common hijacker

[Invité confidentiels]

salut a tous ,

 

 

tony90 et K3vin ne sont qu'une personne ...

 

 

a fixer :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Search - {4921D302-CC5D-87D0-805C-723001382A85} - C:\WINDOWS\Nnwmwczg.dll (file missing)

O4 - HKLM\..\Run: [sESync] "C:\Program Files\SED\SED.exe"

O4 - HKCU\..\Run: [PrivacyScanner] C:\Program Files\Privacy Champion\pscan.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab

 

 

 

ce qui est noté en 04 , tu fix avec Hijackthis et tu supprime directement les repertoires.

 

ensuite tu fais plusieur nettoyage de suite avec regseeker

 

 

et tu devrais etre tranquille

 

 

maintenant pour alleger le tout , tu peux virer ça aussi

 

C:\WINDOWS\System32\nvsvc32.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - Startup: WinMySQLadmin.lnk = C:\kevinsql\bin\winmysqladmin.exe

Modifié le 1 décembre 2004 par confidentiels

[ipl_001]

K3vin,

 

Tu devrais utiliser la version 1.98.2 de HijackThis ! Avec la 1.97.7, tu as des mois de retard !

 

Télécharge LSPfix pour le cas où il y aurait des ennuis avec la connexion Internet (lignes O10) -> http://www.downloads.subratam.org/lspfix.zip

 

Essaie de désinstaller ces applications par Ajout-suppression de programmes :

C:\Program Files\SED

C:\Program Files\Privacy Champion

(ou par une fonction Uninstall de Démarrer/Programmes)

 

Relance un scan HJT et coche les lignes en gras ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:1108

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Search - {4921D302-CC5D-87D0-805C-723001382A85} - C:\WINDOWS\Nnwmwczg.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [sESync] "C:\Program Files\SED\SED.exe"

-> SESync X sed.exe Downloadware/SED adware downloader

-> http://doxdesk.com/parasite/DownloadWare.html

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [popupeclair] C:\Program Files\Popup Eclair\popupeclair.exe

O4 - HKCU\..\Run: [PrivacyScanner] C:\Program Files\Privacy Champion\pscan.exe

-> PrivacyScanner X pscan.exe "Privacy Champion", a stealth installed 'Privacy Scanner'. It purportedly scans your PC for links to porn websites, and then offers to "clean" them.. Produces loads of False Positives as goad to purchase.

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: WinMySQLadmin.lnk = C:\kevinsql\bin\winmysqladmin.exe

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe

O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll

O15 - Trusted Zone: *.awmdabest.com

O15 - Trusted Zone: *.frame.crazywinnings.com

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab31267.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {E15111B0-95AE-4C05-B91F-F4564057990C} (MovieSystem WAY) - http://servicesv4.moviesystem.com/cabs/msway.cab

Ferme toutes les fenêtres sauf HJT et "Fix Checked"

 

Supprime les fichiers incriminés :

C:\Program Files\SED (supprime le dossier)

C:\Program Files\Privacy Champion (supprime le dossier)

c:\windows\system32\aklsp.dll

 

Redémarre l'ordinateur et poste un nouveau rapport HijackThis à titre de vérification.

[Invité confidentiels]

important , avant de redemarrer , fait un nettoyage du registre pour etre sur que rien ne traine , meme apres avoir fixé les lignes et verifie que la manip a egalement virer les dll et les .exe nefastes , si ils sont utilisé et "refusent" d'etre desinstaller , utilise wholockme pour identifier et tuer le processus qui les utilises

 

http://www.dr-hoiby.com/WhoLockMe/index.php

Modifié le 1 décembre 2004 par confidentiels

[ipl_001]

important , avant de redemarrer , fait un nettoyage du registre pour etre sur que rien ne traine , meme apres avoir fixé les lignes

428402[/snapback]

Tu as raison pour le nettoyage de la base de registres par -par exemple- EZcleaner -> http://personal.inet.fi/business/toniarts/ecleane.htm

 

Par contre, je pense que :

- C:\kevinsql\bin\winmysqladmin.exe a été installé par Kevin (MySQL)

- O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup correspond à la carte nVidia

[Invité confidentiels]

C:\WINDOWS\System32\NvCpl.dll,NvStartup correspond à la carte nVidia

 

 

Oui je sais mais ça n'a pas grande utilité pour le bon fonctionnement des pilotes Nvidia et ça peut gener le bon demarrage de norton antivirus ... faut pas chercher a savoir pourquoi mais c'est dans la base de connaissance Norton ...