espions ou virus ?

Claude LaFrenière

30/09/2005 à 14:48

Bonjour *girgols* :

bonjour,
je suis avisé qu'un programme essaie de modifier le registre dans la
catégorie BROWER PAGE élément SEARCHASSISTANT
ancienne valeur HTTP://IE.SEARCH.MSN.COM/etc
nouvelle valeur HTTP://AS.STARWARE.COM/DP/SEARCHE?X etc

selon moi il s'agit d'un programme nuisible

question comment m'en débarasser ?

bien à vous tous,

Fait un scan avec HijackThis, ne coche rien et envoie le résultat ici.
Je vais voir ce qu'il y a à supprimer.

http://www.merijn.org/downloads.html

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

girgols

30/09/2005 à 15:20

Logfile of HijackThis v1.99.1
Scan saved at 15:19:42, on 30/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32brsvc01a.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32brss01a.exe
C:Program FilesSlySoftCloneCDCloneCDTray.exe
C:WINDOWSSystem32sistray.EXE
C:WINDOWSSystem32khooker.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesMicrosoft IntelliPointpoint32.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Program FilesAlicePPPoEfts.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:WINDOWSExcentrixExcentrix.exe
C:Program FilesPinnacleShared FilesProgramsSchedulerPCLEScheduler.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesAdobePhotoshop Elements 3.0PhotoshopElementsFileAgent.exe
C:WINDOWSSystem32DRIVERSCDANTSRV.EXE
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:WINDOWSSystem32inetsrvinetinfo.exe
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:Program FilesAdobePhotoshop Elements
3.0PhotoshopElementsDeviceConnect.exe
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32Tablet.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesSpybot - Search & DestroySpybotSD.exe
C:Program FilesAlicePPPoEFWPortal.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
C:Documents and SettingsgirgolsLocal SettingsTemporary Internet
FilesContent.IE581YFG5AFHijackThis[1].exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www.google.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_5_7_0.dll
O4 - HKLM..Run: [CloneCDTray] "C:Program
FilesSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [SiS Tray] C:WINDOWSSystem32sistray.EXE
O4 - HKLM..Run: [SiS KHooker] C:WINDOWSSystem32khooker.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [pdfw] C:Program FilesAmic UtilitiesPDF Writer
Propdfwload.exe
O4 - HKLM..Run: [Symantec NetDriver Monitor]
C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft
IntelliPointpoint32.exe"
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [%FP%Alice fts.exe] "C:Program FilesAlicePPPoEfts.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Excentrix.lnk = C:WINDOWSExcentrixExcentrix.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O12 - Plugin for .spop: C:Program FilesInternet
ExplorerPluginsNPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127836349770
O17 -
HKLMSystemCCSServicesTcpip..{E1A68896-E9CE-4C79-971A-2CA6B02F44EF}:
NameServer = 82.142.1.211 82.142.0.52
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown
owner - C:Program FilesAdobePhotoshop Elements
3.0PhotoshopElementsFileAgent.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries
Ltd - C:WINDOWSSystem32brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:WINDOWSSystem32DRIVERSCDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation -
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
AntiVirusnavapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
UtilitiesNPROTECT.EXE
O23 - Service: Photoshop Elements Device Connect
(PhotoshopElementsDeviceConnect) - Unknown owner - C:Program
FilesAdobePhotoshop Elements 3.0PhotoshopElementsDeviceConnect.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation -
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:Program
FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. -
C:WINDOWSSystem32Tablet.exe

"Claude LaFrenière" a écrit dans le message de
news:

Bonjour *girgols* :

bonjour,
je suis avisé qu'un programme essaie de modifier le registre dans la
catégorie BROWER PAGE élément SEARCHASSISTANT
ancienne valeur HTTP://IE.SEARCH.MSN.COM/etc
nouvelle valeur HTTP://AS.STARWARE.COM/DP/SEARCHE?X etc

selon moi il s'agit d'un programme nuisible

question comment m'en débarasser ?

bien à vous tous,

Fait un scan avec HijackThis, ne coche rien et envoie le résultat ici.
Je vais voir ce qu'il y a à supprimer.

http://www.merijn.org/downloads.html

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Logfile of HijackThis v1.99.1
Scan saved at 15:19:42, on 30/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32brsvc01a.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32brss01a.exe
C:Program FilesSlySoftCloneCDCloneCDTray.exe
C:WINDOWSSystem32sistray.EXE
C:WINDOWSSystem32khooker.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesMicrosoft IntelliPointpoint32.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Program FilesAlicePPPoEfts.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:WINDOWSExcentrixExcentrix.exe
C:Program FilesPinnacleShared FilesProgramsSchedulerPCLEScheduler.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesAdobePhotoshop Elements 3.0PhotoshopElementsFileAgent.exe
C:WINDOWSSystem32DRIVERSCDANTSRV.EXE
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:WINDOWSSystem32inetsrvinetinfo.exe
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:Program FilesAdobePhotoshop Elements
3.0PhotoshopElementsDeviceConnect.exe
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32Tablet.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesSpybot - Search & DestroySpybotSD.exe
C:Program FilesAlicePPPoEFWPortal.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
C:Documents and SettingsgirgolsLocal SettingsTemporary Internet
FilesContent.IE581YFG5AFHijackThis[1].exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www.google.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_5_7_0.dll
O4 - HKLM..Run: [CloneCDTray] "C:Program
FilesSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [SiS Tray] C:WINDOWSSystem32sistray.EXE
O4 - HKLM..Run: [SiS KHooker] C:WINDOWSSystem32khooker.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [pdfw] C:Program FilesAmic UtilitiesPDF Writer
Propdfwload.exe
O4 - HKLM..Run: [Symantec NetDriver Monitor]
C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft
IntelliPointpoint32.exe"
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [%FP%Alice fts.exe] "C:Program FilesAlicePPPoEfts.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Excentrix.lnk = C:WINDOWSExcentrixExcentrix.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O12 - Plugin for .spop: C:Program FilesInternet
ExplorerPluginsNPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127836349770
O17 -
HKLMSystemCCSServicesTcpip..{E1A68896-E9CE-4C79-971A-2CA6B02F44EF}:
NameServer = 82.142.1.211 82.142.0.52
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown
owner - C:Program FilesAdobePhotoshop Elements
3.0PhotoshopElementsFileAgent.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries
Ltd - C:WINDOWSSystem32brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:WINDOWSSystem32DRIVERSCDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation -
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
AntiVirusnavapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
UtilitiesNPROTECT.EXE
O23 - Service: Photoshop Elements Device Connect
(PhotoshopElementsDeviceConnect) - Unknown owner - C:Program
FilesAdobePhotoshop Elements 3.0PhotoshopElementsDeviceConnect.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation -
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:Program
FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. -
C:WINDOWSSystem32Tablet.exe

"Claude LaFrenière" <No_InterNUT@AntiPebkac.org> a écrit dans le message de
news: 1ukrmxgsvdwvj.3kz02tp7v6e3.dlg@40tude.net...

Bonjour *girgols* :

bonjour,
je suis avisé qu'un programme essaie de modifier le registre dans la
catégorie BROWER PAGE élément SEARCHASSISTANT
ancienne valeur HTTP://IE.SEARCH.MSN.COM/etc
nouvelle valeur HTTP://AS.STARWARE.COM/DP/SEARCHE?X etc

selon moi il s'agit d'un programme nuisible

question comment m'en débarasser ?

bien à vous tous,

Fait un scan avec HijackThis, ne coche rien et envoie le résultat ici.
Je vais voir ce qu'il y a à supprimer.

http://www.merijn.org/downloads.html

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Vous avez filtré cet utilisateur ! Consultez son message

Logfile of HijackThis v1.99.1
Scan saved at 15:19:42, on 30/09/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32brsvc01a.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32brss01a.exe
C:Program FilesSlySoftCloneCDCloneCDTray.exe
C:WINDOWSSystem32sistray.EXE
C:WINDOWSSystem32khooker.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesNorton SystemWorksNorton GhostGhostStartTrayApp.exe
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe
C:Program FilesMicrosoft IntelliPointpoint32.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Program FilesAlicePPPoEfts.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:WINDOWSExcentrixExcentrix.exe
C:Program FilesPinnacleShared FilesProgramsSchedulerPCLEScheduler.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesAdobePhotoshop Elements 3.0PhotoshopElementsFileAgent.exe
C:WINDOWSSystem32DRIVERSCDANTSRV.EXE
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
C:WINDOWSSystem32inetsrvinetinfo.exe
C:Program FilesNorton SystemWorksNorton AntiVirusnavapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:Program FilesAdobePhotoshop Elements
3.0PhotoshopElementsDeviceConnect.exe
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32Tablet.exe
C:Program FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesSpybot - Search & DestroySpybotSD.exe
C:Program FilesAlicePPPoEFWPortal.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesOutlook Expressmsimn.exe
C:Documents and SettingsgirgolsLocal SettingsTemporary Internet
FilesContent.IE581YFG5AFHijackThis[1].exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://www.google.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:Program FilesYahoo!CompanionInstallscpnycomp5_5_7_0.dll
O4 - HKLM..Run: [CloneCDTray] "C:Program
FilesSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [SiS Tray] C:WINDOWSSystem32sistray.EXE
O4 - HKLM..Run: [SiS KHooker] C:WINDOWSSystem32khooker.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec
SharedccRegVfy.exe"
O4 - HKLM..Run: [GhostStartTrayApp] C:Program FilesNorton
SystemWorksNorton GhostGhostStartTrayApp.exe
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
O4 - HKLM..Run: [pdfw] C:Program FilesAmic UtilitiesPDF Writer
Propdfwload.exe
O4 - HKLM..Run: [Symantec NetDriver Monitor]
C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft
IntelliPointpoint32.exe"
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft
AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [%FP%Alice fts.exe] "C:Program FilesAlicePPPoEfts.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search &
DestroyTeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Excentrix.lnk = C:WINDOWSExcentrixExcentrix.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft
OfficeOffice10OSA.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O12 - Plugin for .spop: C:Program FilesInternet
ExplorerPluginsNPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127836349770
O17 -
HKLMSystemCCSServicesTcpip..{E1A68896-E9CE-4C79-971A-2CA6B02F44EF}:
NameServer = 82.142.1.211 82.142.0.52
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown
owner - C:Program FilesAdobePhotoshop Elements
3.0PhotoshopElementsFileAgent.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries
Ltd - C:WINDOWSSystem32brsvc01a.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:WINDOWSSystem32DRIVERSCDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation -
C:PROGRA~1NORTON~1NORTON~2GHOSTS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
AntiVirusnavapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec
Corporation - C:Program FilesNorton SystemWorksNorton
UtilitiesNPROTECT.EXE
O23 - Service: Photoshop Elements Device Connect
(PhotoshopElementsDeviceConnect) - Unknown owner - C:Program
FilesAdobePhotoshop Elements 3.0PhotoshopElementsDeviceConnect.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
C:PROGRA~1FICHIE~1SYMANT~1SCRIPT~1SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation -
C:PROGRA~1NORTON~1SPEEDD~1nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:Program
FilesFichiers communsSymantec SharedSecurity CenterSymWSC.exe
O23 - Service: TabletService - Wacom Technology, Corp. -
C:WINDOWSSystem32Tablet.exe

"Claude LaFrenière" a écrit dans le message de
news:

Bonjour *girgols* :

bonjour,
je suis avisé qu'un programme essaie de modifier le registre dans la
catégorie BROWER PAGE élément SEARCHASSISTANT
ancienne valeur HTTP://IE.SEARCH.MSN.COM/etc
nouvelle valeur HTTP://AS.STARWARE.COM/DP/SEARCHE?X etc

selon moi il s'agit d'un programme nuisible

question comment m'en débarasser ?

bien à vous tous,

Fait un scan avec HijackThis, ne coche rien et envoie le résultat ici.
Je vais voir ce qu'il y a à supprimer.

http://www.merijn.org/downloads.html

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Claude LaFrenière

30/09/2005 à 15:51

Bonjour *girgols* :

Logfile of HijackThis v1.99.1

OK. Je regarde ça et te donne des nouveles bientôt.

A+
:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

girgols

30/09/2005 à 16:19

grand merci d'avance Claude

ce programme m'a déjà permis de voir que j'ai un toolbar starware dans IE
que j'ai supprimé...

bien à vous tous,

"Claude LaFrenière" a écrit dans le message de
news:

Bonjour *girgols* :

Logfile of HijackThis v1.99.1

OK. Je regarde ça et te donne des nouveles bientôt.

A+
:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Claude LaFrenière

30/09/2005 à 16:31

Bonjour *girgols* :

*Ordinateur infecté par Comet_Systems/StarWare adware*

Voir ligne # 9

Passablement de trucs étranges sur ton PC...
à toi d'y voir...
============================================================== Outils pour faire le boulot selon le numéro indiqué à la ligne
correspondante.

HijackThis : cocher les lignes indiquées et choisir "FIX".
[1]

Les processus ne se désactivent pas directement mais

en désactivant le programme [voir *Démarrages* ]
[2]

Msconfig | onglet démarrages
ou mieux
Starter de Code Stuff:
(+ ergonomique que msconfig)
http://codestuff.mirrorz.com/

=>> pour désactiver il suffit de décocher...

*OU*

le service correspondant [ Voir *Démarrages* ]
[3]

Services.msc comme ceci :
Démarrer | exécuter | services.msc

clic droit sur le nom du service | propriétés ...
arrêter et mettre en mode manuel...

==============================================================================
*Processus*

1) Besoin de ces trucs de diagnostic ???

SIS video
C:WINDOWSSystem32sistray.EXE
SIS Control Console
C:WINDOWSSystem32khooker.exe

2) besoin de lancer ça au démarrage ?
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe

3) Très étranges ... qu'est-ce que c'est ou supposés être ...

Barak013 ISP software
C:Program FilesAlicePPPoEfts.exe

012.Net ISP software
C:Program FilesAlicePPPoEFWPortal.exe

4) besoin de lancer ce truc au démarrage ?
C:Program FilesMessengermsmsgs.exe

5) c'est quoi ce machin ?
C:WINDOWSExcentrixExcentrix.exe

6) Généré par IIs le serveur de MS pas sécuritaire...
Utilises-tu topn PC comme serveur (avec CE truc ? :-( )
IIs Microsoft Windows Server
C:WINDOWSSystem32inetsrvinetinfo.exe

7) Quel est cet autre bidule ?
012.Net ISP software
C:Program FilesAlicePPPoEFWPortal.exe

plus tous les autre machins ± utiles...

*Keep it simple !!!*
====================================================================================
*Démarrages*

8)
Vire.
R3 - Default URLSearchHook is missing
[1]

9)
*Comet_Systems/StarWare adware* *VIRE!!!*
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:Program
FilesStarwarebinStarware.dll

10) Besoin de ça ?
Désactive et lance au besoin.
O4 - HKLM..Run: [SiS Tray] C:WINDOWSSystem32sistray.EXE
O4 - HKLM..Run: [SiS KHooker] C:WINDOWSSystem32khooker.exe
[2]

11) besoin de lancer ce truc au démarrage ?
Désactive et vlance au besoin...
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
[2]

12) pourquoi au démarrage ??? [2]
O4 - HKLM..Run: [pdfw] C:Program FilesAmic UtilitiesPDF Writer
Propdfwload.exe

13) *quel est ce truc s.v.p.?*
O4 - HKLM..Run: [%FP%Alice fts.exe] "C:Program FilesAlicePPPoEfts.exe"
Désactive pour voir [2] et éventuellement [1] ...

14) vraiment besoin de ça au démarrage ?
va voir dans les options ...
Lance au besoin...
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background

15) *C'est quoi ÇA ???*
O4 - Global Startup: Excentrix.lnk = C:WINDOWSExcentrixExcentrix.exe
désactive pour voir ce que ça donne ou pas... possiblement [1]...

Vérifie la configuration de tes services.
Pour IIs mais pour les autres aussi !
[3]
voir aussi là:
http://climenole.serendipia.net/archives/3-La-Configuration-des-Services-de-Windows-XP.html#extended

===================================================================================
outils pour te faciliter les choses:

Autorun de Mark Russinovich:
http://www.sysinternals.com/utilities/autoruns.html
TOUT ce qui est lancé au démarrage.
Outil puissant : ne désactive ou ne supprime rien sans savoir...

Process Explorer de Mark Russinovich:
(un gestionnaire des tâches amélioré)
http://www.sysinternals.com/Utilities/ProcessExplorer.html

TCPView de Mark Russinovich
(pour voir toutes les connection "live" )
http://www.sysinternals.com/Utilities/TcpView.html

Quelques pistes sur la sécurité:
http://climenole.serendipia.net/archives/5-Quelques-liens-utiles-pour-la-securite-de-Windows-XP.html#extended

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

Vous avez filtré cet utilisateur ! Consultez son message

Bonjour *girgols* :

*Ordinateur infecté par Comet_Systems/StarWare adware*

Voir ligne # 9

Passablement de trucs étranges sur ton PC...
à toi d'y voir...
============================================================== Outils pour faire le boulot selon le numéro indiqué à la ligne
correspondante.

HijackThis : cocher les lignes indiquées et choisir "FIX".
[1]

Les processus ne se désactivent pas directement mais

en désactivant le programme [voir *Démarrages* ]
[2]

Msconfig | onglet démarrages
ou mieux
Starter de Code Stuff:
(+ ergonomique que msconfig)
http://codestuff.mirrorz.com/

=>> pour désactiver il suffit de décocher...

*OU*

le service correspondant [ Voir *Démarrages* ]
[3]

Services.msc comme ceci :
Démarrer | exécuter | services.msc

clic droit sur le nom du service | propriétés ...
arrêter et mettre en mode manuel...

==============================================================================
*Processus*

1) Besoin de ces trucs de diagnostic ???

SIS video
C:WINDOWSSystem32sistray.EXE
SIS Control Console
C:WINDOWSSystem32khooker.exe

2) besoin de lancer ça au démarrage ?
C:Program FilesMUSICMATCHMUSICMATCH Jukeboxmm_tray.exe

3) Très étranges ... qu'est-ce que c'est ou supposés être ...

Barak013 ISP software
C:Program FilesAlicePPPoEfts.exe

012.Net ISP software
C:Program FilesAlicePPPoEFWPortal.exe

4) besoin de lancer ce truc au démarrage ?
C:Program FilesMessengermsmsgs.exe

5) c'est quoi ce machin ?
C:WINDOWSExcentrixExcentrix.exe

6) Généré par IIs le serveur de MS pas sécuritaire...
Utilises-tu topn PC comme serveur (avec CE truc ? :-( )
IIs Microsoft Windows Server
C:WINDOWSSystem32inetsrvinetinfo.exe

7) Quel est cet autre bidule ?
012.Net ISP software
C:Program FilesAlicePPPoEFWPortal.exe

plus tous les autre machins ± utiles...

*Keep it simple !!!*
====================================================================================
*Démarrages*

8)
Vire.
R3 - Default URLSearchHook is missing
[1]

9)
*Comet_Systems/StarWare adware* *VIRE!!!*
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:Program
FilesStarwarebinStarware.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:Program
FilesStarwarebinStarware.dll

10) Besoin de ça ?
Désactive et lance au besoin.
O4 - HKLM..Run: [SiS Tray] C:WINDOWSSystem32sistray.EXE
O4 - HKLM..Run: [SiS KHooker] C:WINDOWSSystem32khooker.exe
[2]

11) besoin de lancer ce truc au démarrage ?
Désactive et vlance au besoin...
O4 - HKLM..Run: [MMTray] C:Program FilesMUSICMATCHMUSICMATCH
Jukeboxmm_tray.exe
[2]

12) pourquoi au démarrage ??? [2]
O4 - HKLM..Run: [pdfw] C:Program FilesAmic UtilitiesPDF Writer
Propdfwload.exe

13) *quel est ce truc s.v.p.?*
O4 - HKLM..Run: [%FP%Alice fts.exe] "C:Program FilesAlicePPPoEfts.exe"
Désactive pour voir [2] et éventuellement [1] ...

14) vraiment besoin de ça au démarrage ?
va voir dans les options ...
Lance au besoin...
O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe"
/background

15) *C'est quoi ÇA ???*
O4 - Global Startup: Excentrix.lnk = C:WINDOWSExcentrixExcentrix.exe
désactive pour voir ce que ça donne ou pas... possiblement [1]...

Vérifie la configuration de tes services.
Pour IIs mais pour les autres aussi !
[3]
voir aussi là:
http://climenole.serendipia.net/archives/3-La-Configuration-des-Services-de-Windows-XP.html#extended

===================================================================================
outils pour te faciliter les choses:

Autorun de Mark Russinovich:
http://www.sysinternals.com/utilities/autoruns.html
TOUT ce qui est lancé au démarrage.
Outil puissant : ne désactive ou ne supprime rien sans savoir...

Process Explorer de Mark Russinovich:
(un gestionnaire des tâches amélioré)
http://www.sysinternals.com/Utilities/ProcessExplorer.html

TCPView de Mark Russinovich
(pour voir toutes les connection "live" )
http://www.sysinternals.com/Utilities/TcpView.html

Quelques pistes sur la sécurité:
http://climenole.serendipia.net/archives/5-Quelques-liens-utiles-pour-la-securite-de-Windows-XP.html#extended

:)
--
Claude LaFrenière [MVP] :-{ )
http://viadresse.com?39135017

«My Principal Design Was To Inform, Not To Amuse Thee.»
Lemuel Gulliver, The Travels (IV:12)

espions ou virus ?

5 réponses

Veuillez sélectionner un problème