Babey.exe

Babey.exe - Sécurité - Windows & Software

Marsh Posté le 24-10-2004 à 11:44:40    

Bonjour
Des popups de partout, le ctrl atl suppr qui ne s'ouvre plus, Kaspersky qui  

Citation :

situation dangeruse!
Le procés "" tente d'arrêter Kaspersky AV Mnitor


Et qui finallement ce ferme tt seul
 
Et un petit .exe babey.exe qui ce recrée à chaque démarrage...
 
Adware qui trouve rien...
Sa vous dit queques chose ?


---------------
Créer son forum gratuit |  Mon beau blog phpBB caÿ le mal :o
Reply

Marsh Posté le 24-10-2004 à 11:44:40   

Reply

Marsh Posté le 24-10-2004 à 12:15:31    

Up


---------------
Créer son forum gratuit |  Mon beau blog phpBB caÿ le mal :o
Reply

Marsh Posté le 24-10-2004 à 12:16:41    

OS ?
 
ton pc est patché ?
 
tu as essayé un des nombreux antivirus en ligne ?


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 24-10-2004 à 12:22:58    

win XP, patché : yes, norton aussi est out...


---------------
Créer son forum gratuit |  Mon beau blog phpBB caÿ le mal :o
Reply

Marsh Posté le 24-10-2004 à 12:31:07    

SP1 ? SP2 ?
 
je parle d'antivirus en ligne pas d'antivirus que tu install sur ton pc ;)
 


---------------
Cherche geekette | Traquez vos billets d'€ | Don du sang | Don de moelle osseuse
Reply

Marsh Posté le 24-10-2004 à 13:34:58    

Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 

Reply

Marsh Posté le 29-10-2004 à 09:16:37    

Voici le contenu du log :
Logfile of HijackThis v1.98.2
Scan saved at 19:42:57, on 27/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\System32\atievxx.exe
C:\PROGRA~1\Navnt\defwatch.exe
C:\WINXP\Explorer.EXE
C:\WINXP\System32\wssdsfgsd.exe
C:\WINXP\System32\vlblhe.exe
C:\windows\sdll.exe
C:\Program Files\Winad Client\Winad.exe
C:\documents and settings\julie\local settings\temp\dMpugt.exe
C:\WINXP\System32\yyqewn.exe
C:\WINXP\System32\Windows-Update.exe
C:\WINXP\System32\ctfmon.exe
C:\Program Files\Microsoft Money\System\Money Express.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Documents and Settings\Yann\Application Data\sumt.exe
C:\WINXP\System32\WScript.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Program Files\HijackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O4 - HKLM\..\Run: [LOLss] wssdsfgsd.exe
O4 - HKLM\..\Run: [WindowsRegKey update] Windowsup.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] vlblhe.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\windows\sdll.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [dMpugt] C:\documents and settings\julie\local settings\temp\dMpugt.exe
O4 - HKLM\..\Run: [frmihtap] C:\WINXP\System32\yyqewn.exe
O4 - HKLM\..\Run: [conscorr] C:\WINXP\conscorr.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [naj] C:\WINDOWS\naj.exe
O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\RunServices: [LOLss] wssdsfgsd.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] Windowsup.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] vlblhe.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] vlblhe.exe
O4 - HKCU\..\Run: [WindowsRegKey update] Windowsup.exe
O4 - HKCU\..\Run: [LOLss] wssdsfgsd.exe
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Eoia] C:\Documents and Settings\Yann\Application Data\sumt.exe
O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe
O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe
O4 - Global Startup: Search.vbs
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] 8f2d5cc2ea
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 4513068785
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab
 
 
Merci de votre aide

Reply

Marsh Posté le 29-10-2004 à 10:30:11    

yannosh
 
Imprime ceci:
 
O4 - HKLM\..\Run: [LOLss] wssdsfgsd.exe  
O4 - HKLM\..\Run: [WindowsRegKey update] Windowsup.exe  
O4 - HKLM\..\Run: [Microsoft Java Windows Update] vlblhe.exe  
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe  
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\windows\sdll.exe  
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe  
O4 - HKLM\..\Run: [dMpugt] C:\documents and settings\julie\local settings\temp\dMpugt.exe  
O4 - HKLM\..\Run: [frmihtap] C:\WINXP\System32\yyqewn.exe  
O4 - HKLM\..\Run: [conscorr] C:\WINXP\conscorr.exe  
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"  
O4 - HKLM\..\Run: [naj] C:\WINDOWS\naj.exe  
O4 - HKLM\..\Run: [Windows 32 Update] Windows-Update.exe  
O4 - HKLM\..\RunServices: [LOLss] wssdsfgsd.exe  
O4 - HKLM\..\RunServices: [WindowsRegKey update] Windowsup.exe  
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] vlblhe.exe  
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe  
O4 - HKLM\..\RunServices: [Windows 32 Update] Windows-Update.exe  
O4 - HKCU\..\Run: [Microsoft Java Windows Update] vlblhe.exe  
O4 - HKCU\..\Run: [WindowsRegKey update] Windowsup.exe  
O4 - HKCU\..\Run: [LOLss] wssdsfgsd.exe  
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe  
O4 - HKCU\..\Run: [Eoia] C:\Documents and Settings\Yann\Application Data\sumt.exe  
O4 - HKCU\..\Run: [Windows 32 Update] Windows-Update.exe  
O4 - HKCU\..\RunServices: [Windows 32 Update] Windows-Update.exe  
O4 - Global Startup: Search.vbs  
 
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm  
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_ [...] bbd1dd2927
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab  
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildAppNonUS.cab  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
 
C:\WINXP\System32\wssdsfgsd.exe
C:\WINXP\System32\vlblhe.exe
C:\windows\sdll.exe
C:\Program Files\Winad Client <-le dossier
C:\documents and settings\julie\local settings\temp<-ne le supprime pas, mais supprime tous les fichiers qu'il contient.
C:\WINXP\System32\yyqewn.exe
C:\WINXP\System32\Windows-Update.exe
C:\Documents and Settings\Yann\Application Data\sumt.exe
C:\Program Files\AutoUpdate<-le dossier
 
Puis avec "Rechercher", vois si les autres sont présents (ceux des lignes O4 ci-dessus): ati2vid.exe , Windowsup.exe etc...
Si oui -> supprimer
 
Vide la corbeille.
 
-------------
 
Redémarre en mode normal.
 
Fais cette analyse antivirus en ligne:
http://www.pandasoftware.com/activescan/
 
S'il ne supprime pas certains fichiers, copie/colle son rapport final ici.
 
----------------
 
Equipe-toi d'un antivirus:
http://www.grisoft.com/us/us_dwnl_free.php
 
Télécharger, installer et mettre à jour.
-----------------
 
Poste un nouvel HijackThis après tout ça.


Message édité par acrobaze le 29-10-2004 à 10:34:10
Reply

Marsh Posté le 13-02-2005 à 17:55:46    

Salut Acrobaze,
 
Merci beaucoup pour tes conseils. Le résultat est spectaculaire.
 
Par contre, je ne pouvais plus installer d'antivirus (il ne trouvait plus "c:\winxp\system32\autoexec.nt" ). J'avais un peu laissé tomber, mais maintenant, j'ai résolu le problème.
 
Par contre, avant tes conseils, j'avais essayé de répare en réinstallant XP home. L'installation a été innterrompue mais il a crée une ligne au démarrage. Il me met ce dernier OS inachevé comme démarrage pa défaut. Sais-tu comment paramétrer les OS au démarrage ?
 
Voici mon HijackThis (si tu as 2 mn) :
 
Logfile of HijackThis v1.98.2
Scan saved at 17:16:56, on 13/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\System32\atievxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Navnt\defwatch.exe
C:\WINXP\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINXP\System32\ctfmon.exe
C:\Program Files\Microsoft Money\System\Money Express.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINXP\system32\ntvdm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINXP\EliteToolBar\EliteToolBar version 53.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINXP\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] vlblhe.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MsnExplorer] C:\WINXP\msexploren.exe /i
O4 - HKLM\..\Run: [clfmon] C:\WINXP\clfmon.exe
O4 - HKLM\..\Run: [nvsvca32] C:\WINXP\nvsvca32.exe
O4 - HKLM\..\Run: [RuBkrclfmon.exe] C:\WINXP\RuBkrclfmon.exe
O4 - HKLM\..\Run: [OUIagclfmon.exe] C:\WINXP\OUIagclfmon.exe
O4 - HKLM\..\Run: [gamqeclfmon.exe] C:\WINXP\gamqeclfmon.exe
O4 - HKLM\..\Run: [FfcrZclfmon.exe] C:\WINXP\FfcrZclfmon.exe
O4 - HKLM\..\Run: [cKGftclfmon.exe] C:\WINXP\cKGftclfmon.exe
O4 - HKLM\..\Run: [oVAGhnvsvca32.exe] C:\WINXP\oVAGhnvsvca32.exe
O4 - HKLM\..\Run: [raTSJnvsvca32.exe] C:\WINXP\raTSJnvsvca32.exe
O4 - HKLM\..\Run: [eTScgclfmon.exe] C:\WINXP\eTScgclfmon.exe
O4 - HKLM\..\Run: [AwdEinvsvca32.exe] C:\WINXP\AwdEinvsvca32.exe
O4 - HKLM\..\Run: [WwexLnvsvca32.exe] C:\WINXP\WwexLnvsvca32.exe
O4 - HKLM\..\Run: [fqaPRclfmon.exe] C:\WINXP\fqaPRclfmon.exe
O4 - HKLM\..\Run: [QJHyeclfmon.exe] C:\WINXP\QJHyeclfmon.exe
O4 - HKLM\..\Run: [adVFAnvsvca32.exe] C:\WINXP\adVFAnvsvca32.exe
O4 - HKLM\..\Run: [UMWSUclfmon.exe] C:\WINXP\UMWSUclfmon.exe
O4 - HKLM\..\Run: [BDuHpnvsvca32.exe] C:\WINXP\BDuHpnvsvca32.exe
O4 - HKLM\..\Run: [FrQQsclfmon.exe] C:\WINXP\FrQQsclfmon.exe
O4 - HKLM\..\Run: [mrGCgclfmon.exe] C:\WINXP\mrGCgclfmon.exe
O4 - HKLM\..\Run: [PibgPnvsvca32.exe] C:\WINXP\PibgPnvsvca32.exe
O4 - HKLM\..\Run: [vWuhEclfmon.exe] C:\WINXP\vWuhEclfmon.exe
O4 - HKLM\..\Run: [AObqLnvsvca32.exe] C:\WINXP\AObqLnvsvca32.exe
O4 - HKLM\..\Run: [hVXVnclfmon.exe] C:\WINXP\hVXVnclfmon.exe
O4 - HKLM\..\Run: [HMMaAclfmon.exe] C:\WINXP\HMMaAclfmon.exe
O4 - HKLM\..\Run: [PBQXVclfmon.exe] C:\WINXP\PBQXVclfmon.exe
O4 - HKLM\..\Run: [xaCUunvsvca32.exe] C:\WINXP\xaCUunvsvca32.exe
O4 - HKLM\..\Run: [acCbInvsvca32.exe] C:\WINXP\acCbInvsvca32.exe
O4 - HKLM\..\Run: [cLIfcnvsvca32.exe] C:\WINXP\cLIfcnvsvca32.exe
O4 - HKLM\..\Run: [BRALrnvsvca32.exe] C:\WINXP\BRALrnvsvca32.exe
O4 - HKLM\..\Run: [TCGNAclfmon.exe] C:\WINXP\TCGNAclfmon.exe
O4 - HKLM\..\Run: [HEfVsclfmon.exe] C:\WINXP\HEfVsclfmon.exe
O4 - HKLM\..\Run: [tpIGNnvsvca32.exe] C:\WINXP\tpIGNnvsvca32.exe
O4 - HKLM\..\Run: [RRNMjclfmon.exe] C:\WINXP\RRNMjclfmon.exe
O4 - HKLM\..\Run: [SsdUHnvsvca32.exe] C:\WINXP\SsdUHnvsvca32.exe
O4 - HKLM\..\Run: [KcRSEnvsvca32.exe] C:\WINXP\KcRSEnvsvca32.exe
O4 - HKLM\..\Run: [HFmbFclfmon.exe] C:\WINXP\HFmbFclfmon.exe
O4 - HKLM\..\Run: [vwcDanvsvca32.exe] C:\WINXP\vwcDanvsvca32.exe
O4 - HKLM\..\Run: [bjnYbnvsvca32.exe] C:\WINXP\bjnYbnvsvca32.exe
O4 - HKLM\..\Run: [bSLoeclfmon.exe] C:\WINXP\bSLoeclfmon.exe
O4 - HKLM\..\Run: [LelXknvsvca32.exe] C:\WINXP\LelXknvsvca32.exe
O4 - HKLM\..\Run: [wcgURclfmon.exe] C:\WINXP\wcgURclfmon.exe
O4 - HKLM\..\Run: [BRIjXclfmon.exe] C:\WINXP\BRIjXclfmon.exe
O4 - HKLM\..\Run: [CPDsXnvsvca32.exe] C:\WINXP\CPDsXnvsvca32.exe
O4 - HKLM\..\Run: [LhxWnclfmon.exe] C:\WINXP\LhxWnclfmon.exe
O4 - HKLM\..\Run: [TcEUJclfmon.exe] C:\WINXP\TcEUJclfmon.exe
O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Documents and Settings\Yann\figgaz.exe
O4 - HKLM\..\Run: [antiware] C:\winxp\system32\elitetpr32.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] vlblhe.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Microsoft Update] Svhost.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -  
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -  
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -  
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} -  
O17 - HKLM\System\CCS\Services\Tcpip\..\{1480163F-4826-4D24-8953-9D87DECEB30E}: NameServer = 217.19.192.132 217.19.192.131
O17 - HKLM\System\CS3\Services\Tcpip\..\{1480163F-4826-4D24-8953-9D87DECEB30E}: NameServer = 217.19.192.132 217.19.192.131
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed