Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

logiciel espion notepad

MIG3

Par MIG3
dans Analyses et éradication malwares

 Partager

Messages recommandés

MIG3 Power Member

MIG3

Posté(e)
Posté(e)

soir a tous voila j'ai fait un scan en ligne par panda celui ci me trouve un logiciel espion NOTEPAD EXE il ne peut le supprimer :P A² adaware et norton ne trouve rien je vous poste mon log ainsi que le rapport panda j'ajoute que j'ai fait le menage (cookies,dossiers temp,nettoyage du disque etc..) merci a celui ou ceux qui pourront me répondre je nage un peu :-(

 

 

Logfile of HijackThis v1.99.1

Scan saved at 20:53:51, on 30/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

c:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

c:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\svchost.exe

c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCWZRD.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Trust\850F VIBRAFORCE FEEDBACK SIGHTFIGHTER\RegClean.exe

C:\PROGRA~1\Wanadoo\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\pchbutton.exe

C:\Program Files\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...=Q404&bd=pavili

on&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...&c=Q404&bd=pavi

lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...&c=Q404&bd=pavi

lion&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...&c=Q404&bd=pavi

lion&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.wanadoo.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...=Q404&bd=pavili

on&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...&c=Q404&bd=pavi

lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...&c=Q404&bd=pavi

lion&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...&c=Q404&bd=pavi

lion&pf=desktop

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://ie.redirect.hp.com/svs/rdr?TYPE=3&t...=Q404&bd=pavili

on&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -

C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program

Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program

Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program

Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -

c:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program

Files\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-

EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec

Shared\ccApp.exe"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control

Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers

communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [RTGameClean] C:\Program Files\Trust\850F VIBRAFORCE FEEDBACK

SIGHTFIGHTER\RegClean.exe c

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program

Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

/Consumer

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Acme.PCHButton]

C:\PROGRA~1\HELPAN~1\Pavilion\XPHWWBF4\plugin\bin\pchbutton.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-

00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-

00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} -

http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -

http://a840.g.akamai.net/7/840/537/2004061...o.com/housecall

/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://www.pandasoftware.com/activescan/as5/asinst.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Ati HotKey Poller - Unknown owner -

C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -

c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation -

c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -

c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -

c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program

Files\iPod\bin\iPodService.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec

Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton

AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation

- C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program

Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

 

rapport panda

 

 

Incident Statut

 

Adware:Adware/ConsumerAlertSystemNo Désinfecté

C:\WINDOWS\I386\NOTEPAD.EX_[notepad.exe]

Adware:Adware/ConsumerAlertSystemNo Désinfecté

C:\WINDOWS\NOTEPAD.EXE

Adware:Adware/ConsumerAlertSystemNo Désinfecté

C:\WINDOWS\system32\dllcache\notepad.exe

Adware:Adware/ConsumerAlertSystemNo Désinfecté

C:\WINDOWS\system32\notepad.exe

Adware:Adware/ConsumerAlertSystemNo Désinfecté

D:\I386\NOTEPAD.EX_[notepad.exe]

Lien vers le commentaire
Partager sur d’autres sites

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir MIG3, bonsoir à tous,

 

Messages : 1
Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! :P

 

Pourrais-tu, s'il te plaît, indiquer chemin, taille date et heure de tous les fichiers NOTEPAD.EX* de ton disque ?

 

Par exemple, chez moi (XP SP2) :

 

NOTEPAD.EX_ C:\I386 32 Ko 24/04/2003 09:00

NOTEPAD.EXE C:\Windows 69 Ko 20/08/2004 01:10

NOTEPAD.EXE C:\Windows\System32 69 Ko 20/08/2004 01:10

NOTEPAD.EXE C:\Windows\ServicePackFiles\I386 69 Ko 20/08/2004 01:10

NOTEPAD.EXE-33... C:\Windows\Prefetch 15 Ko 30/06/2005 21:55

Lien vers le commentaire
Partager sur d’autres sites
MIG3 Power Member

MIG3

Posté(e)
  • Auteur
Posté(e)

merci ipl 001 pour ton aide :-( 3 fichiers trouvés par l'explo (recherche complete sur C et D )

 

C:\windows\notepad 69ko 05/08/2004 12:00 (application)

C:\windows\I386\notepad EX 33ko 05/08/2004 5:00 (fichier EX)

C:\windows\systeme 32\notepad 69ko 05/08/2004 12:00 (application )

 

voila c'est tout ce qu'il me trouve!! pas de traces des fichiers repérés par panda :P qu'en penses tu?

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir MIG3, rebonsoir à tous,

 

Si, la plupart des fichiers signalés par Notepad sont là !

Je pense que tes fichiers Notepad.exe sont tout à fait normaux et légitimes (chemins OK, taille OK, date OK) et que c'est Panda qui perd la boule !... tu disais qu'il était le seul à les signaler ?

Effectue un examen avec un autre antivirus par exemple HouseCall sur http://www.secuser.com/antivirus/

 

 

 

Je te conseille d'afficher le nom complet de tes fichiers par :

- ouvre l'Explorateur par clic droit sur Démarrer / Explorer

- menu Outils / Options de dossiers / onglet Affichage / décoche la case "Masque les extensions des fichiers dont le type est connu" / OK pour valider

Ainsi, tes Notepad deviendront Notepad.exe

Lien vers le commentaire
Partager sur d’autres sites
MIG3 Power Member

MIG3

Posté(e)
  • Auteur
Posté(e)

soir a tous suite de l'episode panda vs notepad j'ai scanné C: et D: chez housecall rien trouvé :-( j'ai rescanné avec panda : RIEN TROUVE :-P conclusion : certains soirs le panda ne mange pas l'herbe il la fume :P sans dec j'ai perdu 3 heures a chercher qq chose qui n'existe pas. déja qu'on me traite de paranno! a part çà j'ai lu le post épinlé sur les extensions firefox adblock m'a l'air pas mal mais est ce que la config et la mise en route sont simples?mon niveau en info:maternelle : :-P j'ai installé une liste fichiers host double emploi ou pas? sur ce good night a tous a bientot sur le zeb :-P

Lien vers le commentaire
Partager sur d’autres sites
megataupe Godlike Member

megataupe

Posté(e)
Posté(e)
soir a tous suite de l'episode panda vs notepad  j'ai scanné C: et D: chez housecall rien trouvé  :-P  j'ai rescanné avec panda : RIEN TROUVE  :-P  conclusion : certains soirs le panda ne mange pas l'herbe il la fume  :P  sans dec j'ai perdu 3 heures a chercher qq chose qui n'existe pas. déja qu'on me traite de paranno! a part çà j'ai lu le post épinlé sur les extensions firefox adblock m'a l'air pas mal mais est ce que la config et la mise en route sont simples?mon niveau en info:maternelle :  :-P  j'ai installé une liste fichiers host double emploi ou pas? sur ce good night a tous a bientot sur le zeb  :-P

527975[/snapback]

 

Salut MIG3. Ben oui, les traqueurs sont devenus tellement soupconneux qu'ils vont finir par trouver le système lui-même douteux et c'est vrai que le nombre de faux positifs des antitout est en constante augmentation.

 

Pour Adblock et son filtre trucide-pub :-( , il te suffit de suivre le pas-à-pas très simple indiqué dans ce post pour être déjà un peu plus en sureté.

Lien vers le commentaire
Partager sur d’autres sites
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir MIG3, megataupe, bonsoir à tous,

 

>j'ai lu le post épinglé sur les extensions firefox adblock m'a l'air pas mal

Eh bien, voila ! Je suis content d'avoir épinglé ce sujet ! :P

 

Merci, megataupe !

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...