- le SITE - contribuer - le FORUM - liste évènements - livres sécurité info - @abcdelasecurite (twitter) - groupe Facebook - admin
Le portail dédié à la sécurité informatique et la protection des données, systèmes, réseaux, vie privée et usagers d'Internet.
Forum prévention, configuration, astuces, matériel, logiciel, informations ... hors warez crack serial
Vous n'êtes pas connecté.
- Accueil
- » Adware spyware dialer hijacker keylogger
- » help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
#1 15-10-2007 15:27:00
- Marmotte
- anonyme
help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Bonjour,
Je cherche a savoir comment me débarrasser de spyware. En effet depuis peu mon PC rame comme un fou lorsque j'ouvre une page internet explorer. En consultant le gestinnaire de tâches windows j'ai remarqué que IE consomme beaucoup trop de mémoire (90%)! On m'a dit que cela devait être du a des spywares, je fais régulièrement des analyses antivirus (avast!) mais celui ci ne détecte rien, j'ai donc installer spybot qui lui me détecte Bluestreak, Casino Popupstuff et Tradedoubler, cependant je peux effectuer un scan par jour spybot me les retrouve a tous les coups! J'ai également fait des scans ad aware qui plantent a tous les coups, j'ai fais des scans en mode sans échec et installé AVG anti spyware mais rien de tout cela ne fonctionne!!! J'aimerai savoir comment me débarrasser une bonne fois pour toute de ces spywares et comment les éviter!!
Je vous remercie par avance pour votre aide!
#2 15-10-2007 16:44:52
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Bonjour
Pouvez vous poster un rapport de AVG Antispy ?
Il est dans le sous dossier de AVG (program files) nommé Report.
Lancez IExplorer et allez sur le site de Kaspersky online scanner. Chargez l'activeX et scannez votre système. Sauvegarder le rapport de fin d'analyse et postez en une copie à la suite.
Kaspersky Online scaner
Hors ligne
#3 16-10-2007 15:04:11
- Marmotte
- anonyme
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Voici ce ue me donne Kaspersky :
Tuesday, October 16, 2007 3:03:24 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/10/2007
Enregistrements dans la base antivirus Kaspersky : 436620
Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Zones critiques
C:\WINDOWS
C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\
Statistiques de l'analyse
Total d'objets analysés 19527
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:21:15
Nom de l'objet infecté Nom du virus Dernière action
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{23D7A63E-5765-4BFA-82F3-139B50700829}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd3725.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
C:\WINDOWS\system32\mnoackhpry.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_504.dat L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\Perflib_Perfdata_11c.dat L'objet est verrouillé ignoré
C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\~DF176E.tmp L'objet est verrouillé ignoré
C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\~DF32FF.tmp L'objet est verrouillé ignoré
C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\~DFD4A.tmp L'objet est verrouillé ignoré
C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\~DFFD67.tmp L'objet est verrouillé ignoré
Analyse terminée.
#4 16-10-2007 15:09:30
- Marmotte
- anonyme
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
C:\WINDOWS\system32\mnoackhpry.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré
Apparemment le problème vient de là mais pourquoi est-il ignoré? AVG m'avais détecté ce fichier j'avais fait le nécessaire pour le supprimé mais visiblement il est toujours la mais AVG ne le détecte plus...
Je n'y comprend rien...
#5 16-10-2007 16:15:34
- Marmotte
- anonyme
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
voici le rapport de ma ème analyce avec Kaspersky :
Tuesday, October 16, 2007 4:16:32 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/10/2007
Enregistrements dans la base antivirus Kaspersky : 436620
Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
I:\
J:\
K:\
L:\
Statistiques de l'analyse
Total d'objets analysés 58626
Nombre de virus trouvés 2
Nombre d'objets infectés 4 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:47:52
Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\2bf7b34a196083b0dec11e6f01757a60_0d67fdb4-8223-41db-b4f4-e56adbdfe823 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\899bc27b6cb06f3cef643cdf85600b05_0d67fdb4-8223-41db-b4f4-e56adbdfe823 L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\ApplicationHistory\EC-Barre.exe.17ddb7d5.ini.inuse L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Messenger\the_marmotte59@hotmail.fr\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Messenger\the_marmotte59@hotmail.fr\SharingMetadata\pending.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Messenger\the_marmotte59@hotmail.fr\SharingMetadata\Working\database_2208_8895_888_699D\dfsr.db L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Messenger\the_marmotte59@hotmail.fr\SharingMetadata\Working\database_2208_8895_888_699D\fsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Messenger\the_marmotte59@hotmail.fr\SharingMetadata\Working\database_2208_8895_888_699D\fsrtmp.log L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Messenger\the_marmotte59@hotmail.fr\SharingMetadata\Working\database_2208_8895_888_699D\tmp.edb L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Windows Live Contacts\The_Marmotte59@hotmail.fr\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Windows Live Contacts\The_Marmotte59@hotmail.fr\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Application Data\Microsoft\Windows Media\11.0\WMSDKNSD.XML L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Historique\History.IE5\MSHist012007101620071017\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Temp\Perflib_Perfdata_11c.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Temp\~DF176E.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Temp\~DF32FF.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Temp\~DFD4A.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Temp\~DFFD67.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Hélène\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{A762BCFA-B210-462D-B1D5-0852CEEFD07E}\RP568\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{23D7A63E-5765-4BFA-82F3-139B50700829}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd3725.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
C:\WINDOWS\system32\mnoackhpry.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_504.dat L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\Logiciels\RIppack\Rippackv3beta161.exe/data/divx5/0/DivXPro502GAINBundle.exe/Gain_Trickler.exe Infecté : not-a-virus:AdWare.Win32.Gator.3202 ignoré
D:\Logiciels\RIppack\Rippackv3beta161.exe/data/divx5/0/DivXPro502GAINBundle.exe Infecté : not-a-virus:AdWare.Win32.Gator.3202 ignoré
D:\Logiciels\RIppack\Rippackv3beta161.exe CAB: infecté - 2 ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{A762BCFA-B210-462D-B1D5-0852CEEFD07E}\RP568\change.log L'objet est verrouillé ignoré
Analyse terminée.
Toujours le même parasite mais comment m'en débarasser?
#6 16-10-2007 18:30:07
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Salut!
Tu as 2 "bestioles".
Commençons par la 2ème:
AdWare.Win32.Gator.3202
Ceci provient apparemment d' un logiciel que tu as installé (Rippack) qui devait être vérolé.
Te rappelles-tu de quelle source il venait?
Dans tous les cas, regarde s' il apparaît dans Ajout/Suppression de programmes.
Si oui, tu désinstalles.
Tu vas ensuite dans D:\Logiciels et tu supprimes l' intégralité du dossier "RIppack".
Par la suite, quand tout ceci sera fini, tu pourras si tu le souhaites le retélécharger de source sûre!!
Pour la 1ère:
C:\WINDOWS\system32\mnoackhpry.exe Infecté : not-a-virus:AdWare.Win32.NaviPromo.gen
Télécharge ceci:
Navilog1
Clic droit > Enregistrer sous > Bureau
Double clique dessus, et installe-le.
À l' issue du téléchargement l' outil va se lancer (si ce n' est pas le cas, double-cliquer sur le raccourci présent sur le bureau).
Suivre les instructions.
Lorsqu' un menu apparaît, sélectionner l' option 1 (et uniquement celle-là).
Laisser faire la recherche, ceci peut prendre un moment.
Patienter jusqu' à l' apparition du message "Analyse Terminée le...".
Appuyer sur une touche comme demandé.
Le bloc-notes va s' ouvrir.
Copier/coller ici l' intégralité du contenu de ce rapport.
Et poste également, à la suite de ce rapport, un rapport HijackThis.
À bientôt.
Dernière modification par Rodolphe (16-10-2007 18:38:48)
Hors ligne
#7 17-10-2007 14:40:25
- Marmotte
- anonyme
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Rapport "Navilog1":
Search Navipromo version 3.2.1 commencé le 17/10/2007 à 14:38:54,51
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
*** Recherche Programmes installes ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans C:\Documents and Settings\H‚lŠne\Application Data ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net
Fichier(s) caché(s) :
C:\WINDOWS\system32\oiimquqrm.dat
C:\WINDOWS\system32\oiimquqrm.exe
C:\WINDOWS\system32\oiimquqrm_nav.dat
C:\WINDOWS\system32\oiimquqrm_navps.dat
Processus caché(s) :
C:\WINDOWS\system32\oiimquqrm.exe
*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!
* Scan C:\WINDOWS\system32 *
Fichiers trouvés :
oiimquqrm.exe trouvé !
* Scan C:\DOCUME~1\HLNE~1\LOCALS~1\APPLIC~1 *
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
*** Recherche cles registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
C:\WINDOWS\system32\oiimquqrm.dat trouvé !
C:\WINDOWS\system32\mnoackhpry.exe trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
*** Analyse Terminé le 17/10/2007 à 14:40:40,51 ***
#8 17-10-2007 14:49:32
- Marmotte
- anonyme
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Avec Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 14:50:47, on 17/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\NA_Service.exe
C:\Program Files\ECBarre\EC-Barre.exe
C:\WINDOWS\system32\NA_XWAY.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\WinAce\WinAce.exe
C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\~AceTemp\hijackthis_199[1]\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ig?sourceid=navclient&hl=fr&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Browser Mouse\moffice.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: ec-barre.lnk = C:\Program Files\ECBarre\EC-Barre.exe
O4 - Global Startup: KiddiesBarre.lnk = C:\Program Files\KiddiesBarre\KiddiesBarre.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/en-US/activex/TmHcmsX.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5392B545-31A5-4724-BEF3-4FED1D56FDAC} (CPlayFirstDinerDash2_frControl Object) - file:///C:/Documents%20and%20Settings/Hélène/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/DinerDash2_fr.1.0.0.70.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://jeuxenligne.orange.fr/GameShell/online/fr/chuzzle/popcaploader_v6.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{134CCB79-4699-4676-B833-D15912ECE6DB}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{134CCB79-4699-4676-B833-D15912ECE6DB}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NetAccess Service (NA_Service) - Schneider Automation - C:\WINDOWS\system32\NA_Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
#9 17-10-2007 14:52:24
- Marmotte
- anonyme
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Pour la bestiole de RIppack j'ai suppriméintégralement le fichier cependant celui-ci n'apparaissait pas dans ma liste de programmes.
Merci pour l'aide, j'attend la suite des directives car pour moi tous ces rapports, c'est du chinois!
#10 17-10-2007 19:16:40
Re: help spyware, Bluestreak, Casino Popupstuff et Tradedoubler
Salut!
Relancer Navilog1, et choisir cette fois l' option 2.
Si l' outil demande un redémarrage, accepter.
Une fois la désinfection effectuée, copier/coller ici le rapport de désinfection.
Concernant HijackThis:
Commence par réenregistrer HijackThis correctement, c' est-à-dire dans un dossier qui lui est réservé, et non pas dans un dossier temporaire comme c' est le cas actuellement.
Donc crée un dossier en racine disque ou dans Program Files, et glisse-y l' exécutable de HijackThis.
(C' est important qu' HijackThis ait un dossier bien à lui, pour lui permettre de créer des sauvegardes)
Ensuite, pour le rapport:
Pour ces lignes:
C:\Program Files\ECBarre\EC-Barre.exe
O4 - Startup: ec-barre.lnk = C:\Program Files\ECBarre\EC-Barre.exe
Ceci se rapport à une barre de surf quelque peu "spéciale"...
Je ne sais pas ce que ça vaut niveau sécurité...
Il vaudrait mieux désinstaller.
Idem pour cette ligne, se rapportant à une autre "barre" du même genre:
O4 - Global Startup: KiddiesBarre.lnk = C:\Program Files\KiddiesBarre\KiddiesBarre.exe
Il vaudrait mieux désinstaller également.
Donc désinstaller de préférence les barres "EC-Barre" et "KiddiesBarre".
Tu peux supprimer ces lignes:
(Pour supprimer une ligne, coche la case devant, et clique sur "Fix Checked")
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
Tu peux aussi virer toutes les lignes O16, à savoir:
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) - http://www.trendsecure.com/framework/control/en-US/activex/TmHcmsX.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/fr/filesharingctrl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5392B545-31A5-4724-BEF3-4FED1D56FDAC} (CPlayFirstDinerDash2_frControl Object) - file:///C:/Documents%20and%20Settings/Hélène/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/DinerDash2_fr.1.0.0.70.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://jeuxenligne.orange.fr/GameShell/online/fr/chuzzle/popcaploader_v6.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
Elles correspondent aux ActiveX autorisés.
Il vaudra mieux les supprimer pour repartir sur une base saine.
Lorsque cela sera nécessaire, tu auras une demande pour autoriser à nouveau un ActiveX, mais attention à ne pas accepter n' importe quoi.
Ensuite, tu peux également désinstaller ta version de Java, puis télécharger et installer la dernière en date.
Ici par exemple: http://www.java.com/fr/
Voila, je crois que ce sera tout! 
N' oublie pas le rapport de désinfection de navilog1, ainsi que tes remarques éventuelles.
Bon courage, et à bientôt! 
Dernière modification par Rodolphe (17-10-2007 19:20:04)
Hors ligne
social bookmark :
- Accueil
- » Adware spyware dialer hijacker keylogger
- » help spyware, Bluestreak, Casino Popupstuff et Tradedoubler