Spyware coriace
Rem's
Messages postés
64
Statut
Membre
-
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour, depuis hier, j'ai constaté la présence d'un logiciel indesirable... Les symptomes apparents sont:
Modif de la page de demarrage, il me met res://mshp.dll/index.html#22776 comme page de demarrage.
Lorsque je lance une recherche sur google, une fenetre apparait avec comme url: http://search-company.com/search.php?qq=test&pin=22776
J'ai lancé, adaware et spybot, mais ils ne me detectent rien... Avec HijackThis, il repère quelques clés et fichiers suspects, que j'ai viré mais le probleme persiste.
Mieux, j'ai renommé la dll mshp.dll qui sert à lancer ma page de demarrage, mais une nouvelle est atomatiquement recréee...
Même en supprimant les clés de la bdr qui contiennent res://mshp.dll/index.html#22776, elles reviennent.
Voici un copier/collé du log de hijackthis apres avoir supprimé les clés suspectes de la bdr et redemarrage...
Logfile of HijackThis v1.97.7
Scan saved at 12:24:48, on 31/12/2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Securite\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\RunDll32.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Lecteurs\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Securite\ISS\BlackICE\blackice.exe
C:\Program Files\Lecteurs\Winamp\winamp.exe
C:\Program Files\Securite\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.commentcamarche.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#22776
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.10.10.111:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Divers\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and Settings\Weed\Application Data\iefeatsl\iefeatsl.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\DOCUME~1\rems\APPLIC~1\iefeatsl\msiesh.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\TELECH~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Lecteurs\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Corel Reminder] "C:\Program Files\Dessin\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Program Files\Dessin\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\Lecteurs\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Program Files\Securite\ISS\BlackICE\blackice.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\Telecharger\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\Telecharger\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\BUREAU~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
Merci d'avance pour votre aide...
Modif de la page de demarrage, il me met res://mshp.dll/index.html#22776 comme page de demarrage.
Lorsque je lance une recherche sur google, une fenetre apparait avec comme url: http://search-company.com/search.php?qq=test&pin=22776
J'ai lancé, adaware et spybot, mais ils ne me detectent rien... Avec HijackThis, il repère quelques clés et fichiers suspects, que j'ai viré mais le probleme persiste.
Mieux, j'ai renommé la dll mshp.dll qui sert à lancer ma page de demarrage, mais une nouvelle est atomatiquement recréee...
Même en supprimant les clés de la bdr qui contiennent res://mshp.dll/index.html#22776, elles reviennent.
Voici un copier/collé du log de hijackthis apres avoir supprimé les clés suspectes de la bdr et redemarrage...
Logfile of HijackThis v1.97.7
Scan saved at 12:24:48, on 31/12/2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Securite\ISS\BlackICE\blackd.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\RunDll32.exe
C:\WINNT\System32\internat.exe
C:\Program Files\Lecteurs\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Securite\ISS\BlackICE\blackice.exe
C:\Program Files\Lecteurs\Winamp\winamp.exe
C:\Program Files\Securite\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.commentcamarche.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#22776
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.10.10.111:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Divers\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and Settings\Weed\Application Data\iefeatsl\iefeatsl.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\DOCUME~1\rems\APPLIC~1\iefeatsl\msiesh.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\TELECH~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Lecteurs\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Corel Reminder] "C:\Program Files\Dessin\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Program Files\Dessin\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\Lecteurs\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Program Files\Securite\ISS\BlackICE\blackice.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\Telecharger\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\Telecharger\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\BUREAU~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
Merci d'avance pour votre aide...
A voir également:
- Spyware coriace
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
