qu est ce que winspool?

xtsxalex · le 14 juin 2005

salut a tous j'aimerai savoir ce qu'est winspool pcq depuis peu quand je fais un

ctrl alt suppr je le vois et il prend beaucoup de ressource (30000 minimum) je le désactive à chaques fois je l'ai meme supprimé dans le system 32 mais il revien a chaques fois jaimerai savoir pourquoi et quoi faier pour l'erradiquer si possible !!merci

Pollux_63 · le 14 juin 2005

Bonsoir xtsxalex.

Winspool est ajouté par une variante du ver SDBOT!

Voila ce que tu dois faire:

- télécharger HijackThis de Merijn Belekom

http://www.merijn.org/files/hijackthis.zip

- l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp)

- lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé.

- cliquer sur 'Scan', l'affichage est instantané.

- à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK.

- une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier.

- mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire.

- fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis.

- attendre l'analyse et la réponse d'un spécialiste.

(ce topic devrais etre déplacé).

xtsxalex · le 14 juin 2005

voila :

Logfile of HijackThis v1.99.1

Scan saved at 22:54:13, on 14/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINDOWS\system32\RUNDLL32.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\w?nspool.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F1 - win.ini: run=c:\windows\system32\metnerium.exe

O1 - Hosts: 213.219.251.78 www.google.com

O1 - Hosts: 213.219.251.78 google.com

O1 - Hosts: 213.219.251.78 www.google.co.uk

O1 - Hosts: 213.219.251.78 google.co.uk

O1 - Hosts: 213.219.251.78 www.google.ca

O1 - Hosts: 213.219.251.78 google.ca

O1 - Hosts: 213.219.251.78 www.google.es

O1 - Hosts: 213.219.251.78 google.es

O1 - Hosts: 213.219.251.78 www.google.de

O1 - Hosts: 213.219.251.78 google.de

O1 - Hosts: 213.219.251.78 www.google.fr

O1 - Hosts: 213.219.251.78 google.fr

O1 - Hosts: 213.219.251.78 www.google.com.au

O1 - Hosts: 213.219.251.78 google.com.au

O1 - Hosts: 213.219.251.79 www.yahoo.com

O1 - Hosts: 213.219.251.79 yahoo.com

O1 - Hosts: 66.218.75.184 mail.yahoo.com

O1 - Hosts: 213.219.251.81 astalavista.com

O1 - Hosts: 213.219.251.81 www.astalavista.com

O1 - Hosts: 213.219.251.81 astalavista.box.sk

O1 - Hosts: 213.219.251.81 cracks.am

O1 - Hosts: 213.219.251.81 www.cracks.am

O1 - Hosts: 213.219.251.81 www.astalavista.box.sk

O1 - Hosts: 213.219.251.81 cracks.com

O1 - Hosts: 213.219.251.81 www.cracks.com

O1 - Hosts: 213.219.251.80 www.msn.com

O1 - Hosts: 213.219.251.80 msn.com

O1 - Hosts: 213.219.251.80 search.msn.com

O1 - Hosts: 213.219.251.80 www.search.msn.com

O1 - Hosts: 213.219.251.80 go.com

O1 - Hosts: 213.219.251.80 www.go.com

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1E6EEF4F-F147-AFC7-1366-745301F830C6} - C:\PROGRA~1\BOLDDR~1\deaflink.exe (file missing)

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL

O2 - BHO: (no name) - {E14CC271-50B4-3215-EBFC-22C0BC900A90} - C:\WINDOWS\system32\ziku.dll

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\metnerium.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4EAA3A4E-42F1-4794-BB69-31FFE972D50D}: NameServer = 80.10.246.130 80.10.246.3

O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Pollux_63 · le 14 juin 2005

re-bonsoir.

Je viens de regarder ton rapport, seulement il y a certaines de chose que je ne comprends pas, et je ne voudrais pas te dire de bêtises. Par contre nos spécialistes préférés (IPL, Stonangel, querak et tous ceux que j'oublie ) vont bien prendre soins de toi. Je pense que tu devrais avoir une réponse dans la fin de soirée ou demain matin.

Salut.

xtsxalex · le 14 juin 2005

merci pllux_63 j'esper avoir des nouvelles vite lol^^

FLORIAN · le 14 juin 2005

Salut a toi

Tu relances un scan hijackthis et tu coches tout ce qui se trouve en rouge

Quand tu as INSTALLE MSN+ as tu fais attention de ne pas mettre le SPONSOR ??

Tu vides tout tes fichiers TEMP

en faisant CLEANMGR

puis tu reposte un log dans le forum SECURITE

@+

voila :
Logfile of HijackThis v1.99.1

Scan saved at 22:54:13, on 14/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINDOWS\system32\RUNDLL32.exe

C:\WINDOWS\system32\RUNDLL32.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\w?nspool.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F1 - win.ini: run=c:\windows\system32\metnerium.exe

O1 - Hosts: 213.219.251.78 www.google.com

O1 - Hosts: 213.219.251.78 google.com

O1 - Hosts: 213.219.251.78 www.google.co.uk

O1 - Hosts: 213.219.251.78 google.co.uk

O1 - Hosts: 213.219.251.78 www.google.ca

O1 - Hosts: 213.219.251.78 google.ca

O1 - Hosts: 213.219.251.78 www.google.es

O1 - Hosts: 213.219.251.78 google.es

O1 - Hosts: 213.219.251.78 www.google.de

O1 - Hosts: 213.219.251.78 google.de

O1 - Hosts: 213.219.251.78 www.google.fr

O1 - Hosts: 213.219.251.78 google.fr

O1 - Hosts: 213.219.251.78 www.google.com.au

O1 - Hosts: 213.219.251.78 google.com.au

O1 - Hosts: 213.219.251.79 www.yahoo.com

O1 - Hosts: 213.219.251.79 yahoo.com

O1 - Hosts: 66.218.75.184 mail.yahoo.com

O1 - Hosts: 213.219.251.81 astalavista.com

O1 - Hosts: 213.219.251.81 www.astalavista.com

O1 - Hosts: 213.219.251.81 astalavista.box.sk

O1 - Hosts: 213.219.251.81 cracks.am

O1 - Hosts: 213.219.251.81 www.cracks.am

O1 - Hosts: 213.219.251.81 www.astalavista.box.sk

O1 - Hosts: 213.219.251.81 cracks.com

O1 - Hosts: 213.219.251.81 www.cracks.com

O1 - Hosts: 213.219.251.80 www.msn.com

O1 - Hosts: 213.219.251.80 msn.com

O1 - Hosts: 213.219.251.80 search.msn.com

O1 - Hosts: 213.219.251.80 www.search.msn.com

O1 - Hosts: 213.219.251.80 go.com

O1 - Hosts: 213.219.251.80 www.go.com

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1E6EEF4F-F147-AFC7-1366-745301F830C6} - C:\PROGRA~1\BOLDDR~1\deaflink.exe (file missing)

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL

O2 - BHO: (no name) - {E14CC271-50B4-3215-EBFC-22C0BC900A90} - C:\WINDOWS\system32\ziku.dll

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\metnerium.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4EAA3A4E-42F1-4794-BB69-31FFE972D50D}: NameServer = 80.10.246.130 80.10.246.3

O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dllO23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

517801[/snapback]

Modifié le 14 juin 2005 par FLORIAN

xtsxalex · le 14 juin 2005

me revoila cette fois ci dans " sécurité " voila jai refais un hijackthis :