win32.spyware.gen(Trj)

Jacquouille la Fripouille

23/06/2006 à 00:34

"L'Aquitain" a écrit dans le message de
news:449af2d6$0$4781$

Bonjour à tous
J'ai choppé cette bestiole. Avast le détecte, je le mets en quarantaine et
dans les secondes qui suivent j'ai une nouvelle alerte...
Il se loge dans le dossier temp et le fichier infecté prend un nom
différent

chaque fois : temp10 puis temp 12 etc...
J'ai fait un scan complet au démarrage, beaucoup de fichiers logés dans
Restaur étaient infectés et ont été supprimés à maz demande mais dès que
je

me reconnecte sur le net, ça recommence ...
C'est un peu pénible, une idée pour me sortir de ce mauvais pas ??
merci d'avance.

Même réponse qu'à lancelot.

--
Jacquouille la Fripouille

L'Aquitain

23/06/2006 à 08:48

Jacquouille la Fripouille wrote:

"L'Aquitain" a écrit dans le message de
news:449af2d6$0$4781$
Bonjour à tous
J'ai choppé cette bestiole. Avast le détecte, je le mets en
quarantaine et dans les secondes qui suivent j'ai une nouvelle
alerte...
Il se loge dans le dossier temp et le fichier infecté prend un nom
différent chaque fois : temp10 puis temp 12 etc...
J'ai fait un scan complet au démarrage, beaucoup de fichiers logés
dans >Restaur étaient infectés et ont été supprimés à maz demande
mais dès que je me reconnecte sur le net, ça recommence ...
C'est un peu pénible, une idée pour me sortir de ce mauvais pas ??
merci d'avance.

Même réponse qu'à lancelot.

Bonjour
...et merci. Je viens d'exécuter ces manoeuvres. La bête est toujours là
:-((
Une autre solution?
merci d'avance

--
Cordialement
L'Aquitain

NyC

23/06/2006 à 09:12

hello L'Aquitain you wrote

Jacquouille la Fripouille wrote:
"L'Aquitain" a écrit dans le message de
news:449af2d6$0$4781$
Bonjour à tous
J'ai choppé cette bestiole. Avast le détecte, je le mets en
quarantaine et dans les secondes qui suivent j'ai une nouvelle
alerte...
Il se loge dans le dossier temp et le fichier infecté prend un nom
différent chaque fois : temp10 puis temp 12 etc...
J'ai fait un scan complet au démarrage, beaucoup de fichiers logés
dans >Restaur étaient infectés et ont été supprimés à maz demande
mais dès que je me reconnecte sur le net, ça recommence ...
C'est un peu pénible, une idée pour me sortir de ce mauvais pas ??
merci d'avance.

Même réponse qu'à lancelot.

Bonjour
...et merci. Je viens d'exécuter ces manoeuvres. La bête est toujours
là :-((
Une autre solution?
merci d'avance

--
Cordialement
L'Aquitain

________________________

Salut,

Et si tu faisais un hijackthis et nous le copier ici...

A+
--
NyC -nocomprendo-

return adress valid, thanks to http://www.kasmail.com/

L'Aquitain

23/06/2006 à 10:15

NyC wrote:

Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:12:43, on 23/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
C:Program FilesF-Secure Internet Securityfswsclds.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Tablet.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSsystem32rundll32.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSsystem32svchost.exe
C:Program Filesewido anti-spyware 4.0guard.exe
C:Program FilesFichiers communsRealUpdate_OBRealOneMessageCenter.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesOE-QuoteFixoequotefix.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1PROPRI~1LOCALS~1TempRar$EX00.109HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://fr8.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-fr8.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.free.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://srch-fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://srch-fr8.hpwis.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://fr8.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext =
http://fr8.hpwis.com/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = proxy.free.fr:3128
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = localhost
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} -
C:Program FilesMyWebSearchSrchAstt2.binMWSSRCAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:Program
FilesMicrosoft MoneySystemmnyside.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -
C:Program FilesNewDotNetnewdotnet3_88.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers
communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [New.net Startup] rundll32
C:PROGRA~1NEWDOT~1NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM..Run: [!ewido] "C:Program Filesewido anti-spyware
4.0ewido.exe" /minimized
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O8 - Extra context menu item: &Search -
http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: &Traduire à partir de l'anglais -
res://c:program filesgoogleGoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O9 - Extra button: SmartShopper - Compare product prices -
{679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: SmartShopper - Compare travel rates -
{9E4DF170-217F-4658-A11F-590664542B73} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} -
c:Program FilesMicrosoft MoneySystemmnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:program
filesnewdotnetnewdotnet3_88.dll' missing
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development
a.s. - C:Program Filesewido anti-spyware 4.0guard.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service
(Fswsclds) - F-Secure Corporation - C:Program FilesF-Secure Internet
Securityfswsclds.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:Program
FilesiPodbiniPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. -
C:WINDOWSsystem32Tablet.exe

Peut-on en tirer quelque chose ?
Moi, j'en suis incapable ;o)
Merci
--
Cordialement
L'Aquitain

A+

NyC wrote:

Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:12:43, on 23/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
C:Program FilesF-Secure Internet Securityfswsclds.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Tablet.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSsystem32rundll32.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSsystem32svchost.exe
C:Program Filesewido anti-spyware 4.0guard.exe
C:Program FilesFichiers communsRealUpdate_OBRealOneMessageCenter.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesOE-QuoteFixoequotefix.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1PROPRI~1LOCALS~1TempRar$EX00.109HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://fr8.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-fr8.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.free.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://srch-fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://srch-fr8.hpwis.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://fr8.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext =
http://fr8.hpwis.com/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = proxy.free.fr:3128
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = localhost
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} -
C:Program FilesMyWebSearchSrchAstt2.binMWSSRCAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:Program
FilesMicrosoft MoneySystemmnyside.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -
C:Program FilesNewDotNetnewdotnet3_88.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers
communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [New.net Startup] rundll32
C:PROGRA~1NEWDOT~1NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM..Run: [!ewido] "C:Program Filesewido anti-spyware
4.0ewido.exe" /minimized
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O8 - Extra context menu item: &Search -
http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: &Traduire à partir de l'anglais -
res://c:program filesgoogleGoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O9 - Extra button: SmartShopper - Compare product prices -
{679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: SmartShopper - Compare travel rates -
{9E4DF170-217F-4658-A11F-590664542B73} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} -
c:Program FilesMicrosoft MoneySystemmnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:program
filesnewdotnetnewdotnet3_88.dll' missing
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development
a.s. - C:Program Filesewido anti-spyware 4.0guard.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service
(Fswsclds) - F-Secure Corporation - C:Program FilesF-Secure Internet
Securityfswsclds.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:Program
FilesiPodbiniPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. -
C:WINDOWSsystem32Tablet.exe

Peut-on en tirer quelque chose ?
Moi, j'en suis incapable ;o)
Merci
--
Cordialement
L'Aquitain

A+

Vous avez filtré cet utilisateur ! Consultez son message

NyC wrote:

Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 10:12:43, on 23/06/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
C:Program FilesF-Secure Internet Securityfswsclds.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Tablet.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesFichiers communsRealUpdate_OBrealsched.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:WINDOWSsystem32rundll32.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:Program FilesiPodbiniPodService.exe
C:WINDOWSsystem32svchost.exe
C:Program Filesewido anti-spyware 4.0guard.exe
C:Program FilesFichiers communsRealUpdate_OBRealOneMessageCenter.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesOE-QuoteFixoequotefix.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1PROPRI~1LOCALS~1TempRar$EX00.109HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://fr8.hpwis.com/
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-fr8.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.free.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://srch-fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://srch-fr8.hpwis.com/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://srch-fr8.hpwis.com/
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://fr8.hpwis.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext =
http://fr8.hpwis.com/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = proxy.free.fr:3128
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = localhost
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} -
C:Program FilesMyWebSearchSrchAstt2.binMWSSRCAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:Program
FilesMicrosoft MoneySystemmnyside.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} -
C:Program FilesNewDotNetnewdotnet3_88.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper -
{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers
communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [New.net Startup] rundll32
C:PROGRA~1NEWDOT~1NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM..Run: [!ewido] "C:Program Filesewido anti-spyware
4.0ewido.exe" /minimized
O4 - HKCU..Run: [msnmsgr] "C:Program FilesMSN Messengermsnmsgr.exe"
/background
O8 - Extra context menu item: &Search -
http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: &Traduire à partir de l'anglais -
res://c:program filesgoogleGoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le
cache Google - res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O9 - Extra button: SmartShopper - Compare product prices -
{679B2A8D-B2FF-41ed-B3ED-C5CFB8564CB0} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: SmartShopper - Compare travel rates -
{9E4DF170-217F-4658-A11F-590664542B73} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} -
c:Program FilesMicrosoft MoneySystemmnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program
FilesMessengermsmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:program
filesnewdotnetnewdotnet3_88.dll' missing
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
"C:PROGRA~1MSNMES~1msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil
SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd -
C:WINDOWSsystem32DRIVERSCDANTSRV.EXE
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development
a.s. - C:Program Filesewido anti-spyware 4.0guard.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service
(Fswsclds) - F-Secure Corporation - C:Program FilesF-Secure Internet
Securityfswsclds.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:Program
FilesiPodbiniPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. -
C:WINDOWSsystem32Tablet.exe

Peut-on en tirer quelque chose ?
Moi, j'en suis incapable ;o)
Merci
--
Cordialement
L'Aquitain

A+

NyC

23/06/2006 à 10:30

hello L'Aquitain you wrote

NyC wrote:
Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Ben, il y a du monde...

Anna Lyse de sang ( analyse automatique ) propose :

http://www.hijackthis.de/logfiles/9d83b12c1c72ab1327f4b1197ce087f2.html

Tu peux déjà te faire une idée, et si tu n'es pas sur de ton coup bein il
vaut mieux attendre les conseils ( les miens ou les collègues hein ) ...

A tout de suite.
--
NyC -nocomprendo-

return adress valid thanks to http://www.kasmail.com/

L'Aquitain

23/06/2006 à 12:43

NyC wrote:

hello L'Aquitain you wrote

NyC wrote:
Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Ben, il y a du monde...

Anna Lyse de sang ( analyse automatique ) propose :

http://www.hijackthis.de/logfiles/9d83b12c1c72ab1327f4b1197ce087f2.html

Tu peux déjà te faire une idée, et si tu n'es pas sur de ton coup
bein il vaut mieux attendre les conseils ( les miens ou les collègues
hein ) ...
A tout de suite.

Salut NyC et les autres, bien entendu ....
Suite du feuilleton :
Comme j'avais remarqué que le malware se logeait dans un dossier sous
Program Files intitulé Newdot, j'ai supprimé ce dossier. Résultat : le
trojan est muet mais au démarrage, Win XP me dit : "Erreur au démarrage"
runddll ne trouve pas le Newdot en question, bon j'efface la fenêtre et tout
fonctionne normalement !!
"Pourvou qué ça doure" comme disait mama Buonaparte ;o))

--
Cordialement
L'Aquitain

NyC

23/06/2006 à 13:25

hello L'Aquitain you wrote

NyC wrote:
hello L'Aquitain you wrote

NyC wrote:
Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Ben, il y a du monde...

Anna Lyse de sang ( analyse automatique ) propose :

http://www.hijackthis.de/logfiles/9d83b12c1c72ab1327f4b1197ce087f2.html

Tu peux déjà te faire une idée, et si tu n'es pas sur de ton coup
bein il vaut mieux attendre les conseils ( les miens ou les collègues
hein ) ...
A tout de suite.

Salut NyC et les autres, bien entendu ....
Suite du feuilleton :
Comme j'avais remarqué que le malware se logeait dans un dossier sous
Program Files intitulé Newdot, j'ai supprimé ce dossier. Résultat : le
trojan est muet mais au démarrage, Win XP me dit : "Erreur au
démarrage" runddll ne trouve pas le Newdot en question, bon j'efface
la fenêtre et tout fonctionne normalement !!
"Pourvou qué ça doure" comme disait mama Buonaparte ;o))

--
Cordialement
L'Aquitain

Yess,

je te recopie un post à propos de ce newdotnet :

__________

copie on /

regarde dans ajout suppression de programme si tu as newnet software si
oui >> désinstaller ..si le prog en question n'y est pas..

Je crois que le nouvel adaware sympa le fait ;

http://tomcoyote.com/lsindex.html

http://www.cexx.org/adware.htm

Si cela ne suffit pas >> par sfc ( ou findcab ou autre ) restaurer le
fichier Rundll32.exe depuis le cd win

Il reste de toute façon un spy dangereux de newnet dans :

IEX >> outils > options internet >> fichiers internet temporaires >>>
parametres >> visualiser les objets >> virer ce qu'il y a dedans >> OUI
!

Sinon,

Si cela ne le faisait tjrs pas :

Bon d' abord il est prudent de faire une copie de la base de registre
..au cas ou il y ait une panne de courant juste à ce moment là ;-((

Il faut aller sur leur site de m..rde et y aller charger leur prog du
même cru ( c'est maso ça ) ...

http://www.new.net/index.tp

Une fois là , cliquer tout en haut à droite > permettez à votre
navigateur blà blà > oui > ne PAS côcher toujours faire confiance ( !
! ), installer et quitter..

Au redémarrage de l'ordi on se retrouve avec cette m...rde qui
fonctionne de nouveau.

Reboot, >> Aller panneau de config > ajout supression de programmes >
newnet > supprimer .

Reboot et il n'y est plus ouf !!!

Il risque d'y avoir encore une dll inactive de newdotnetXXX.dll de la
précédente
install ( inactive cette fois)

Faire une recherche par newdot >> clik droit éffacer ! ( elle s'efface
car non utilisée )

Et dis nous c'est une vraie merde
______________________

fin du copier ...

Ben l'a l'air coriace celui- là :-(

Esperons que tu t'en sorte bien, si cela se trouve tu ne l'a déjà plus...

Bon WE !
--
NyC -nocomprendo-

return adress valid thanks to http://www.kasmail.com/

hello L'Aquitain you wrote

NyC wrote:

hello L'Aquitain you wrote

NyC wrote:

Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Ben, il y a du monde...

Anna Lyse de sang ( analyse automatique ) propose :

http://www.hijackthis.de/logfiles/9d83b12c1c72ab1327f4b1197ce087f2.html

Tu peux déjà te faire une idée, et si tu n'es pas sur de ton coup
bein il vaut mieux attendre les conseils ( les miens ou les collègues
hein ) ...
A tout de suite.

Salut NyC et les autres, bien entendu ....
Suite du feuilleton :
Comme j'avais remarqué que le malware se logeait dans un dossier sous
Program Files intitulé Newdot, j'ai supprimé ce dossier. Résultat : le
trojan est muet mais au démarrage, Win XP me dit : "Erreur au
démarrage" runddll ne trouve pas le Newdot en question, bon j'efface
la fenêtre et tout fonctionne normalement !!
"Pourvou qué ça doure" comme disait mama Buonaparte ;o))

--
Cordialement
L'Aquitain

Yess,

je te recopie un post à propos de ce newdotnet :

__________

copie on /

regarde dans ajout suppression de programme si tu as newnet software si
oui >> désinstaller ..si le prog en question n'y est pas..

Je crois que le nouvel adaware sympa le fait ;

http://tomcoyote.com/lsindex.html

http://www.cexx.org/adware.htm

Si cela ne suffit pas >> par sfc ( ou findcab ou autre ) restaurer le
fichier Rundll32.exe depuis le cd win

Il reste de toute façon un spy dangereux de newnet dans :

IEX >> outils > options internet >> fichiers internet temporaires >>>
parametres >> visualiser les objets >> virer ce qu'il y a dedans >> OUI
!

Sinon,

Si cela ne le faisait tjrs pas :

Bon d' abord il est prudent de faire une copie de la base de registre
..au cas ou il y ait une panne de courant juste à ce moment là ;-((

Il faut aller sur leur site de m..rde et y aller charger leur prog du
même cru ( c'est maso ça ) ...

http://www.new.net/index.tp

Une fois là , cliquer tout en haut à droite > permettez à votre
navigateur blà blà > oui > ne PAS côcher toujours faire confiance ( !
! ), installer et quitter..

Au redémarrage de l'ordi on se retrouve avec cette m...rde qui
fonctionne de nouveau.

Reboot, >> Aller panneau de config > ajout supression de programmes >
newnet > supprimer .

Reboot et il n'y est plus ouf !!!

Il risque d'y avoir encore une dll inactive de newdotnetXXX.dll de la
précédente
install ( inactive cette fois)

Faire une recherche par newdot >> clik droit éffacer ! ( elle s'efface
car non utilisée )

Et dis nous c'est une vraie merde
______________________

fin du copier ...

Ben l'a l'air coriace celui- là :-(

Esperons que tu t'en sorte bien, si cela se trouve tu ne l'a déjà plus...

Bon WE !
--
NyC -nocomprendo-

return adress valid thanks to http://www.kasmail.com/

Vous avez filtré cet utilisateur ! Consultez son message

hello L'Aquitain you wrote

NyC wrote:
hello L'Aquitain you wrote

NyC wrote:
Et si tu faisais un hijackthis et nous le copier ici...

Rebonjour
Voilà le hijackthis :

Ben, il y a du monde...

Anna Lyse de sang ( analyse automatique ) propose :

http://www.hijackthis.de/logfiles/9d83b12c1c72ab1327f4b1197ce087f2.html

Tu peux déjà te faire une idée, et si tu n'es pas sur de ton coup
bein il vaut mieux attendre les conseils ( les miens ou les collègues
hein ) ...
A tout de suite.

Salut NyC et les autres, bien entendu ....
Suite du feuilleton :
Comme j'avais remarqué que le malware se logeait dans un dossier sous
Program Files intitulé Newdot, j'ai supprimé ce dossier. Résultat : le
trojan est muet mais au démarrage, Win XP me dit : "Erreur au
démarrage" runddll ne trouve pas le Newdot en question, bon j'efface
la fenêtre et tout fonctionne normalement !!
"Pourvou qué ça doure" comme disait mama Buonaparte ;o))

--
Cordialement
L'Aquitain

Yess,

je te recopie un post à propos de ce newdotnet :

__________

copie on /

regarde dans ajout suppression de programme si tu as newnet software si
oui >> désinstaller ..si le prog en question n'y est pas..

Je crois que le nouvel adaware sympa le fait ;

http://tomcoyote.com/lsindex.html

http://www.cexx.org/adware.htm

Si cela ne suffit pas >> par sfc ( ou findcab ou autre ) restaurer le
fichier Rundll32.exe depuis le cd win

Il reste de toute façon un spy dangereux de newnet dans :

IEX >> outils > options internet >> fichiers internet temporaires >>>
parametres >> visualiser les objets >> virer ce qu'il y a dedans >> OUI
!

Sinon,

Si cela ne le faisait tjrs pas :

Bon d' abord il est prudent de faire une copie de la base de registre
..au cas ou il y ait une panne de courant juste à ce moment là ;-((

Il faut aller sur leur site de m..rde et y aller charger leur prog du
même cru ( c'est maso ça ) ...

http://www.new.net/index.tp

Une fois là , cliquer tout en haut à droite > permettez à votre
navigateur blà blà > oui > ne PAS côcher toujours faire confiance ( !
! ), installer et quitter..

Au redémarrage de l'ordi on se retrouve avec cette m...rde qui
fonctionne de nouveau.

Reboot, >> Aller panneau de config > ajout supression de programmes >
newnet > supprimer .

Reboot et il n'y est plus ouf !!!

Il risque d'y avoir encore une dll inactive de newdotnetXXX.dll de la
précédente
install ( inactive cette fois)

Faire une recherche par newdot >> clik droit éffacer ! ( elle s'efface
car non utilisée )

Et dis nous c'est une vraie merde
______________________

fin du copier ...

Ben l'a l'air coriace celui- là :-(

Esperons que tu t'en sorte bien, si cela se trouve tu ne l'a déjà plus...

Bon WE !
--
NyC -nocomprendo-

return adress valid thanks to http://www.kasmail.com/

L'Aquitain

23/06/2006 à 17:26

Faire une recherche par newdot >> clik droit éffacer ! ( elle s'efface
car non utilisée )

Et dis nous c'est une vraie merde
______________________

fin du copier ...

Ben l'a l'air coriace celui- là :-(

Esperons que tu t'en sorte bien, si cela se trouve tu ne l'a déjà
plus...

Bonsoir Nyc
Avant de lire ton post, j'avais supprimé tout ce qui concernait Newdot et
tout semble arrangé ;o)
De toute façon je conserve la procédure.
merci et bon WE aussi

--
Cordialement
L'Aquitain

win32.spyware.gen(Trj)

8 réponses

Veuillez sélectionner un problème