Processus chiant caché - Win NT/2K/XP - Windows & Software
Marsh Posté le 18-01-2005 à 22:48:31
oups je me suis trompé sur le détourage en rouge sur la capture, il s"agit de la ligne d'en dessous
Marsh Posté le 18-01-2005 à 23:14:19
Un scan en ligne et un log hijack à poster ici me parassent indiqués
Marsh Posté le 18-01-2005 à 23:29:16
je viens de lire le tutos sur le hijackThis, c'est génial, en effet un log hijack me semble tout indiqué merci encore sanpellegrino !!!!!!!!!!!!
Marsh Posté le 20-01-2005 à 12:22:09
Je suis désolé sanpellegrinon mais ce n'est pas encore bon, j'ai ces p---- de pub qui s'ouvrent toutes seules sans autorisation de mon vouloir malgrès que j'ai viré 4 entrées méchantes dans hijackThis. Bizarement, mon entrée kalvbgs32.exe n'est pas connu par l'analyseur.
Marsh Posté le 20-01-2005 à 12:23:58
Efface-le, il y a une option dans HJ qui permet d'effacer un fichier au démarrage si tu n'arrives pas à l'effacer manuellement.
Poste aussi ton log ici
Marsh Posté le 22-01-2005 à 12:38:07
hé non désolé toujours rien, je poste monlog
Logfile of HijackThis v1.99.0
Scan saved at 12:38:06, on 22/01/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Documents and Settings\UoomFr\Bureau\hijackthis_199\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvbgs32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [start extracting] spoolvse.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ADSL Autoconnect.lnk = C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir avec GetRight - CPROGRA~1/GETRIGHT/GRbrowse.htm
O8 - Extra context menu item: Télecharger avec GetRight - CPROGRA~1/GETRIGHT/GRdownload.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5811344964
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/bina [...] b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7298C6F-F94C-4A97-82FE-01E5A0AB1565}: NameServer = 213.228.0.23 212.27.32.176
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: ADSLAutoconnect - Unknown - C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Marsh Posté le 22-01-2005 à 12:39:23
en fait je crois que ça n'a rien à voir avec ce prog de kalvbgs32.exe parceque il esiste même pas sur le disque dur.
Marsh Posté le 22-01-2005 à 15:18:22
ça y est g trouvé d'où vient le problème, en fait c'est EliteToolBar qui m'emmerde seulement g lancé CWSSredder, spybot et adaware tous à jour en mode sans echec et pas moyen de le detecter ce truc ni de le virer parceque quand je vire les entrées faisant notion de EliteToolBar dans la base de registre, ils se remettent à chaque démarrage et de même pour le repertoire cwindows/EliteToolBar où il y a une dll qui se remet à chaque redémarrage.
En fait, dans la base de registre se trouve des mots clée qui font office de recherches quand le popup se lance, c'est à dire que les mots clé de pubs était répertorié dans cette sous clés.. bon bref voilà koi .
Es ce que quelqu'un saurait par quel procédé les mecs arrive à faire réinstaller un prog alors que je le supprime sans arrêt. c chiant p-------- !!!!!!!!!!!
Marsh Posté le 22-01-2005 à 15:22:49
Voilà, ce sont les entrées qui se remette à chaque redémarrage
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28CAEFF3-0F18-4036-B504-51D73BD81ABC}\InprocServer32]
@="C:\WINDOWS\EliteToolBar\EliteToolBar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}\InprocServer32]
@="C:\WINDOWS\EliteToolBar\EliteToolBar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CA9FC31A-6F35-4493-B629-E64BD6170A17}\1.0\0\win32]
@="C:\WINDOWS\EliteToolBar\EliteToolBar.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CA9FC31A-6F35-4493-B629-E64BD6170A17}\1.0\HELPDIR]
@="C:\WINDOWS\EliteToolBar\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteToolBar]
[HKEY_LOCAL_MACHINE\SOFTWARE\Elitum\EliteToolBar]
"path"="C:\WINDOWS\EliteToolBar\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{825CF5BD-8862-4430-B771-0C15C5CA8DEF}"="EliteToolBar"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EliteBar Internet Explorer Toolbar]
"UninstallString"="regsvr32 /s /u "C:\WINDOWS\EliteToolBar\EliteToolBar.dll""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\EliteBar Internet Explorer Toolbar]
"DisplayIcon"=""C:\WINDOWS\EliteToolBar\EliteToolBar.dll", 1"
[HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup\EliteToolBar]
[HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup\EliteToolBar]
"path"="C:\WINDOWS\EliteToolBar\"
Marsh Posté le 22-01-2005 à 15:23:56
Est ce que tu as pensé à désactiver la restauration système?
Marsh Posté le 22-01-2005 à 16:15:36
ben en fait quand je reboot en mode sans echec, il me demande si je restaure ou pas, mais je vais le faire quand même ça pourrais être ça oué j'essaye
Marsh Posté le 22-01-2005 à 16:31:31
hééé non
en fait il le detecte le EliteBar mais il n'arrive pas à me le virer sous pretecte qu'il est présent dans la mémoire alors que je reboot en mode sans echec en ayant désactivé la restauration système
Marsh Posté le 22-01-2005 à 16:55:52
ça y est c bon, j'ai réussi à le supprimer en lançant "elitetoolbar remover v 10" que j'ai récupéré sur le net.
Y'a pas moyen de virer les entrées dans la base de registre mais ça m'a définitivement viré le dossier EliteToolBar.
encore merci à tous
Marsh Posté le 18-01-2005 à 22:47:07
Bien le bonsoir tout le monde alors voilà,
j'ai du réinstaller mon windows et en le connectant à internet, j'ai été attaqué de partout. Résultat : j'ai mis 3 heures à sécuriser mon pc seulement voilà, il reste un truc qui commence à me "takiner" sévère.
En effet, il reste un processus "caché" qui ne s'affiche pas dans le gestionnaire de tâches qui s'appelle kalvbgs32.exe . Apparement c'est ce processus qui est responsable de l'ouverture toute les 10 mins d'une publicité sous internet explorer sous forme de POP UP.
J'ai regardé grace à la commande "msconfig" les programmes lancés au démarrage et je lis ce kalvbgs32.exe . Seulement lorsque je le décoche et que je valide, le processus caché va aussitot le remettre l'entrée dans le registre donc je ne peut pas l'enlever koi.
Alors es ce que quelqu'un connais ce processus, es ce que quelqu'un sait comment arrêter un processus caché ou es ce que QUELQU'UN PEUT M'AIDER ???
Merci d'avance..
Ps : une petite chose, dans le nom du processus (kalvbs32.exe)il y a les lettres "vbs32" qui à mon avis font référence à un travail en visual basic avec des scripts donc, m'y connaissant pas trop, y'a t'il moyens de désactiver tout language visual basic sur un système donné ? voili voilou merciiiiiii