Problème EliteBar

Dim72 · Juillet 5, 2005, 11:51

Salut à tous,
Depuis hier, ma page d’accueil d’internet a changé au profit d’un moteur de recherche. Le titre de la page est "about:blank" et ma barre de recherche google a disparu. De nombreuses page de pub s’ouvre aussi très souvent et j ai meme un fichier qui vient s’installer sur mon bureau.
J’ai scanné mon PC avec adware, spybot, Norton et il ne me trouve rien.
Comment faire pour enlever cette mer…

Merci

koala06 · Juillet 5, 2005, 12:02

Salut tu navigues avec IE?

koala06 · Juillet 5, 2005, 12:03

J’ai scanné mon PC avec adware, spybot, Norton et il ne me trouve rien.

Ils sont a jours??

Dim72 · Juillet 5, 2005, 12:05

Oui, je navigue avec IE et les logiciel sont à jour.

koala06 · Juillet 5, 2005, 12:10

Ha ce que j’ai pu lire, c’est une vrai cochonnerie se elitebar…
tu as hijackthis? fait un scan et met le sur le forum

westernunion · Juillet 5, 2005, 1:09

Tu as bien la version 1.4 de Spybot S&D ? parceque les dernières mises à jour concernaient bcp de variantes d’EliteBar (ISTsvc/IstBar…)

Mises à jour 24. June 2005

Dialer

Tango ++ TIBS
Hijacker
++ MoneyGainer ++ xxsware Inc. + ISearchTech.PowerScan + ISearchTech.SideFind (9)
Keylogger
++ Dumaru
Malware
++ Adware.ZioCom.B ++ kz515.com + AzeSearch + ISearchTech.ISTsvc (22) + ClimaxBucks.InternetOptimizer

http://www.safer-networking.org/fr/updatehistory/index.html

Dim72 · Juillet 5, 2005, 2:28

Je posséde effectivement spybot 1.4. Quand je le lance il met que je n’ai aucun malwares alors que Elitebar est bien la.

Log Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 14:25:53, on 5/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sdkba.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
D:\QuickTime 6.1\qttask.exe
C:\WINDOWS\System32\cvdhxjl.exe
C:\WINDOWS\system32\ntjl32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\win32.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=
O2 - BHO: Class - {FFCDF546-F480-31CB-7C6B-5F25BAA47B24} - C:\WINDOWS\system32\msnn.dll
O4 - HKLM\…\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\…\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\…\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\…\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\…\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\…\Run: [POINTER] point32.exe
O4 - HKLM\…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 2\LMonitor.exe
O4 - HKLM\…\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [Poet] C:\WINDOWS\system32\Inf\poet.exe
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\…\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\…\Run: [QuickTime Task] "D:\QuickTime 6.1\qttask.exe" -atboottime
O4 - HKLM\…\Run: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKLM\…\Run: [Microsoftf DDEs ContuDL] Lunm.pif
O4 - HKLM\…\Run: [Microsoftz turn Control] read.pif
O4 - HKLM\…\Run: [Messenger Service] cvdhxjl.exe
O4 - HKLM\…\Run: [ntjl32.exe] C:\WINDOWS\system32\ntjl32.exe
O4 - HKLM\…\Run: [checkrun] C:\windows\system32\eliteiit32.exe
O4 - HKLM\…\RunServices: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKLM\…\RunServices: [Microsoftf DDEs ContuDL] Lunm.pif
O4 - HKLM\…\RunServices: [Microsoftz turn Control] read.pif
O4 - HKLM\…\RunServices: [Messenger Service] cvdhxjl.exe
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [Gadu-Gadu] "K:\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\…\Run: [wupd] C:\WINDOWS\System32\win32.exe
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir avec GetRight - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Télecharger avec GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Télécharger avec FlashGet - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - K:\ICQ\ICQ.exe (file missing)
O9 - Extra ‹ Tools › menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - K:\ICQ\ICQ.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe (file missing)
O9 - Extra ‹ Tools › menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra ‹ Tools › menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD…sharingctrl.cab
O16 - DPF: {527196A4-B1A3-4647-931D-37BA5AF23037} - http://69.50.171.170/traff/1/open.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a…5/Installer.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkba.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Ipod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

westernunion · Juillet 5, 2005, 3:12

je regarde ton log et je te pose l’analyse dans quelques grosses minutes, tu as quand même une infection bien au delà d’EliteToolBar

koala06 · Juillet 5, 2005, 3:29

oui effectivement…mais pour le moemnt je vois poet.exe qui est une verole mais je pense que westernest plus calé que moi
9 - Extra ‹ Tools › menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - K:\ICQ\ICQ.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe (file missing)
O9 - Extra ‹ Tools › menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra ‹ Tools › menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)

tu peux virer aussi

koala06 · Juillet 5, 2005, 3:34

O4 - HKLM\…\Run: [ntjl32.exe] C:\WINDOWS\system32\ntjl32.exe
O4 - HKLM\…\Run: [checkrun] C:\windows\system32\eliteiit32.exe

westernunion · Juillet 5, 2005, 4:02

koala kikou

Dim tu as du boulot :paf:

C:\WINDOWS\System32\cvdhxjl.exe
C:\WINDOWS\system32\ntjl32.exe
C:\WINDOWS\System32\win32.exe<– RATEGA virus ou W32/Israz-A (Sophos)
http://www.liutilities.com/products/wintas…slibrary/win32/
http://www.sophos.fr/virusinfo/analyses/w32israza.html

Ces exes en gras sont à rechercher et supprimer APRES les fix dans le log - donc 1° tu fixes et 2° tu fais la suppression des fichiers infectés

1° dans le log fixer

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135 (en bref! toutes les lignes de ce fichier)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135
res://C:\WINDOWS\system32\knpnx.dll/sp.html#55135

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell= <–s’inscrit telle-quelle? tu n’as rien effacé? (ne fixe pas!!)

O2 - BHO: Class - {FFCDF546-F480-31CB-7C6B-5F25BAA47B24} - C:\WINDOWS\system32\msnn.dll

Les lignes 04/Faire
1) ctrl/alt/supp : clic arrêter sur chaque processus
2) tu repasses sur le log Hijack et tu fixes (coches)

O4 - HKLM\…\Run: [Poet] C:\WINDOWS\system32\Inf\poet.exe<– DOEP.A WORM! (voir sur Bleeping et Sophos)
O4 - HKLM\…\Run: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKLM\…\Run: [Microsoftf DDEs ContuDL] Lunm.pif
O4 - HKLM\…\Run: [Microsoftz turn Control] read.pif
O4 - HKLM\…\Run: [Messenger Service] cvdhxjl.exe
O4 - HKLM\…\Run: [ntjl32.exe] C:\WINDOWS\system32\ntjl32.exe
O4 - HKLM\…\Run: [checkrun] C:\windows\system32\eliteiit32.exe
O4 - HKLM\…\RunServices: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKLM\…\RunServices: [Microsoftf DDEs ContuDL] Lunm.pif
O4 - HKLM\…\RunServices: [Microsoftz turn Control] read.pif
O4 - HKLM\…\RunServices: [Messenger Service] cvdhxjl.exe
O4 - HKCU\…\Run: [wupd] C:\WINDOWS\System32\win32.exe
attention! autant de fix dans le log que de fois le programme se réplique

O16 - DPF: {527196A4-B1A3-4647-931D-37BA5AF23037} - [b]http://69.50.171.170/traff/1/open.exe[/b] <–depuis que les urls sont tronquées, on a du mal à vérifier sans la totalité - si tu connais pas fixe (un fix sur une 016 (activX) n’aura aucune incidence particulière t’inquiète)

La ligne 023/Faire

clic sur Démarrer->exécuter->tape: services.msc
Double-clic : Service: –> [ Remote Procedure Call (RPC) Helper]
mettre sur "Arrêté" et "Désactivé"

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkba.exe

ensuite tu peux fixer dans le log la ligne 023

Pour Hjck.
*ferme TOUS les programmes
*fixe la/les lignes vérolées dans l’hijack (coche chaque case & Fix Checked)
*ferme l’hijack
*reboot ton ordi
*nettoie le cache internet (options internet : supprimer cookies et fichiers temp) vide ta corbeille
*effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT) <– à faire uniquement après les fix + la suppression des exes infectées

2° rechercher et supprimer
Dans : C:\WINDOWS\System32 <–ici
*cvdhxjl.exe
*ntjl32.exe
*win32.exe
*sdkba.exe <–édit/j’avais oublié celui de la ligne 023 :pt1cable:
Profite de lancer une recherche sur les exeS des lignes 04 pour bien t’assûrer que ces fichiers ne sont plus présents

désactive ta restauration système
Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs
affiche les dossiers cachés : important
Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
Clique sur l’onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[!coche!] "Afficher les fichiers et dossiers cachés"
Pour afficher les autres fichiers cachés>>[!décoche!] la case "Masquer les fichiers protégés du système d’exploitation" *
/!\ Refait la manip inverse une fois ta machine désinfectée
passe en mode sans échec : (préférable)
utiliser la touche F8
http://service1.symantec.com/SUPPORT/INTER…020325143456924
recherche et supprime
C:\ou/WINDOWS/ou/SYSTEM32\—> supprime : [].exe
redémarre en mode normal - vide ton cache internet (C:\Documents and Settings\NomUtilisateur\Local Settings\Temporary Internet Files
/ou/options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

6) réactive ta restauration système <– n’oublie pas

1 petit AV online peut s’avérer nécessaire après toutes ces opérations
http://www.virustotal.com/flash/index_en.html (multi AV/online)
http://www.ravantivirus.com (RAV Anti-Virus)
Attention! désactive Norton le temps d’effectuer le scan
Copie/colle le résultat de l’analyse si tu as besoin d’aide

Pour finir/Repose un nouveau log Hijack et bon courage @+

koala06 · Juillet 5, 2005, 4:09

Western :super:

westernunion · Juillet 5, 2005, 4:15

Dim si mes propos te semblaient obscurs n’hésite pas à demander des éclaircissements avant de commencer

Heure de l’édit/pas de nouvelles depuis ton log de 14:28:53 - désolée Dim72, je dois quitter, je repasse ce soir pour une éventuelle réponse

:hello:

Dim72 · Juillet 5, 2005, 6:48

Oui, desoler j’étais partis.
Bon je vien de jeter un oeuil et cela me semble important.
J’imprime tous ca et je testerais demain.
Si il y a le moindre problème je te fait signe.
Encore merci à tous pour tout ces renseignements.

Dim72 · Juillet 6, 2005, 1:52

Salut, j’ai fait tout ce que tu m’a dit mais ma page d’acceuil change toujous.
Voilà un nouveau log Hjk

Logfile of HijackThis v1.99.1
Scan saved at 13:50:26, on 6/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mfcua.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
D:\QuickTime 6.1\qttask.exe
C:\WINDOWS\system32\appwe32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\bcozmyn.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Class - {FC594F98-EDA8-E405-440A-227929E589CE} - C:\WINDOWS\winch32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\…\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\…\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\…\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\…\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\…\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\…\Run: [POINTER] point32.exe
O4 - HKLM\…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 2\LMonitor.exe
O4 - HKLM\…\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\…\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\…\Run: [QuickTime Task] "D:\QuickTime 6.1\qttask.exe" -atboottime
O4 - HKLM\…\Run: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKLM\…\Run: [Microsoftf DDEs ContuDL] Lunm.pif
O4 - HKLM\…\Run: [Microsoftz turn Control] read.pif
O4 - HKLM\…\Run: [Messenger Service] bcozmyn.exe
O4 - HKLM\…\Run: [checkrun] c:\windows\system32\eliteini32.exe
O4 - HKLM\…\Run: [appwe32.exe] C:\WINDOWS\system32\appwe32.exe
O4 - HKLM\…\RunServices: [Messenger Service] bcozmyn.exe
O4 - HKLM\…\RunOnce: [mfcua.exe] C:\WINDOWS\mfcua.exe
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [Gadu-Gadu] "K:\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Ouvrir avec GetRight - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Télecharger avec GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Télécharger avec FlashGet - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - K:\ICQ\ICQ.exe (file missing)
O9 - Extra ‹ Tools › menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - K:\ICQ\ICQ.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe (file missing)
O9 - Extra ‹ Tools › menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra ‹ Tools › menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD…sharingctrl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a…5/Installer.exe
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkba.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Ipod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

westernunion · Juillet 6, 2005, 7:10

re comment ça se fait que tu as Spybot et aucune inscription ici : O2 - BHO ? active la case BHO :" bloquer les pages nuisibles silencieusement" après le scan avec Spybot

désactive ta restauration système
passe en mode sans échec/fait les fix dans le log
passe ton AV en mode sans échec (supprime tt ce qu’il trouve) + Spybot + Ad-aware
reboot en mode normal
recherche et supprime (important! voir manip pour afficher les fichiers) ces fichiers :

C:\WINDOWS\ici <– supprime–>mfcua.exe
C:\WINDOWS\ici <– supprime –>winch32.dll
C:\WINDOWS\system32\<– ici / supprime–>mhysm.dll
C:\WINDOWS\system32\<– ici / supprime–>appwe32.exe
C:\WINDOWS\System32\<– ici / supprime –>bcozmyn.exe
C:\WINDOWS\system32\<– ici / supprime –>sdkba.exe
C:\WINDOWS\system32\<– ici / supprime –>eliteini32.exe

exécute : CWShredder
http://www.intermute.com/products/cwshredder.html
AV online (voir lien sur l’autre post)
vide ton cache internet + ton dossier () prefetch + ta corbeille + remet ta page de démarrage (options internet)
() http://www.laboratoire-microsoft.org/t/1401/
refait un log de contrôle

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {FC594F98-EDA8-E405-440A-227929E589CE} - C:\WINDOWS\winch32.dll

O4 - HKLM\…\Run: [POINTER] point32.exe
O4 - HKLM\…\Run: [Microsoftf DDEs ContrDL] runm.pif
O4 - HKLM\…\Run: [Microsoftf DDEs ContuDL] Lunm.pif
O4 - HKLM\…\Run: [Microsoftz turn Control] read.pif
O4 - HKLM\…\Run: [Messenger Service] bcozmyn.exe
O4 - HKLM\…\Run: [checkrun] c:\windows\system32\eliteini32.exe
O4 - HKLM\…\Run: [appwe32.exe] C:\WINDOWS\system32\appwe32.exe
O4 - HKLM\…\RunServices: [Messenger Service] bcozmyn.exe
O4 - HKLM\…\RunOnce: [mfcua.exe] C:\WINDOWS\mfcua.exe

O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkba.exe (file missing)

Dim72 · Juillet 7, 2005, 1:07

Salut,

Mon problème semble résolu. Un grand merci.
En plus j’ai appris a reconnaitre ce qui n’allait pas avec Hijack. Je suis un peu plus malin maintenant.
Encore merci

A +++

Dim72 · Juillet 7, 2005, 1:37

C’est remoi. Mon probleme persiste.
Mais il a l’air moins grave. Quand je vais sur internet il y a toujour ce fichier" Temp235" qui se telecharge sur mon bureau et qui supprime ma barre google pour l’elitebar.
Voila un log Hijack

Logfile of HijackThis v1.99.1
Scan saved at 13:36:57, on 7/07/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Microsoft Hardware\Keyboard\type32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
D:\QuickTime 6.1\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
F2 - REG:system.ini: Shell=
O4 - HKLM\…\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\…\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\…\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\…\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\…\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\…\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 2\LMonitor.exe
O4 - HKLM\…\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\…\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\…\Run: [QuickTime Task] "D:\QuickTime 6.1\qttask.exe" -atboottime
O4 - HKLM\…\Run: [Messenger Service] lqdcehf.exe
O4 - HKLM\…\Run: [checkrun] c:\windows\system32\eliteunu32.exe
O4 - HKLM\…\RunServices: [Messenger Service] lqdcehf.exe
O4 - HKCU\…\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\…\Run: [Gadu-Gadu] "K:\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Ouvrir avec GetRight - C:\Program Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Télecharger avec GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Télécharger avec FlashGet - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - E:\FlashGet\jc_all.htm
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD…sharingctrl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5b0a…5/Installer.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\Ipod\bin\iPodService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Et voila ce que me dit Ravantivirus:

Scan started at 7/07/2005 13:39:01

Scanning memory…
Scanning boot sectors…
Scanning files…
C:\WINDOWS\ODBCINST.INI->ADS:ieqrvv - TrojanDownloader:Win32/WinShow.AK -> Suspicious
C:\WINDOWS\sessmgr.setup.log->ADS:nwgfwo - TrojanDownloader:Win32/WinShow.AK -> Suspicious
C:\WINDOWS\wiaservc.log->ADS:gdkvpp - TrojanDownloader:Win32/WinShow.AK -> Suspicious
C:\WINDOWS\system32\knpnx.dll - TrojanDownloader:Win32/WinShow.AK -> Suspicious
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GXYFK16F\english_17-21[1].pdf - TrojanDropper:Win32/Agent.HT -> Suspicious
D:\Winrar\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

Scanned

Objects: 23241
Directories: 1888
Archives: 994
Size(Kb): -663446
Infected files: 0

Found

Viruses found: 0
Suspicious files: 6
Disinfected files: 0
Mail files: 34

westernunion · Juillet 8, 2005, 12:24

:hello: désolée, me suis absentée de la journée

y’a pas pire que ces inscriptions de spys dans un log - périodiquement cette p… :grrr: … n de xxxx.dll change de nom et chaque fois c’est la cata pour la virer

R1 -…res://C:\WINDOWS\system32\mhysm.dll/sp.html#55135 :paf:

F2 - REG:system.ini: Shell= <–m’intrigue toujours autant cette inscription suivie de rien d’autre

dans le log
1) ctrl/alt/supp : arrête ces processus
2) tu repasses sur le log et tu fixes
important de respecter la procédure, si on arrête pas les programmes 04 avant les fix, c’est inefficace

O4 - HKLM\…\Run: [Messenger Service] lqdcehf.exe
O4 - HKLM\…\Run: [checkrun] c:\windows\system32\eliteunu32.exe
O4 - HKLM\…\RunServices: [Messenger Service] lqdcehf.exe <–2 fix, normalement en recherche tu devrais le trouver 1 seule fois dans ton ordi

il faut s’assurer que les fichiers ne soient plus présents dans le cas contraire les supprimer bien zûrrr
recherche dans system32 (je pense) les exeS en gras - toujours avec la procédure de suppression des fichiers - toujours pareil : 1) désactiver la restau système - 2) afficher les dossiers cachés - 3)… etc)

Pour RAV Suspicious <– ne veut pas dire infecté (infectious LOL )
C:\WINDOWS\–>ODBCINST.INI <– ça aurait un rapport avec des drivers ODBC (voir Google)
D:\Winrar\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious<– à ignorer c’est un faux-positif

le reste du rapport de RAV, je regarderais mieux demain dans la matinée

Tu pourrais éventuellement scanner avec a² et SpySweeper, ça mettrait encore plus de chance de ton côté pour virer cette zute, autant ratisser large et profiter des multiples base de données virales - 30 jours gratuits d’essai chacun

a² d’Emisoft (anti-trojans à dl pour 30 jours d’essai)
http://www.emsisoft.net/fr/software/download/

SpySweeper/anti-spywares (30 jours d’essai)
http://www.webroot.com/fr/index.php
après la période d’essai de SpySweeper, tu peux continuer à faire des scans gratuits online avec leur Spy Audit (même page), par contre il localise sans désinfecter mais ça aide bien

@+ et accroche-toi :pt1cable:

me revoiloù encore :paf:

à rajouter aux faux-positifs
C:\WINDOWS\sessmgr.setup.log <– Remote Desktop Help Session Manager
http://www.liutilities.com/products/wintas…ibrary/sessmgr/
C:\WINDOWS\wiaservc.log- <– Windows Image Acquisition (WIA)

par contre
C:\WINDOWS\system32\knpnx.dll
knpnx.dll<– inconnu (Google)
recherche/supprime mais ne le supprime pas de la corbeille, attend qq jours pour voir si tu ne constates aucun dysfonctionnement

Win32/WinShow <– en recherche, c’est bien un hijacker ce truc et qui change effectivement la page de démarrage dans IE

Met tout tes outils à jour, refait tout les scans hors connexion (la restau désactivée) et même en mode sans échec c’est le mieux et franchement ne te prive pas des essais de 30 jours de SpySweeper et d’a², les trojans and co, plus on multiplie les outils plus on a de chance de les virer

Un protection aussi contre les activX néfastes, voir SpywareBlaster
http://www.javacoolsoftware.com/spywareblaster.html
Le tuto
http://www.ordi-netfr.org/tutorialspywareblaster.php

Norton (quelle année au fait?) en mode normal ou sans échec, ne trouve rien?

Il te faut 1 firewall quand même, nettoyer c’est bien mais empêcher de se faire recontaminer dès qu’on se connecte c’est mieux