Libellules.ch - forum d'informatique • [RESOLU] plein de popup... : Désinfections et demandes d'analyse

par **david_geneve** » 13 Mar 2006 20:35

salut,

Pouvez-vous m'aider, j'ai a nouveau pleins de trucs bizarre qui s'ouvrent quand je surfe... voici mon rapport.

Merci mille fois vous assurez un MAX

Logfile of HijackThis v1.99.1
Scan saved at 20:33:50, on 13/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\mousepad2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\COMMON~1\fofk\fofkm.exe
C:\PROGRA~1\COMMON~1\fofk\fofka.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\Winamp.exe
C:\Documents and Settings\David\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [csr] csrrs.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard2.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys2.exe
O4 - HKLM\..\RunServices: [csr] csrrs.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fofk] C:\PROGRA~1\COMMON~1\fofk\fofkm.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 1443629656
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A432215-1620-403A-8350-C8292341D9B2}: NameServer = 195.186.1.107 195.186.4.107
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\jtls0737e.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

par **k-myo** » 13 Mar 2006 20:43

salut

copies-colles le log ICI et tu verras ce qu'il faut enlever, ça va bien t'aider :wink:

par **Falkra** » 13 Mar 2006 20:49

Bonsoir,

Si tu passes ton log dans un analyseur online (ça prend 10 secondes) (http://www.hijackthis.de), tu verras que tu as :

Un virus (mimail)
C:\Program Files\Network Monitor\netmon.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

Des programmes inconnus, à vérifier :
C:\PROGRA~1\COMMON~1\fofk\fofkm.exe
C:\PROGRA~1\COMMON~1\fofk\fofka.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad2.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard2.exe
O4 - HKLM\..\Run: [csr] csrrs.exe

Des barres spywares (pub popups)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

Un autre virus potentiel :

O20 - Winlogon Notify: Dynamic Directory C:\WINDOWS\system32\jtls0737e.dll

:arrow:

Prends le temps d'installer un antivirus (avast, gratuit, par exemple), et des antispywares, ça ira bien mieux après.

Tu trouveras sur le site un guide antispywares, un peu long, mais avec de quoi te débarrasser de bien des saletés, tout est expliqué.

----------------------
PS : le "zut prout" en titre, tu peux le virer ça n'aide pas.

par **david_geneve** » 13 Mar 2006 20:58

merci pour vos rapides réponses (je suis toujours épaté)

comment et/ou ou vérifier ceci

Des programmes inconnus, à vérifier :
C:\PROGRA~1\COMMON~1\fofk\fofkm.exe
C:\PROGRA~1\COMMON~1\fofk\fofka.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad2.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard2.exe
O4 - HKLM\..\Run: [csr] csrrs.exe

pour savoir s'ils sont dangereux ?

par **Falkra** » 13 Mar 2006 21:04

Avec un antivirus (mis à jour), qui te dira si ce sont des fichiers nocifs ou non. Si tu en as un (efficace) installé, mets le à jour et scanne ton disque dur, si tu n'en as pas, il faut vite en installer un (surtout pas deux en même temps).

Tu cherches un antivirus gratuit ? Avast est un bon choix (sur le blog) ou encore AVG (sur le blog aussi), question de goûts.

par **david_geneve** » 16 Mar 2006 14:39

Salut,

A nouveau des popups

Ce coup ci j'ai tout tenté

Avast
Cleaner
Ad aware
Spyboot
Hijackthis qui me donne ceci

Logfile of HijackThis v1.99.1
Scan saved at 14:38:17, on 16/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Documents and Settings\David\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.davrrier.net/bookcha.htm
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 1443629656
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A432215-1620-403A-8350-C8292341D9B2}: NameServer = 195.186.4.107 195.186.1.107
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\g6jolg1316.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

le 020 revient tout le temps meme quand je le fixe... en essayant d'aller directement dans system32 (meme en mode sans échec) je n'arrive pas a l'effacer....

HHEELLPP.... merci d'avance.... je suis a bout....

par **Achille1er** » 16 Mar 2006 14:52

Enlever les saletés, c'est bien, éviter d'en attraper (à nouveau) c'est beaucoup plus simple à gérer, quid d'un bon pare-feu/antivirus/SP2 ???

par **Taylord1** » 16 Mar 2006 14:57

Bonjour,
Opter pour un navigateur tel que Avant Browser ou Crazy Browser qui permet de stopper les pop-ups c'est pas mal aussi. Perso, j'ai Avant-browser depuis pas mal de temps et c'est OK.

Sinon, firewall, antivirus et anti-spyware c'est le minimum actuellement.

Good luck

par **david_geneve** » 16 Mar 2006 14:57

c'est une bonne idée... mais je dois d'abord nettoyer ces saletés !!!! des idées ?

par **Falkra** » 16 Mar 2006 15:06

Le O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\g6jolg1316.dll est probablement un cheval de Troie. Désactive la restauration système pour qu'il ne revienne pas, puis redémarre en mode sans échec, efface le fichier, redémarre normalement et réactive la restauration système.

Si le fichier résiste, utilise Killbox ou Move on boot, ça devrait aider.

Désactiver la restauration système

Ton antivirus le détecte ?

par **mnemeion** » 16 Mar 2006 15:11

O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys2.exe

cette ligne me semble aussi louche. Je crois qu'il ouvre des popups vers des smileys et des sonneries de téléphone. A vérifier

Edit:
Oups autant pour moi, pas vu que tu avais nettoyé et que cette ligne n'y figurait plus

par **david_geneve** » 16 Mar 2006 15:12

non mon antivirus (avast) ne le détecte pas....

.... je vais suivre ta procédure. Merci d'avance

je reviens (enfin j'espère :--)

par **david_geneve** » 16 Mar 2006 15:38

BON BON .... j'ai suivi la procédure.... tout bien comme il faut

j'ai meme du utiliser killbox qui a effacer le fixer au rebootage

MAIS

en fait la ligne 020.... revient avec un autre dll

et alors que je vous écris ce message, une Nième page (popup) s'ouvre devant mes yeux (avec de la pub pour GLOBE7, free calling across the world)

Il me reste plus que le psychanalyste ??? ou bien ?

par **mnemeion** » 16 Mar 2006 15:51

non peut-être pas :D

essaie encore ça :
http://securityresponse.symantec.com/av ... ok2me.html

il ya un tool à downloader qui supprimer un spyware nommé look2me qui ouvre des pop-ups. Il crée des fichier dll dans C:/%system%/[random].dll ca ressemble assez à ce que tu as.

lien pour le tool.
http://securityresponse.symantec.com/av ... SpL2Me.exe

n'oublie pas de désactiver la restauration d'xp :D

J'espère que ca aidera

par **Taylord1** » 16 Mar 2006 16:22

Hello,
Et un petit coup d'Ad-aware ou Spybot.......devrait éliminer pas mal de sal....ries....

par **Falkra** » 16 Mar 2006 16:59

Il l'a fait avant pour spybot et ad-aware.
C'est bien un virus si ça revient si souvent. Avast le détectera dans quelque temps, la signature virale n'est pas encore dans sa base de données.

Il revient car il y a un autre programme qui n'est pas identifié. Donc il va falloir essayer des scans en ligne, (avec d'autres moteurs d'antivirus), ça aidera sans doute à nettoyer.

Quelques adresses :
http://www.libellules.ch/scan_online.php

en tout cas une chose est sûre, ça vient ben de ça. Idem pour les smilies, c'est à virer. Quelle plaie ces spywares !

par **david_geneve** » 16 Mar 2006 17:05

rien de rien... ca revient tout le temps... quelle barbe

je vais me lancer dans les scans online.... vous tient au courant.

merci.

voila ou j'en suis

Logfile of HijackThis v1.99.1
Scan saved at 17:04:30, on 16/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\David\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.davrier.net/bookcha.htm
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 1443629656
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A432215-1620-403A-8350-C8292341D9B2}: NameServer = 195.186.4.107 195.186.1.107
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\j44oleh31h4.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

par **mnemeion** » 16 Mar 2006 17:53

au vue du log de hijackthis, cela semble clean. A part cette saloperie de dll.

As-tu supprimé les fichiers temporaires windows ?

pour ce faire, il faut afficher les fichiers cachés et système
ensuite supprime le contenu et laisse les répertoires (fait une recherche avec dossier nommé temp et si tu as un doute laisse les)

C:\temp
C:\windows\temp
C:\document and settings\%NomUtilisateur%\temp
C:\document and settings\%NomUtilisateur%\local settings\temp
C:\document and settings\%NomUtilisateur%\local settings\tempory internet files

%NomUtilisateur% à faire pour tous les dossiers users.

J'espère pas avoir oublié de dossiers à compléter si vous pensez à autre chose :d

Ensuite essaie de passer un coup de nettoyeur de base de registre.
par exemple regseeker à downloader ici : http://www.hoverdesk.net/freeware.htm

avec un tuto ici : http://www.zebulon.fr/articles/regseeker-1.php

désolé de listé un concurrent à libellule mais la flemme de chercher si un tuto existait déjà sur libellule... pas :tap:

svp!!!

Après je vois pas trop quoi faire d'autre :/

Edit :
J'avais oublié l'antispyware de billou, il fonctionne assez bien et il fait assez bien le ménage dans les fichiers temporaires et internet à essayer aussi sait-on jamais

par **Achille1er** » 16 Mar 2006 18:35

Il n'y a pas forcément besoin d'avoir quelque chose de résident sur la machine pour être ennuyé. Windows xp sans SP1/SP2/firewall et internet explorer pas patché suffisent pour recevoir des commandes à distance.

par **carlzero** » 16 Mar 2006 23:35

a david geneve

suis ce que je vais te dire car en ai enlever des trojans et svt

en 1 er :arrow:

desactiver le service affichage message comme ceci

demarer, executer ecrire services.msc retrouve le service affichage de

message clic droit dessus et desactive

en 2 eme telecharge ccleaner et instale le

http://www.clubic.com/telecharger-fiche ... eaner.html

en 3 eme telecharge pour moi le meilleur (instale et fais mise a jour )

http://www.download.com/eTrust-PestPatr ... g=pdp_prod

en 4 eme telecharge tres bien aussi (instale et fais mise a jour)

http://www.paretologic.com/xoftspy/lp/16/

5 eme Désactiver la restauration système

6 eme et surtout Demarer en mode sans echec

7 eme faire le scan avec pestpatrol et xoftspy

8 eme lancer ccleaner et lancer nettoyage fichier

9 eme redemarer en mode normal

10 eme si tu as fais ce que je t ai dit tu es sauver :wink:

11 eme au cas ou et je le pense pas!! cela a resiste recontacte moi on

passera cette fois a carlzero la methode dure

salut

[RESOLU] plein de popup...

[RESOLU] plein de popup...

je vais te sauver !! je suis top a ces bestioles

Qui est en ligne