Spyware persistant. - Sécurité - Windows & Software
Marsh Posté le 19-03-2005 à 12:38:13
passe "microsoft antispyware" qui est plus efficace que les autres et un bon antivirus. tu as un "mechant" dans ton log et je sais qu'il est tres difficile a virer.
Marsh Posté le 19-03-2005 à 12:40:49
change ton titre, ne serait ce qu en repsect a ceux qui ont reelement franchi le pas en annoncant leur geste sur internet
Marsh Posté le 19-03-2005 à 12:42:12
je n'ai lu que la fin de ton post, mais deja ca tu peux le virer, ce n est pas normal :
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
Tiens et mediackk aussi c est un spyware :
http://www.bleepingcomputer.com/fo [...] 13393.html
Marsh Posté le 19-03-2005 à 12:48:49
Lut tlm
Effectivement j'avais pas pensé que le titre pourrait en blesser certains, je l'ai changé. désolé.
BigStyle : merci de la réponse, mais je ne sais pas comment faire pour enlever, quand je le FIX il réaparrait au scan suivant. Il faut faire autre chose pour le suprimer ? ( désolé je connais rien a HijackThis ).
Et merci a Mime159, je v esseyer l'anti spyware de microsoft.
Marsh Posté le 19-03-2005 à 13:04:32
essaie de supprimer directement les 3 clés de la base de registre indiqué par hijackthis.
regedit : puis ca se trouve ici :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
et ici : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
Dans l ideal essaie de le faire en mode sans echec ou bien encore d essayer de termier un maximum de processus avant de faire ces modifs.
Marsh Posté le 19-03-2005 à 13:06:09
bigstyle a écrit : essaie de supprimer directement les 3 clés de la base de registre indiqué par hijackthis. |
Il manque un morceau à ces clés.
Marsh Posté le 19-03-2005 à 13:17:44
Il a la fin des morceaux dans son rapport hijack
Citation : O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe |
Marsh Posté le 19-03-2005 à 12:33:49
Salut tlm !
Comme bcp d'entre vous mon ordi est remplis de spyware et autre petites merdes.. Mais bon je m'en foutais un peu tant que ca me rallentissait pas trop l'ordi. Mais la, trop c'est trop.
En bas a droite ( la ou il y a les icones ) j'ai un petit point d'exclamation qui m'indique que j'ai un spyware sur l'ordi, et me redirige automatiquement vers un site ( plutot douteux.. (http://antispy.globolook.com/index.php?qq=spyware&id=30777&said=ad0250) ) ou il y a une liste d'anti-spyware. Perso je n'ose pas trop les utiliser. Mon fond d'écran est aussi tout noir, avec un message ( Qui en clair me demande d'enlever tout les spyware ( mais en anglais ?? ) ).
Evidament j'ai toutes les 30min environs une page du cul qui s'ouvre ( assez génant quand un parent regarde ) et de temps en temps un message d'alert de windows ( en anglais ??? ) qui me dit qu'il faut supprimer les spyware ( avc toujours le lien ).
Bon enfin bref.. j'ai esseyer Ad-aware, Spybot mais il reste encore. Je vous passe mon .log
Logfile of HijackThis v1.99.1
Scan saved at 19:15:00, on 18/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr/
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] ge-c11.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 1087104421
O17 - HKLM\System\CCS\Services\Tcpip\..\{C43EC530-EECB-4560-8A1B-E2C521E2634A}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Config Loader (cfgldr) - Unknown owner - C:\WINDOWS\System32\scvhost.exe" -service (file missing)
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
Je suis pas une star dans ce logiciel mais je pense que le problème c'est:
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
Mais je n'arrive pas a les enlever de la liste ( quand je les FIX ils reviennent immédiatement, Idem au démmarge dans MSCONFIG ).
Donc si vous aviez une solution a mon problème ca me serais vraiment utile. Voila, merci tout le monde pour votre futur aide ( enfin j'éspère )
Message édité par grandissime le 19-03-2005 à 12:42:39