[resolu] SPYWARE - ouverture de popups

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

[resolu] SPYWARE - ouverture de popups

Messagepar funkyfogo » 30 Déc 2004 20:58

Voila apparement j'ai un spyware sur mon pc qui me change ma page d'accueil internet, et qui fait apparaitre parfois jusqu'a 49 pages identiques.
j'ai beau faire des scans avec nortan, flowprotector, adware, et spybot, rien n'y fait.
C'est franchement insupportable!!!!

spybot me dit que DSO EXPLOIT a un souci

Si quelqu'un pouvait me venir en aide svp.
funkyfogo
Matelot
Matelot
 
Messages: 7
Inscrit le: 30 Déc 2004 20:48

re

Messagepar bernie50 » 30 Déc 2004 21:05

Bonsoir,

pas de panique !!

Utilise hitjackthis et poste le fichier sur ce forum
Il faut vivre vite, car la mort vient tôt - james dean (star de cinéma)
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
Avatar de l’utilisateur
bernie50
Contre-Amiral
Contre-Amiral
 
Messages: 379
Inscrit le: 13 Nov 2003 01:00
Localisation: DOUR-Belgium

Messagepar funkyfogo » 30 Déc 2004 21:56

salut

merci de m'avoir repondu pour commencer. je suis pas vraiment doué en info, que dois je faire concretement ?
merci d'avance
funkyfogo
Matelot
Matelot
 
Messages: 7
Inscrit le: 30 Déc 2004 20:48

Messagepar funkyfogo » 30 Déc 2004 22:15

VoiciLogfile of HijackThis v1.99.0
Scan saved at 21:12:16, on 30/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\WINDOWS\system32\xpsp2fw.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\eigresp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\CheckFlow\FlowProtector\4.0.0.1\Fp2005_1.exe
C:\Program Files\CheckFlow\FlowProtector\4.0.0.1\FlowService.exe
C:\WINDOWS\System32\gearsec.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Soulseek\slsk.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\THOMAS RODRIGUES\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE= ... &pf=laptop
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe
O4 - HKLM\..\Run: [CA81A2F6] C:\WINDOWS\system32\eigresp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe
O4 - HKCU\..\Run: [CA81A2F6] C:\WINDOWS\system32\eigresp.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: FlowProtector 2005.lnk = C:\Program Files\CheckFlow\FlowProtector\FlowProtector2005.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=presario&pf=laptop
O15 - Trusted Zone: http://*.69sexsearch.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{50C3C4F8-833B-4A66-9504-2F88286FB137}: NameServer = 80.118.192.100 80.118.196.36
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: FlowProtectorService - Unknown - C:\Program Files\CheckFlow\FlowProtector\4.0.0.1\FlowService.exe
O23 - Service: Service de sécurité matérielle - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: iPod Service - Unknown - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

ce que tu m'as demander :
funkyfogo
Matelot
Matelot
 
Messages: 7
Inscrit le: 30 Déc 2004 20:48

Messagepar pulsergene » 31 Déc 2004 00:24

bonsoir

essaies l'executable cwshredder

ca peut resoudre ton pb

bonne soirée
Avatar de l’utilisateur
pulsergene
Amiral
Amiral
 
Messages: 1314
Inscrit le: 14 Oct 2003 00:00
Localisation: cambrousse city

Messagepar hb » 31 Déc 2004 01:07

il y a aussi IEhelper.exe sur le site de notre ami Fesch
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar funkyfogo » 31 Déc 2004 01:21

rebonsoir, merci tout d'abord pour vos conseils, merci à tous.

J'ai essayé avec cwshredder rien a faire, c'est toujours là.
j'ai listé le log hijackthis, que dois je faire maintenant?

ca commence vraiment a me saouler, c'est infernal....
funkyfogo
Matelot
Matelot
 
Messages: 7
Inscrit le: 30 Déc 2004 20:48

Messagepar hb » 31 Déc 2004 01:25

funkyfogo a écrit:rebonsoir, merci tout d'abord pour vos conseils, merci à tous.

J'ai essayé avec cwshredder rien a faire, c'est toujours là.
j'ai listé le log hijackthis, que dois je faire maintenant?

ca commence vraiment a me saouler, c'est infernal....


un vrai bon conseil serait de te conseiller d'oublier Internet Explorer et de passer enfin à autre chose d'un peu plus sérieux, Mozila, ...ou d'autres :lol:
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar funkyfogo » 31 Déc 2004 01:45

MAIS SINON PLUS SERIEUSEMENT ET POUR EN REVENIR A MON PROBLEME.... :D

s'il vous plait messieurs
funkyfogo
Matelot
Matelot
 
Messages: 7
Inscrit le: 30 Déc 2004 20:48

Messagepar Rbill » 31 Déc 2004 01:48

Hb a raison;
Chande de navigateur et on verra plus tard
Dernière édition par Rbill le 31 Déc 2004 10:12, édité 1 fois au total.
Avatar de l’utilisateur
Rbill
Amiral
Amiral
 
Messages: 1323
Inscrit le: 15 Jan 2003 01:00
Localisation: Hauts de Seine (92)

Messagepar funkyfogo » 31 Déc 2004 02:29

Ca veut dire que mon probleme est insoluble?

Moi j'ai pas envie de changer de navigateur et puis j'y conais rien à ces trucs. lol

est ce que la 1ere personne qui m'a repondu pourrait se manifester?!
funkyfogo
Matelot
Matelot
 
Messages: 7
Inscrit le: 30 Déc 2004 20:48

re

Messagepar bernie50 » 31 Déc 2004 10:14

Bonjour,

Ton fichier hitjackthis comporte de nombreuses lignes douteuses

Poste le dans un nouveau topic avec comme titre

''Demande analyse hitjackthis suite infection" afin d'attirer l'attention des spécialistes de ce type de fichier

pour ma part je poste ton fichier sur un autre forum afin d'obtenir un examen de celui.ci

Mais comme il a été dit précédemment passe a Mozilla firefox au lieu de intenet explorer

@+

Bonne année 2005

t'inquiète pas cela va bien se passer

Voilà ton fichier est sur
http://forum.pcastuces.com/sujet.asp?SUJET_ID=133894

@+
Dernière édition par bernie50 le 31 Déc 2004 11:10, édité 1 fois au total.
Il faut vivre vite, car la mort vient tôt - james dean (star de cinéma)
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
Avatar de l’utilisateur
bernie50
Contre-Amiral
Contre-Amiral
 
Messages: 379
Inscrit le: 13 Nov 2003 01:00
Localisation: DOUR-Belgium

Messagepar stephane » 31 Déc 2004 10:40

Salut funkyfogo,

tu peux essayer SpySweeper aussi (http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,11010914s,00.htm)
Laisse le actif en tache de fond au moins le temps que tu n'ais plus de problèmes : il va t'avertir dès que un 'TRUC' va te modifer la config de IE

je viens de nettoyer une machine pour un client avec les memes problèmes que toi.

j'y suis arrivé au bout de 2 heures de travail, de bataille plutot :evil: en conjuguant les efforts d'Ad-ware et SpySweeper

pour ton fichier HiJackThis, toutes les lignes R1 peuvent être supprimées ainsi que O14 et O15
regarde aussi la tete de ton fichier hosts (C:\WINDOWS\system32\drivers\etc\hosts)
tu dois avoir des commentaires (precedes de #) et au maximum la ligne suivante
127.0.0.1 localhost
sauf si tu as rentré des lignes toi meme à la main

essaye aussi de passer tes antispies en mode sans echec, ca permet de degager qq $%#&! sans qu'elles soient actives.

Je rejoins aussi les autres en te disant de passer sur un autre navigateur, Firefox pour ne pas le nommer

bon courage à toi

bon dernier jour 2004 à tous ! :D

Stephane
Avatar de l’utilisateur
stephane
Premier-Maître
Premier-Maître
 
Messages: 65
Inscrit le: 30 Avr 2002 00:00
Localisation: Essonne, travaille sur Paris

re

Messagepar bernie50 » 31 Déc 2004 11:05

Bonjour,

En ce qui concerne le fichier hosts spyboot and destroy a une opportunité de remplacer ton fichier d'origine par un fichier qui te protége des sites dangereux., il fait bien entendu un backup du fichier win

Activer mode avançé
Dans outils
fichier hosts

Mettre a jour bien sûr
et dernière version du logiciel
Il faut vivre vite, car la mort vient tôt - james dean (star de cinéma)
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
Avatar de l’utilisateur
bernie50
Contre-Amiral
Contre-Amiral
 
Messages: 379
Inscrit le: 13 Nov 2003 01:00
Localisation: DOUR-Belgium

soluce par bip bip de pc astuces

Messagepar bernie50 » 31 Déc 2004 14:10

Ta soluce est disponble sur

http://forum.pcastuces.com/sujet.asp?SUJET_ID=133894

Après avoir nettoyé reposte un new fichier hitjachtjis pour voir si tout est clean
Il faut vivre vite, car la mort vient tôt - james dean (star de cinéma)
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
Avatar de l’utilisateur
bernie50
Contre-Amiral
Contre-Amiral
 
Messages: 379
Inscrit le: 13 Nov 2003 01:00
Localisation: DOUR-Belgium

Suivant

Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron