'en envoie un updater il reussierai à me virer smartsearch.2 ? C'est pe bete mais bon...
    Je vous remets un log hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 14:18:40, on 27/03/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Dell\AccessDirect\dadapp.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Dell\AccessDirect\DadTray.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\System32\DSentry.exe
    C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\BCMSMMSG.exe
    C:\WINDOWS\System32\NotifyPhoneBook.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\jean-balthazar\Mes documents\logiciels\HijackThis\hijackthis\HijackThisv.1.99.1\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [DadApp] C:\Program Files\Dell\AccessDirect\dadapp.exe
    O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
    O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
    O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
    O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
    O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dll
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Messenger\Messenger\Messenger\yhexbmes.dll
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/fr/win/QuickTimeFullInstaller.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E86C8C3C-DB73-43D5-AE57-BD4910F56CAE}: NameServer = 69.50.188.180 195.225.176.37
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
    O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

    Voilà, il n'a pas changé, et ce depuis des semaines.
    Merci.
    0
  13. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Merci mais j'avais deja essayé ce delcwssk... et malheureusement, il ne m'a rien trouvé. (smartkiller et non pas smartsearch...)
    Le scan en ligne avec pandasoftware ne fonctionne plus (pour moi), celui de rav ne m'a rien trouvé.
    Qu'est-ce que je risque à rester connecter sans fixer la ligne 017 ?
    Mes mots de passe risquent-ils quoique ce soit ?
    Des attaques des prochaines versions de ces CWS ?

    La mise a jour de la derniere version de CWShredder (intermute) n'est toujours pas permise, neanmoins, il me dit que le programme va quand meme analyser mon ordi avec un titre aleatoire et ne me trouve rien. La version precedente 1.59.0.1 ne me trouve rien non plus.
    Voilà, merci balltrap34. je suppose que dans quelques temps on trouvera la solution facilement.
    0
  14. Utilisateur anonyme
     
    bonsoir Jean et hello balltrap

    et regarder dans la BdR, sans toucher à rien pour le moment si les IP 69.50.188.180 195.225.176.37 sont présentes ?

    HKEY_LOCAL_MACHINE/SYSTEM/CURRENT CONTROL SET/SERVICES/TCPIP/(PARAMETERS)

    il y a l'astuce pour ne pas être redirigé :

    mettre la valeur : EnableICMPRedirect.... à 0
    c'est peut être trop tard.....

    il faudrait multiplier les scans antispywares
    Free Anti-Spyware Software

    Spybot Search & Destroy<--ok
    HijackThis!<--ok
    Ad-aware<--ok
    SpywareBlaster<--antiactivX (toujours bon)
    SpywareGuard
    CWShredder<--euh?
    IE-SPYAD
    BHODemon<--c'pas la peine c'est pas une BHO
    Microsoft AntiSpyware (beta)<--à voir

    http://www.netrn.net/spywareblog/

    à essayer :

    SpySubtract <--excellent
    Download a free 30 day trial
    http://www.intermute.com/products/spysubtract.html

    SpySweeper 1.3/anti-spywares (30 jours d'essai)
    http://www.webroot.com/fr/index.php

    et les scans online/type Pestpatrol etc... sur Assiste

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  15. Utilisateur anonyme
     
    oups! j'ai pas vu l'heure, je file - bon courage @+

    bon week-end de Pâques Balltrap et bon cocholat :-))))
    0
  16. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Salut Dolly,
    Des "cocholats" hein ? Toi tu dois etre pressée de les manger !
    Bon, pour les chiffres
    dans ...\Tcpip\Parameters\Interfaces\{E86C8C3C(etc.) à la colonne "nom", à la ligne "NameServer" les données sont bien 69.50.188.180 195.225.176.37
    Par contre je n'ai pas EnableICMPRedirect, seulement EnableDeadGWDetect (celui-ci est (1)...Mais j'ai pas touché lol !)
    et EnableDHCP
    Je vais jeter un oeil sur ce que tu me proposes Balltrap, merci tous les deux ! J'abandonnerai pas !
    0
  17. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    J'ai regardé ton truc sur symantec et je n'ai aucunes des modifications n'y aucuns des .exe ajoutés par le trojan (j'avais deja trouvé une liste sur le net que j'ai ensuite comparé à ce qui se trouve dans mon ordi et rien).
    Voila, merci quand meme.
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    dur dur

    fait ceci juste par acquis de consience
    http://www.downloads.subratam.org/l2mfix.exe
    decompresse le double clik dessus appuie sur n importe quelle touche et ensuite choisi l option 1
    attend il vas faire un rapport fait un copier coller de celui ci
    ne fait surtout rien d autres
    0
  19. jeanle23 Messages postés 91 Date d'inscription   Statut Membre 1
     
    Je dois etre nul mais bon, j'ai double cliker dessus, il s'est installé mais dans le nouveau dossier il y a 6 applications
    locate, Ntrights, Process, Reboot, strings et zip
    Laquelle est la bonne ? Comme je ne veux pas faire de betises... J'ai bien lu "read me", et que je devais choisir "report generator to verify infection", c-a-d l'option 1 à partir du menu. J'attendrais tes (vos) instructions.

    Dans HLM\SOFTWARE\Microsoft\windows\currentversion\Internet settings\safesites j'ai trouvé
    http://home.microsoft.com/intl/fr/ et dans les données correspondant à cette ligne :
    http://ie.search.msn.com/*
    Je vais regarder sur internet pour voir un peu ce qu'ils disent...
    Tchao, et encore merci !
    0
  • 1
  • 2
  • 3