un souci avec un truc fantome (Résolu)

[Aritz]

En premier lieu, je vous adresse à tous un grand bonjours. Je suis nouveau a poster mais pas à vous lire.

Voila ce qui me pousse a demander votre aide.

Depuis quelques jours, j'ai une clef de registre qui ne fais que se restaurer et je trouve pas le prog qui fait ça.

Chaque fois que je lance XoftSpySe ( il n'y a que lui qui trouve ça) il me trouve systèmatiquement "Ace password Sniffer

system\currentcontrolset\services\nm\enum\0:@:root_legacy_nm\0000"

Une capture d'écran

Le hic, c'est que je n'ai pas "ace password sniffer" du moins, il n'est visible nulle part.

Quand à cette clef, le prog la sort bien mais, elle se remet systématiquement. Et ce que je la sorte en sans échec ou pas.

J'ai suivi les consigne pour nettoyer

Un coup de ewido anti-malware (ok), de AboutBuster.exe (ok), d'avast (rien n'est trouvé) et j'en suis au même point.

Voila mon log

 

Logfile of HijackThis v1.99.1

Scan saved at xxxxxx - 22:31:50, on 04/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Viking\Bureau\fourre tout bureau\Nouveau dossier\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:///www.google.com'>http:///www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:///www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1130353688171

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1139052177656

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ScsiAccess - Unknown owner - C:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe

O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)

 

 

Si quelqu'un pouvait me donner la solution, cela serait sympa

Modifié le 16 juin 2006 par Aritz

[centaure]

Salut !!!

 

«Avant toute chose XoftSpySe, tu l as en version d'essaie ou tu l' as acheter ?

 

Apres kelke recherches je l ai trouver sur le oueb c est un shareware

 

Perso le connais pas. Mais si au depart il te trouve des trucs que lui seul peut trouver, ben sa sent '' l'incitatif a l'achat''

 

 

Modifié le 4 juin 2006 par centaure

[horus agressor]

Bonjour,

 

Mon avis personnel : ça craint ce machin Ace Password Sniffer, si tu n'a pas souvenir de l'avoir installé mais qu'il est quand même sur ton PC....

 

Une petite recherche Google :

 

Renifleur de mot de passe...

PassDetect - Ace Password Sniffer

http://www.effetech.com/aps/

 

The most powerful password sniffer and password monitoring utility. Ace Password Sniffer can listen on your LAN and enables network administrators or parents to capture passwords of any network user. Currently Ace Password Sniffer can monitor and capture passwords through FTP, POP3, HTTP, SMTP, Telnet, and etc.

 

Ace Password Sniffer works passively and don't generate any network traffic, therefore, it is very hard to be detected by others. And you needn't install any additional software on the target PCs or workstations. If your network is connected through switch, you can run the sniffer on the gateway or proxy server, which can get all network traffic.

 

This stealth-monitoring utility is useful to recover your network passwords, to receive network passwords of children for parents, and to monitor passwords abuse for server administrators.

http://www.effetech.com/aps/

Traduction Babelfish:

Le renifleur de mot de passe et le mot de passe les plus puissants surveillant l'utilité. Le renifleur de mot de passe d'as peut écouter sur votre LAN et permet à des administrateurs ou à des parents de réseau de capturer des mots de passe de n'importe quel utilisateur de réseau. Actuellement le renifleur de mot de passe d'as peut surveiller et capturer des mots de passe par le ftp, le POP3, le HTTP, le smtp, le telnet, et etc... Les travaux de renifleur de mot de passe d'as passivement et ne produisent d'aucun trafic de réseau, donc, il est très difficile d'être détecté par d'autres. Et vous n'avez pas besoin de n'installer aucun logiciel additionnel sur les PCS de cible ou les postes de travail. Si votre réseau est relié par le commutateur, vous pouvez courir le renifleur sur le passage ou le proxy server, qui peuvent obtenir tout le trafic de réseau. Cette utilité de discrétion-monitoring est utile pour récupérer vos mots de passe de réseau, pour recevoir des mots de passe de réseau des enfants pour des parents, et pour surveiller l'abus de mots de passe pour des administrateurs de serveur.

http://www.babelfish.altavista.com/tr

 

=> Ace Password Sniffer n'apparaît pas dans Ajoût/Suppression de programmes

 

=> tu as essayé Démarrer, Rechercher, Ace Password Sniffer sur C:\

 

=> tu pourrais redémarrer en mode sans échec et rechercher encore Ace Password Sniffer

 

=> tu pourrais redémarrer en mode sans échec et virer les entrées qui concernent Ace Password Sniffer dans la Base de Registre

 

Avant de bricoler sa Base de Registre..., Une extrême prudence est recommandée...

http://forum.zebulon.fr/index.php?showtopic=96433

 

=> si pas de résultat concluant, appliquer :

 

Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis

http://forum.zebulon.fr/index.php?showtopic=83986

 

Amicalement.

[horus agressor]

Bonjour,

 

Je viens de penser à PestPatrol, il détecte et élimine les "sniffer"...

 

 

eTrust PestPatrol Anti-Spyware => essayer avec la version d'essai...

http://www.pestpatrol.com/

 

Free PestPatrol Scan

http://www.pestpatrol.com/prescan.htm

 

Amicalement.

[horus agressor]

Ton histoire de renifleur de mot de passe me travaille...

 

J'ai trouvé ceci, mais ne panique pas, ce n'est peut être pas grand chose ton truc

 

Password attack - Attaques de mots de passe

http://assiste.free.fr/p/internet_attaques/mots_de_passe.php

 

Amicalement.

[Sacles]

Bonjour,

 

D'où sort ce XoftSpySe?

 

N'y a-t-il pas suffisamment le logiciels antiMachins éprouvés et connus sans faire appel à ces applications qui traînent à gauche et à droite et qui servent soi-disant à vous protéger?

 

Certaines introduisent même le loup dans la bergerie!

 

Il y a une note dans la liste d'Eric L. Howes

( http://www.spywarewarrior.com/rogue_anti-spyware.htm ) sur XoftSpy (est-ce XoftSpySe???).

 

Ce n'est pas très rassurant.

"XoftSpy was listed on this page because of concerns with false positives ..., questionable license terms, and the use of aggressive, deceptive advertising ..., including exploitation of the name "spybot" by affiliates. Earlier versions of XoftSpy were also Ad-aware knockoffs."

 

Un peu plus rassurant:

"Over the past few months, XoftSpy has taken aggressive steps to reign in its affiliates (who were primarily responsible for the unsavory advertising), revised its license text, and released a new version of XoftSpy (version 4.0) that addresses our concerns with false positves. Given these changes we can no longer regard XoftSpy as "rogue/suspect" anti-spyware."

 

Une liste de faux-utilitaires est également disponible ici:

http://assiste.free.fr/p/faux_utilitaires/..._logitheque.php

 

Amicalement.

Modifié le 5 juin 2006 par Sacles

[horus agressor]

Bonjour,

 

Je me suis permis de traduire les références en anglais données par Sacles, dans l'ordre :

 

XoftSpy a été énuméré à cette page en raison des soucis avec les positifs faux..., les limites incertaines de permis, et l'utilisation de la publicité agressive et trompeuse..., y compris l'exploitation du l'"spybot" nommé par des filiales. Des versions plus tôt de XoftSpy étaient également les knockoffs Annonce-avertis

http://www.babelfish.altavista.com/tr

Au cours des derniers mois, XoftSpy a pris des mesures agressives au règne dans ses filiales (qui étaient principalement responsables de la publicité désagréable), a révisé son texte de permis, et libéré une nouvelle version de XoftSpy (version 4.0) cette des adresses nos soucis avec les positves faux. Donné ces changements nous pouvons plus ne considérer XoftSpy comme l'anti-spyware "escroc"

http://www.babelfish.altavista.com/tr

 

Amicalement.

[Aritz]

merci pour vos réponses.

Juste une précision:

Je vous suis depuis longtemps (ce forum) pour l'aide que vous apportez aux pauvres gens dans le souci

Que ce soit pour des conseils, des softs, des dépanages, des réglages etc......

Donc, pour résumer. je poste car je n'ai pas réussi a me dépatouiller. Pour ce faire, j'ai en premier lieu, suivi toute la procédure indiqué. Cela n'y a rien fait.

Quand à XoftSpySE, je n'étais pas au courant de ces remarques.

Ensuite, j'ai une version complète ( XoftspySE 4.26.183 ) ( http://www.paretologic.com/products/xoftsp...45&pid=1&lid=en )

Ce soft m'a trouvé: Wiretap Professional, Espion 2004 et d'autre (je tiens son log a disposition si cela peut aider)

 

Ensuite, qu'el que soit le soft que j'utilise, avant de virer un truc, je le mets en quarantaine, je fais une recherche sur le net et en fonction de ce qui est dit, je garde ou j'efface. Pour l'instant, je n'ai jamais gardé.

 

Pour info, tout le monde dis du bien d'ad-aware et pour tant actuellement il est dans la tourmente (décris comme une daube mal programmée etc...)

Pest patrol, il ne fait pas l'hunanimité et se croise quand il y a Spybot - Search & Destroy!

 

Tout ça pour dire que malgres tout ces trucs, je suis quand même avec un bout de fichier qui se réinstalle et que je ne sais pas qui c'est qui me le met!

 

juste la fin du log de mon soft car le log en entier est assez long

- <FileSystem>

<Directory name="C:\Documents and Settings\All Users\Start Menu\Programs\Startup" expanded-name="C:\Documents and Settings\All Users\Start Menu\Programs\Startup" />

<Directory name="C:\Documents and Settings\%USERNAME%\Start Menu\Programs\Startup" expanded-name="C:\Documents and Settings\Viking\Start Menu\Programs\Startup" />

</FileSystem>

- <Debug>

<DebugMsg event="REGVALUE_FOUND" data="system\currentcontrolset\services\nm\enum\0:@:root\legacy_nm\0000" system-message="Opération réussie." />

</Debug>

</XoftSpy>

je n'arrive pas a trouver qui c'est qui me lance cette commande

[horus agressor]

Pour info, tout le monde dis du bien d'ad-aware et pour tant actuellement il est dans la tourmente (décris comme une daube mal programmée etc...)

Pest patrol, il ne fait pas l'hunanimité et se croise quand il y a Spybot - Search & Destroy!

Re,

 

J'ai Ad-Aware, en non résident, PestPatrol et SpyBot avec le TeaTimer en résident+SDHelper+vérouillage liste Hosts+page d'acceuil IE, et je n'ai jamais eu aucun soucis...Lors de l'installation de SpyBot, un message d'avertissement apparaît informant de possibles réactions de PestPatrol, mais je n'ai encore jamais vu PestPatrol réagir à SpyBot depuis bientôt 2 ans qu'ils tournent "main dans la main".

 

Tu t'informe où ? Chez l'éditeur de ton machin anti-spy-qui-fait-tout-même-le-café

 

Sacles a en fait posé la bonne question :

D'où sort ce XoftSpySe?

Et il est perspicace :

Certaines introduisent même le loup dans la bergerie!

 

En plus de 2 ans sous XP, c'est la première fois que j'entends parler de ton machin anti-spy-qui-fait-tout-même-le-café.

 

Si tu ne fais pas confiance aux outils que je t'ai proposé, je ne peux rien faire pour toi. Les logs que nous proposons ici sont entièrement gratuit dans le 99% des cas (de mémoire, sont payant : PestPatrol (version free pour désinfecter, pas obligé de payer ensuite), Process Guard Full, Ewido (excellente la version gratuite pour désinfecter, pas obligé de payer ensuite, tu le garde en non résident et tu as accès aux mises à jour), Norton Ghost (copie-miroir), Norton Speed Disk (défragmenteur)...Je n'ai que 3 logs payant sur mes bécanes (en rouge), Ghost et Speed Disk dans Norton System Works.

 

Bon courage.

Modifié le 5 juin 2006 par horus agressor

[Aritz]

Re,

 

J'ai Ad-Aware, en non résident, PestPatrol et SpyBot avec le TeaTimer en résident+SDHelper+vérouillage liste Hosts+page d'acceuil IE, et je n'ai jamais eu aucun soucis...Lors de l'installation de SpyBot, un message d'avertissement apparaît informant de possibles réactions de PestPatrol, mais je n'ai encore jamais vu PestPatrol réagir à SpyBot depuis bientôt 2 ans qu'ils tournent "main dans la main".

 

Tu t'informe où ? Chez l'éditeur de ton machin anti-spy-qui-fait-tout-même-le-café

 

Sacles a en fait posé la bonne question :

 

Et il est perspicace :

En plus de 2 ans sous XP, c'est la première fois que j'entends parler de ton machin anti-spy-qui-fait-tout-même-le-café.

 

Si tu ne fais pas confiance aux outils que je t'ai proposé, je ne peux rien faire pour toi. Les logs que nous proposons ici sont entièrement gratuit dans le 99% des cas (de mémoire, sont payant : PestPatrol (version free pour désinfecter, pas obligé de payer ensuite), Process Guard Full, Ewido (excellente la version gratuite pour désinfecter, pas obligé de payer ensuite, tu le garde en non résident et tu as accès aux mises à jour), Norton Ghost (copie-miroir), Norton Speed Disk (défragmenteur)...Je n'ai que 3 logs payant sur mes bécanes (en rouge), Ghost et Speed Disk dans Norton System Works.

 

Bon courage.

 

Je ne cherche pas la bagare. J'ai juste dis que j'avais suivi la procédure donné pour désinfecter mon UC.

 

Par ailleur, j'utilise les même softs que vous.

 

Hormis mon FireWall Outpost pro mis à jour et enregistré et mon antivirus Avast pro enregistré.

je me sers de pest patrol free, Ewido, O&O Defrag enregistré, spybot et depuis environ 7 ou 8 mois de XoftSpySE v 4.26.

 

Je n'ai amais critiqué un soft que je connais pas. Je le teste avant, je me fais une opinion et après, j'en dis du bien ou du mal.

 

J'ai lu ce qui a été dis sur ce soft. Vous avez pris la peine de traduire le passage. J'ai été aussi sur le site de l'article. Il n'en est pas dit que du mal. Il est dit que la barre a été redressé et que les nouvelles versions etc...

 

Il est dit aussi que spybot a une drole de façon de scanner. Il ne cherche que dans les endroits et dossiers suceptible de trouver quelques chose etc...

Et pourtant, je m'en sert.

 

Il y a le message de risque d'erreur de pespatrol et pourtant je m'en sert...

 

Il est aussi recomandé d'utiliser plusieurs softs car aucun n'arrive à tout voir...

 

Quand à Ad-Aware, je suis tombé sur un article sur un autre forum.

Voici le texte:

Info(s) - AD Aware dans la tourmente des critiques......

SecuObs rapporte les résultats des recherches d'un expert qui s'est livré à de la rétro-ingénierie sur Ad Aware, un des antispywares les plus connus de la Toile. Le logiciel se serait lui-même révélé très vulnérable, car il ne procède à aucune vérification des signatures de ses propres fichiers.

 

Cette absence de vérification de signature pourrait rendre Ad Aware vulnérable à un malware, qui pourrait alors modifier son fonctionnement, ou le forcer à ne pas détecter certains spywares.

 

Le chercheur en question, Roy Batty, explique finalement que le logiciel Ad Aware est « programmé avec médiocrité. » Le fichier de définitions sur lequel l'antispyware se base pour détecter les fichiers suspect n'est lui-même pas signé, et le logiciel ne vérifie aucune authenticité avant d'y faire appel. Un malware pourrait alors substituer le fichier de définitions du logiciel par un autre, avec toutes les conséquences possibles que cela laisse imaginer.

 

Ensuite, le chercheur critique le méthode de détection d' Ad Aware, trop sommaire selon lui. Le programme multiplierait aussi par 1,46 le nombre de définitions de spyware présentes dans le fichier de détection, uniquement pour paraître plus impressionnant aux yeux de l'utilisateur !

 

Le logiciel possède bien une nouvelle technologie d'analyse de code CSI (Code Sequence Identification), mais Batty explique que celle-ci n'est utilisée que pour la vérification des processus qui tournent en mémoire. Les fichiers du disque dur ne sont pour leur part surveillés que par rapport à la base de définition de spywares du programme. (PCINpact)

 

Conclusion, il y aura toujour quelqu'un pour critiquer!

 

Et je n'ai jamais dis que XoftSpySE v4.26 était parfait. Si vous allez sur son site(http://www.paretologic.com/), vous verrez qu'il n'y est pas fait plus de plub que chez les autres. (en plus, il ne fait même pas le café )

 

et je me sert aussi de certains softs de chez Crosoft (window defender) pourtant, certains disent que ça ne vaut rien.

 

Bon, Sacles a en fait posé la bonne question :

 

Et il est perspicace :

En plus de 2 ans sous XP, c'est la première fois que j'entends parler de ton machin anti-spy-qui-fait-tout-même-le-café.

 

La réponse à la bonne question du gars perspicace, ben j'y ai répondu. J'ai donné l'adresse et des personnes que je connais s'en servent et non jamais de soucis. Ni de fausses alertes. ni Intempestives.

 

Moi aussi je suis sous xp depuis longtemps (depuis pratiquement sa sortie) et ce n'est pas la première fois que j'en entend parler.

 

J'ai entendu parler d'eurodisney en bien pour les visiteurs et en mal pour les employés, je n'y suis jamais allé, ça ne me branche pas c'est tout! C'est pas pour ça que je me fous de la gu... de ceux qui y vont et que je dénigre le lieu.

 

ReBon, je suis venu vers vous pour avoir de l'aide, pas pour me faire conspuer voire engueuler et critiquer les softs que j'utilise car non connu par certains!

Si on veut bien m'aider, je continu

sinon, tantpis

 

Sans rancurne. Aritz

Modifié le 5 juin 2006 par Aritz