|
|  | | 
|
|
|
| | Alexandre$ Alexandre
30/11 :: 16:30
Anonyme
| | Bonjour,
après un blocage après l'identification sous windows 2000, je m'étais apperçu qu'un processus tournait, et que son nom de me disait rien (sysu.exe). Après un peu de recherche je me suis apperçu que mon ordinateur était pollué par des programmes comme n-case et ddm (d'où sysu.exe). Je les ai viré, j'ai repassé un coup de spybot (je n'avais pas fais la mise à jour). Le problème est que malgré tout ceci, à certain moment une fenêtre de pub en anglais s'ouvrait, alors que j'étais sur un site en Français. Cette fenêtre avait toujours le même titre, c'est à dire "Ad". J'ai regardé dans mon historique internet, et j'ai vu que la fenêtre pointait vers adserver.com
Je me suis donc arrangé pour effacer de ma base de registre tout ce qui était en rapport avec ddm, n-case, et pour ce cas adserver (qui était bien présent dans la bdr). Mais rien n'y a fait, cette satanée popup est toujours revenue.
J'ai vu bon nombre de messages sur votre forum, et j'ai finis par télécharger hijackthis.
Voici le résumé de log :
Logfile of HijackThis v1.97.7
Scan saved at 16:59:56, on 30/11/2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\MSN Messenger\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\System32\93879336.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C 7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\MSN Messenger\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\MSN Messenger\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: partage.bat
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37941.2816666667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8FCCD27-7710-4C39-BEA0-20929E14155F}: NameServer = 193.252.19.3,193.252.19.4
Dans le log on peut voir 93879336.exe, et je pense que c'est le résultat d'une des mises à jour de win 2000 (il y avait des mises à jour avec des noms comme ça, et comme je les ai toutes réalisées ...).
Pour info partage.bat est un fichier que j'ai créé, donc ce ne peut être lui la cause de mes problèmes.
Enfin voilà, voilà, j'en suis à un point où je perd confiance en mon ordi. J'ai beau être dans l'informatique, je ne connais malheureusement pas tout et ça c'est du nouveau pour moi ... Je pense quand même que je finirais par formater, même si c'est pas forcément la meilleure solution. Mais toute réponse pourra être utile à des gens dans le même cas que moi, ou encore m'être utilise si ça se reproduit. (c'est la seconde fois en 3 semaines que ça m'arrive)
Merci d'avance pour votre aide,
Alexandre. | |
| habana$ habana
30/11 :: 17:40
Admin
| | Peux-tu faire une copie d'écran de cette fenêtre ?
La cause peut être le service d'affichage de messages (à désactiver dans les services) ou autre chose non détecté par HiTh. | |
| Alex$2003333 Alex
30/11 :: 18:09
Membre inscrit
| | J'ai fais une copie d'écran de la fenêtre, mais je ne sais comment l'intégrer dans ce message ... Sinon la fenêtre est juste une fenêtre ie, sans barre d'adresse, ni barre de navigation, ni menu. Tout ce que l'on peut faire est soit agrandir, réduire, ou fermer. A l'intérieur se trouve le plus souvent une image, mais je suis déjà tombé sur une page me parlant de ma config.
En ce qui concerne le service de message, je l'ai coupé après avoir réinstallé le système.
Pour information, la première fois que j'ai vu cette page c'était après avoir ouvert un fichier html en local, mais rien dans le code ne montre de popup. Mais je sais que tout à commencé hier soir avec n-case et ddm ...
Pourrais tu me dire ce que signifie :
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
Merci pour ton aide. | |
| habana$ habana
30/11 :: 18:32
Admin
| | Ce serait pas une icône nvidia en barre des tâches ?
démarre en mode sans échec et va jeter un oeil aux processus essentiels lancés avec ce mode, ensuite en redémarrant normalement , filtre tous ceux non indispensables en les supprimant avec HiTh (sauf ceux connus :epson, nv, ghost, ...etc) sans virer la sauvegarde. | |
| Alexandre$ Alexandre
01/12 :: 19:59
Anonyme
| | Bonsoir,
je n'ai pas encore fais la manip en mode sans echec mais je ne tarderais pas à le faire.
Je pense que tu as raison pour NvMediaCenter, dans la barre j'ai bien un icone nvidia qui s'ouvre à chaque redemarrage.
Sinon en regardant mes applications en toile de fond, j'ai vu qu'un drôle de fichier était lancé : 18536013.exe
Jusqu'ici j'avais pensé que c'était les mises à jours de windows 2000, mais je commence à douter. Faut dire que je les ai toutes faites et comme certains fichiers avaient des noms approximatifs ... Avec tout ça, j'ai fais une recherche sur le disque dur, et le fichier était dans mon répertoire winnt/system32
Ce qu'il y a de bisard c'est que l'icone ressemblait à ceux lorsque l'on crait une application sous visual basic. Ca m'a encore donné moins confiance en ce fichier ...
Autre chose assez troublante, toujours pour ce fichier, il ne fait que 36ko, et pour un correctif hum hum. Toujours moins confiance. Quitte à rendre le système instable, je pense que je vais virer le fichier, dans tous les cas, je vais me refaire une installe le week end prochain, en espérant échapper à tout ces pourriware  .
En tout cas merci à toi  | |
| Alexandre$ Alexandre
01/12 :: 20:08
Anonyme
| | bon alors là j'ai encore moins confiance. Je suis allé faire un tour dans le répertoire system32. Je vois 3 applications au nom douteux appellé respectivement :
18536013.exe
23214358.exe
40034121.exe
J'ai regardé dans les propriétés, dans la version et pour les 3 :
Nom de société : x
Nom d'origine du fichier : winpup.exe
Nom du produit : pup
Nom interne : winpup
J'ai fais une recherche, et c'est un mouchard ...
Je vais virer les 3 fichiers à coup ..... 
En tout cas merci,
Alexandre.
PS: Pour la perte de mot de passe on fait comment
| |
| unmonde ss pitie$ unmonde ss pitie
05/01 :: 14:59
Anonyme
| | Pour la réponse à la question du début sous W NT cela marche très bien
http://www.vulgarisation-informatique.com/ forum.php?rubrique=2&cat=109 | |
Forum en lecture seule
|
|
