un trojan dans un film?

[Invité jibi049]

quels trucs bizarres, jamais vu

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

[Invité jibi049]

Met AntiVir, il a un reconaisseur de Dialer... et de Trojans.

http://www.free-av.com

 

edité par tesgaz, fais attention a tes liens que tu donnes

 

edité par jibi, désolé tesgaz . Au fait je voulais faire editer moi, pas répondre... lol c'est la vitesse alors a cause de ca y'a deux messages au lieu d'un

Modifié le 29 août 2004 par jibi049

[Invité tesgaz]

salut,

 

bon faut passer en mode sans echec pour faire le menage :

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE

C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe

C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\WINDOWS\System32\rmctrl.exe >a supprimer

C:\WINDOWS\system32\explorer.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

D:\Fichier d'extraction temporaire\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll < >a supprimer

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) < >a supprimer

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll < >a supprimer

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) < >a supprimer

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE >a supprimer

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" >a supprimer

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe >a supprimer

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe >a supprimer

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k >a supprimer

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c7 -w7

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html >a supprimer

O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html >a supprimer

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab >a supprimer

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe >a supprimer

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4CCDFC3F-4B6C-48AF-ADF1-9411B5CBFE26}: NameServer = 80.10.246.130 80.10.246.3

[Clafouti]

Probablement que ton problème vient de ces 3 clés :

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200404...meInstaller.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

 

Supprime les en priorité. Si ça ne marche toujours pas, supprime le reste.

[Invité tesgaz]

hum,

 

c'est celui la le fautif d'abord :

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe >a supprimer

[Invité jibi049]

Plus d'infos sur ce processus

 

Information about rmctrl.exe process

File: rmctrl.exe

Product: PowerDVD

Company:

Security Rating:

Process description:

Installed by PowerDVD XP 4.0. It enables you to using a remote control via an infrared port. If you don't need it, you can remove it.

 

If you can not remove rmctrl.exe (because you can not locate it, or it is in use), download Anti-Spy.Info. This program can kill the process, delete or quarantine this file, or just list all security related information about this file and all other running background processes.

 

Note: Any malware can be named anything - so you should check where the files of the running processes are located on your disk. If a "non-Microsoft" .exe file is located in the C:\Windows or C:\Windows\System32 folder, then there is a high risk for a virus, spyware, trojan or worm infection! Check it out!

[higgins]

tu t'es chopé un "dialer"qui te redirige vers 1 n°surtaxé.

euh.. numéro surtaxé? lol... avec l'adsl illimité je sais pas ou ça envoi les factures!

et pourtant c'était pas un film porno!

salut, il faut savoir que la majorité des gens qui se connectent à internet sont encore en RTC (avec un modem non adsl) donc si un spy te connecte avec ton "bon vieux" modem sur un n° surtaxé, ta facture va faire un super bon!!

 

higgins

Modifié le 29 août 2004 par higgins

[Matheo]

Salut à tous,

 

 

J'ai du supprimer Kerio qui après l'hijack avait quelques perturbations. Je suis passé à sygate.

Pour le moment après avoir scanné avec spybot (qui m'a trouvé un truc du nom d'Alexa), et réinstaller un certain nombre de fois mon réseaux et ma connexion adsl, je n'ai plus le pb.

[Matheo]

erratum : je viens de vois que mes paramètres de connexion avait encore été modifiés...

[Invité jibi049]

comme quoi on croit que c'est finit mais non ... ah ces cochonneries d'espions et dialers brrr ...