Pop Ups "en veux-tu en voilà..."

[neosapri]

M'attendais à cette réponse même si je suis pas Spywareman

 

enfin voilà le log Hijack

 

Concernant le Ewido 4 fichiers ont pas pu être enlevés sauf si l'archive complète était enlevée, risque que je n'ai pas voulu prendre:

- c:\docs & setting\...\Bureau\l2mfix\backup.zip/dlls/cnypt32.dll

- c:\RECYCLER\NPROTECT\00091836.zip/dlls/cnypt32.dll

- c:\RECYCLER\NPROTECT\00091838.zip/dlls/cnypt32.dll

-C:\ucmoreiex.exe/UCMTSAIE.DLL

 

Rapport HiJack

 

Logfile of HijackThis v1.99.1

Scan saved at 15:56:04, on 3/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ipNetwork] C:\Program Files\Network\ipnetwork.exe

O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

[bruce lee]

re,

apparement tu as bien suivis toutes mes indications car ton log est propre bravo!

as tu encore des problemes avec ton PC?

j'aimerais que tu mettent les fichiers que tu n'as pas pu supprimer ou que tu n'as pas trouvé ainsin que leur chemin d'acces.

[neosapri]

Bon, on va récapituler tout ça alors...

 

Plus aucun problème pc... Bravo et merci

 

Pour le scan Hijack pour le fix, pas de :

-winsysupd

-winsysban

-newFrn

-Spyware Cleaner (pas celui que tu avais renseigné (O4 - HKCU\..\Run: [spyware Cleaner] "C:\Program Files\Spyware Cleaner\SpywareCleaner.Exe" /boot) mais un autre, voir post précédent icon_biggrin.gif)

 

Pour ajout et suppression de programme, pas de Spyware Cleaner, seulement le Toolbar 888

 

pour l'effaçage manuel,

Pas de :

- c:\windows\newfrn.exe

- c:\program files\SpywareCleaner

- c:\program files\Toolbar888

 

Par contre, quelques fichiers interpelants

 

Dans c:\

- gimmygames11.exe

- gimmygames12.exe

- mc110-12-0000228.exe

- winsysupd11.exe

- gimmysmileys.exe

 

Dans c:\Program Files\

- BullsEye (très connu pour faire chier son monde icon_wink.gif)

- Errorsafe (proposition d'installation était souvent en pop-up)

- Montorgueil (jamais entendu parler)

- The SearchAccelerator (non plus)

 

Dans c:\windows\

- winsysban11.exe

- winsysupd11.exe

- winsysupd111.dat

- winsysupd121.dat

 

Etape de recherche : ni WinupdateXP, ni WinIogon.

 

Etape "services.msc"

Statut service était déjà arrêté mais démarrage en automatique. Modification effectuée.

Par contre, SpywareCleanerService apparaît (avec comme adresse c:\program files\SpywareCleaner alros qu'il n'apparait pas quand j'ouvre l'explorateur). Son statut est désactivé (j'ai utilisé Win Patrol avant de venir sur le Forum et j'ai désactivé certains démarrages automatiques,doù peut-être la raison).

 

j'ai fait le "sc delete Command Service". Une fenêtre DOS est apparue un dixième de seconde. J'ai voulu exécuter "services.msc" pour voir si "Command Service" avait disparu. Et bien non, il est toujours là. Normal?

 

Finalement pour le Ewido, 4 fichiers n'ont pas été supprimés car il fallait effacer la totalité de l'archive et je n'ai pas voulu prendre de risques :

- c:\docs & setting\...\Bureau\l2mfix\backup.zip/dlls/cnypt32.dll

- c:\RECYCLER\NPROTECT\00091836.zip/dlls/cnypt32.dll

- c:\RECYCLER\NPROTECT\00091838.zip/dlls/cnypt32.dll

- c:\ucmoreiex.exe/UCMTSAIE.DLL

 

Voilà, maintenant si tout est propre... merci bcp.

Aurais-tu des anti-spywares, firewall,... à me conseiller?

 

Merci en tout cas... Je vais probablement revenir avec le log d'un autre ordi, celui du beau père... bien plus infesté que le mien (il hurlait à la mort... l'ordi pas le beau-père )

Modifié le 3 mars 2006 par neosapri

[bruce lee]

ok reste encore pas mal de boulot

je te prepare une procedure retour dans 10 minutes

[neosapri]

re,

apparement tu as bien suivis toutes mes indications car ton log est propre bravo!

 

ok reste encore pas mal de boulot icon_biggrin.gif

 

Tu parles d'un faux espoir...

[bruce lee]

en fait compte une bonne demie heure

[neosapri]

en fait compte une bonne demie heure

 

Je t'attends...

Je t'attends je t'attends, je t'attends...

 

 

[bruce lee]

-Télécharge la dernière version de Killbox ici=>

 

http://www.downloads.subratam.org/KillBox.zip

 

-Redémarre en mode sans échec pour ne pas être gêné par un résident.

 

fais:

demarer executer services.msc repere Network Monitor

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

 

 

-Lance Pocketkillbox,choisis l'option Delete on reboot

coche la case all files

 

Copie le chemin de fichier entier, en gras ci-bas, et colle le dans la boîte Full Path of File to Delete :

 

c:\gimmygames11.exe

c:\gimmygames12.exe

c:\mc110-12-0000228.exe

c:\winsysupd11.exe

c:\gimmysmileys.exe

c:\windows\winsysban11.exe

c:\windows\winsysupd11.exe

c:\windows\winsysupd111.dat

c:\windows\winsysupd121.dat

c:\ucmoreiex.exe

C:\Program Files\Network Monitor

c:\program files\SpywareCleaner

c:\windows\newfrn.exe

c:\program files\Toolbar888

 

-Cliquer sur la croix blanche sur fond rouge:

 

« File will be Deleted on Next Reboot » répondre OUI

« File will be Removed on Reboot, Do you want to reboot now ? » répondre OUI

 

redemarre en mode normal repost un log hijackthis.

rend toi sur ce site:

 

http://www.pandasoftware.com/activescan/fr...n_principal.htm

tuto pour panda http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

a la fin du scan tu clique sur voir le rapport, tu le sauvegardes et tu le postes esperons qu'il soit pas trop long (mais j'en doute)

[neosapri]

Bon je viens de faire le Killbox...

 

A mon avis, ça s'est pas trop bien passé...bien cocher tout ce qu'il fallait

 

J'ai collé à chaque fois "l'adresse" et j'ai cliqué sur la croix.

A chaque fois il repassait sur le premier... (gimmygames11.exe) et mettait que ça a été effacé par un processus externe...

 

Alors ton avis?

 

EDIT : je viens de le faire en commençant par un autre

 

J'avais omis de dire que pour certains, un affichage bleu se faisait

 

Je viens de recommencer en mettant "Network Monitor" en premier et ça s'est bien passé, l'ordi a redémarré après l'avoir effacé...

Je continue avec ceux dont il indique qqch en bleu, j'attends tes instructions pour les autres. Moi j'aurais tendance à penser que les fichiers n'existent plus et que je pourrais donc continuer... mais j'attends l'avis de l'expert

Modifié le 3 mars 2006 par neosapri

[bruce lee]

ca se trouve il tourne en boucle car il etait deja effacé ce qui expliquerais que tu ne le trouves pas.

maintenant passe a panda:

 

http://www.pandasoftware.com/activescan/fr...n_principal.htm

tuto pour panda http://www.monaco-pro.com/cool-life/tuto/panda/tuto.htm

 

a la fin du scan tu cliques sur voir le rapport, tu le sauvegardes et tu le postes

 

Moi j'aurais tendance à penser que les fichiers n'existent plus et que je pourrais donc continuer...

mais tu lis dans mes pensées

Modifié le 3 mars 2006 par bruce lee