x

Un nouveau forum

 
17/09/2004 21:20 #11
alors là, une colle smiley
Je vais rereregarder ce week end des fois qu'il y ai une autre clé qui interagisse mais pour l'avoir testé sur differents pc infecté cela fonctionne.

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14893
Annonce
Publicité
anonyme
18/09/2004 20:52 #12
merci !
Brunal

VI
anonyme
Groupe :
Visiteur
07/10/2004 19:53 #13
Bon, je suppose que vous n'avez pas trouvé de nouvelle solution pour mon problème...

J'ai refait entièrement votre procédure de A à Z, et je ne trouve toujours qu'une seule clé dont je refuse l'autorisation. Mais çà ne permet pas de supprimer le problème.

Merci quand même ; je vais faire des recherches sur d'autres forums. Malheureusement, votre procédure ne marche pas sur mon micro !!!

VI
anonyme
Groupe :
Visiteur
07/10/2004 20:44 #14
Il semble que ton problème ne soit pas tout a fait le meme
en cherchant a droite a gauche c'est toujours le meme principe de solution qui est preconisé.
Tiens nous au courant.
Désole pour la reponse tardive mais le topic etait sortis de la page d'accueil smiley
Du coup loin des yeux loin du clavier smiley
smiley

le mieux est de refaire un coup d'hyjack et de nous le donner

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14893
25/10/2004 06:58 #15
Bonjour,

Je voudrais vous adresser le contenu du HiJack effectué sur mon micro. Je ne parviens pas à copier le texte pour vous l'insérer dans ce message. Par contre, j'ai fait une copie écran en jpg. Comment puis-je vous l'adresser ?
Merci,

Bruno

VI
anonyme
Groupe :
Visiteur
Les deals du jour !
Auckly 15W Qi Chargeur Induction Voiture,Chargeur sans Fil Voiture Rapide Automatic Clamping Porte Clip De Sortie d'air Support Téléphone Voiture pour iPhone Samsung Huawei LG Tous Les Appareils Qi
35.99 €
Auckly 15W Qi Chargeur Induction Voiture,Chargeur sans Fil Voiture Rapide Automatic Clamping Porte Clip De Sortie d'air Support Téléphone Voiture pour iPhone Samsung Huawei LG Tous Les Appareils Qi
OneAmg Compresseur d’Air Portatif 12V, Compresseur Voiture d'air Digital Portable 12V 120W Auto Gonfleur Pneus, Electrique Compresseur Air Numérique avec Lampe LED, 3M Câble pour Voiture Vélo
39.99 €  35.99 €
OneAmg Compresseur d’Air Portatif 12V, Compresseur Voiture d'air Digital Portable 12V 120W Auto Gonfleur Pneus, Electrique Compresseur Air Numérique avec Lampe LED, 3M Câble pour Voiture Vélo
Publicité
anonyme
25/10/2004 16:27 #16
oui sans problème en l'envoyant par mail au site. C'est contact@ le site smiley (pour eviter que les robots ne viennent chiper l'adresse pour spammer un peu plus.
Mais normalement en faisant "save log" cela te crée un fichier TXT.
Je suis un blaireau de t'avoir dis un copier coller en fait c'est une habitude de dire cela smiley

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14893
26/10/2004 06:37 #17
Bonjour,
Je vous adresse ci-dessous la liste issue du HiJack ("save log" marche très bien !). C'est grave, docteur ? Merci de votre aide,
Bruno

Logfile of HijackThis v1.98.2
Scan saved at 06:33:32, on 26/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\ieuninst.exe:ferrr
C:\Program Files\Trend Micro\PC-cillin 7.5\Tmntsrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Trend Micro\PC-cillin 7.5\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 7.5\WebTrapNT.exe
C:\WINDOWS\system32\apiod.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Trend Micro\PC-cillin 7.5\PNTIOMON.exe
C:\Program Files\Trend Micro\PC-cillin 7.5\pccntupd.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Propriétaire\Mes documents\Bruno\problèmes informatiques\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bstah.dll/sp.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bstah.dll/sp.html#37794
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bstah.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bstah.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bstah.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bstah.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bstah.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bstah.dll/index.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bstah.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bstah.dll/sp.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F1 - win.ini: run=fntldr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6BB2E8F6-02D5-0F8D-0BB7-2EB249A684B2} - C:\WINDOWS\apidm.dll
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 7.5\Pop3trap.exe"
O4 - HKLM\..\Run: [WebTrapNT.exe] "C:\Program Files\Trend Micro\PC-cillin 7.5\WebTrapNT.exe"
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe
O4 - HKLM\..\Run: [apiod.exe] C:\WINDOWS\system32\apiod.exe
O4 - HKLM\..\RunOnce: [mfcgz32.exe] C:\WINDOWS\mfcgz32.exe
O4 - HKLM\..\RunOnce: [atlhr.exe] C:\WINDOWS\atlhr.exe
O4 - HKLM\..\RunOnce: [ntby.exe] C:\WINDOWS\ntby.exe
O4 - HKLM\..\RunOnce: [javaih.exe] C:\WINDOWS\javaih.exe
O4 - HKLM\..\RunOnce: [d3jl32.exe] C:\WINDOWS\d3jl32.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Rayman3\Register\schedule.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Moniteur en temps réel.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://F:\content\include\XPPatchInstaller.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33342ACF-78E0-4357-968F-9234D73BB007}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O19 - User stylesheet: (file missing)


VI
anonyme
Groupe :
Visiteur
26/10/2004 16:34 #18
Bon on commence par le début:
1 spy smiley
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
Pour l'enlever:
http://www.2-spyware.com/file-alcxmntr-exe.html ou bien spybot avec ad aware.Car il smble bien que cela soit un fichier pour AC97 que ce nom serve pour les spy.

ensuite une chiée de merde a virer:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bstah.dll/sp.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bstah.dll/sp.html#37794
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bstah.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bstah.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bstah.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bstah.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bstah.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bstah.dll/index.html#37794
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bstah.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bstah.dll/sp.html#37794

Et là cela risque d'être coton (va dans la faq consacrée aux spy.

ensuite:

qui semble être attaché à c:\WINDOWS\d3jl32.dll bref un TrojanDownloader smiley

Mais aussi:
O4 - HKLM\..\RunOnce: [mfcgz32.exe] C:\WINDOWS\mfcgz32.exe
O4 - HKLM\..\RunOnce: [atlhr.exe] C:\WINDOWS\atlhr.exe
O4 - HKLM\..\RunOnce: [ntby.exe] C:\WINDOWS\ntby.exe
O4 - HKLM\..\RunOnce: [javaih.exe] C:\WINDOWS\javaih.exe
O4 - HKLM\..\RunOnce: [d3jl32.exe] C:\WINDOWS\d3jl32.exe

qui me semble bien en faire partie

Donc commence par me faire un bon coup d'ad aware et de spybot avec les définitions à jour et ce en mode sans échec et aussi une analyse virus et toujours en mode sans échec pour éviter de tout charger.
Une dernière chose. Pour le sp.html#37794 tu vas sans doute galérer car pas évident de virer ces merdes.





Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14893
28/10/2004 07:55 #19
Merci pour toutes ces précisions. je vais m'y atteler dès ce week-end.
je vous tiens au courant...
Bruno

VI
anonyme
Groupe :
Visiteur
28/10/2004 16:36 #20
Pas de problèmes et surtout fais le maximum en mode sans echec pour ne pas etre "emmerdé" par une saloperie qui se lancerait normalement smiley
Un peu grossier mais c'est vrai que c'est des s#######perie
smiley

Quand tu montres la lune du doigt, l'imbécile regarde le doigt.
cthierry
Tsonaute
membre
Inscrit
12/07/2002 08:37
De
Seine et Marne
Groupe :
Webmaster
Messages
14893
 
Publicité
Vous avez trouvé cette réponse utile ? Partagez-la !