probleme de spywares

[fondevilla williams]

Apres avoir mis MSN+ dans MSN, 2 mois apres, des icones de pub se sont rajouter sur l'ecran, la bar SEARCH est venu, l'ecran de demarage a ete remplacer celle SEARCH et on ne peu la remplacer, puis tout les liens en favoris tries ont ete mis en orde alphabetique.

Ad-ware, Spybot - Search & Destroy, avast! Antivirus, a-squared StartCenter tous mis a jours non pu rien faire.

Comment peut ont enlever se ou ses spywares sans enlever MSN+ et faire qu'ils ne reviennent plus comme c'est la 2eme fois qu'il viennent en 6 mois ?

merci

Williams
-----

[yoda1234]

bonjour
Peut etre une solution?
Sinon voici le site complet.
Tiens nous au courant

[fondevilla williams]

JE CONSEIL A TOUT LE MONDE DE NE PAS Y ALLER ET DE RIEN FAIRE CAR IL Y A UN VIRUS !!!

Williams

[yoda1234]

JE CONSEIL A TOUT LE MONDE DE NE PAS Y ALLER ET DE RIEN FAIRE CAR IL Y A UN VIRUS !!!

Williams

bonjour
peut tu argumenter?
personellement je n'ai aucune alerte de mon AV.

[A voir en vidéo sur Futura]

[fondevilla williams]

Apres avoir telecharger et enregistre le fichier en cliquant sur solution j'ai demander a l'antivirus de verifier le fichier zipper avant de le dezziper. Et la il ma signaler un virus et donc m'a conseiller de l'effacer.

Donc je te conseille d'en faire autant et de relancer l'antivirus mis a jours en cas.

Et quand j'ai voulu aller sur le site complet, 1 minute apres il y avait toujour rien a l'ecran. Donc est ce un virus ou bien un probleme du site et donc a la fin il y aurait eu rien ???

Williams

[yoda1234]

Bonjour
j'ai avertis un moderateur(JPL)par MP et je vais verifier de ce pas ce que tu affirmes.
Merci de bien vouloir m'excuser pour ces desagrements s'ils sont averés.

[yoda1234]

bonjour
j'ai installer sans aucun problèmes le fichier:aucune alerte.

[JPL]

@fondvilla : peux-tu dire quel est ton antivirus et quel est le message qu'il affirche ?

[fondevilla williams]

ceci ne viendrait il pas du fait que ton antivirus ne connais pas le virus que mon antivirus a trouver.

Si non cela serait etonnant qu'il dit qu'il y a un virus.

Quel antivirus as tu, moi j'ai avast ?

williams

[fondevilla williams]

Apres l'avoir refait il me dit exactement :

UN VIRUS A ETE TROUVE !
Nom de virus : Win32:Trojan-gen. {Other}
Fichier : D:\Nouveau dossier (4)\new_uninstall.zip\new_unin stall.exe
Version VPS : 0528-5, 15/07/2005

Williams

[JPL]

J'ai l'impression qu'onse trouve en face d'une fausse détection de type générique. En fait ton antivirus n'a identifié aucun virus mais a détecté que le programme fait une opération bizarre (ce qui n'a rien d'étonnant vu qu'il faut se débarasser d'un truc profondément incrusté dans le système), il affiche donc une alerte. Pour le moment on est à 2 contre 1 en ce qui concerne les antivirus sur ce fichier.

[inviteb276d5b4]

Bonsoir

Je viens de tester aussi avec Viguard, ce n'est pas un virus.

[yoda1234]

bonjour
scan AV avec virus-total,ton fichier est scanné par pas moins de 20 av.Et aussi avec KASPERSKY.Pour ce dernier lien il faut donner une adresse mail valide,mais rien ne t'empeche d'utiliser jetable.org

[JPL]

Oup, Viguard... on pourrait faire tout un fil dessus, mais dès qu'on aborderait les vraies questions on serait menacé d'un procès en diffamation ou autre chose de ce genre.
Curieusement Tegam a déposé son bilan le mois dernier mais on lit sur http://www.vnunet.fr/actualite/secur...ns/20050616003

Le récent dépôt de bilan de Tegam International le mois dernier (voir édition du 20 mai 2005) ne compromet pas la poursuite des développements de Viguard. Développée par la société SoftED, qui concédait une licence d'exploitation à Tegam, l'application de sécurité antivirale passe intégralement dans les mains de son distributeur Dodata. Et celui-ci compte bien élargir la cible des clients à travers une nouvelle orientation commerciale.

Où l'on découvre que Viguard ne serait pas un produit de Tegam, mais un produit dont on lui a concédé l'exploitation ! Décidément rien n'est clair au sujet de ce produit à la philosophie bizarre.

[fondevilla williams]

Ce programme enleve la barre de SEARCH d'apres le site mais pas ce qui a de plus en embetant soit l'ecran de demarage a ete remplacer celle SEARCH et on ne peu la remplacer, puis tout les liens en favoris tries ont ete mis en orde alphabetique, des pub viennent alors qu'avant il en venait pas...

Apres avoir clique avec le droit a droite de la barre et et avoir clique sur help et un mot commencant par und..., hiers et avant hier elle parte toute la journee et aujourd'hui n'est pas revenu.

Peut etre avez vous une idee sur ces problemes plus genant ?

Williams

[inviteb276d5b4]

bonjour

C'est vrai que sur Viguard, on pourrait dire beaucoup de choses, mais tout au conditionnel...
Notamment sur signatures, pas signatures... mais bon, pas de virus depuis 3 ans avec lui; alors je fais la politique de l'autruche.

[JPL]

Ce programme enleve la barre de SEARCH d'apres le site mais pas ce qui a de plus en embetant soit l'ecran de demarage a ete remplacer celle SEARCH et on ne peu la remplacer

Télécharge Hijackthis
http://www.merijn.org/files/hijackthis.zip
et poste ici le résultat de l'analyse qu'il fera. Je pense que quelqu'un pourra te conseiller sur les corrections à apporter.

[inviteb276d5b4]

bonjour

Faire une évaluation du rapport d'"HijackThis" directement en ligne !

http://www.hijackthis.de/index.php

Ne collez dans la fenêtre de recherche, que les lignes après C:\ (R1,R2, 01 etc etc...) et cliquez ensuite sur "Evaluer" !

Si vous avez sauvegardez votre raport Hijack sur votre DD, cliquez sur "Parcourir" et donnez le chemin d'accés de votre *.log !

[yoda1234]

bonjour

Faire une évaluation du rapport d'"HijackThis" directement en ligne !

http://www.hijackthis.de/index.php

Ne collez dans la fenêtre de recherche, que les lignes après C:\ (R1,R2, 01 etc etc...) et cliquez ensuite sur "Evaluer" !

Si vous avez sauvegardez votre raport Hijack sur votre DD, cliquez sur "Parcourir" et donnez le chemin d'accés de votre *.log !

bonjour
attention ce prog ne donne qu'une indication et ne peut en aucun cas remplacer une analyse humaine

[JPL]

De plus ce site allemand est donné comme non fiable par je ne sais plus qui (désolé, pas le temps de rechercher).

[fondevilla williams]

Voici ce qu'il me dit :

Logfile of HijackThis v1.99.1
Scan saved at 13:48:14, on 16/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\system32\spoolsv.ex e
D:\antivirus-avast\aswUpdSv.exe
D:\antivirus-avast\ashServ.exe
C:\WINDOWS\system32\DRIVERS\CD ANTSRV.EXE
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe
C:\Program Files\Mediametrie\PanelTelecom \PanelTelecom.exe
D:\MSN-PLUS\MsgPlus.exe
D:\antivirus-avast\ashMaiSv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\livecom\Livecom\APPLIC~1\Ex e\Livecom.exe
C:\WINDOWS\System32\ALERTM~1\A LERTM~1.EXE
D:\livecom\Livecom\Toaster\Toa ster.exe
D:\livecom\Livecom\APPLIC~1\eC onfv4\ftplayer.exe
C:\Program Files\Messenger\msmsgs.exe
c:\progra~1\intern~1\iexplore. exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Nouveau dossier (4)\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Intern et Explorer\Main,Search Bar = http://www.mhktrgouaqsgqokilwtyktq.n...X6mM9sbvIC.php
R0 - HKCU\Software\Microsoft\Intern et Explorer\Main,Start Page = http://rviuvjemonmmysdzpj.com/1zyNkh...oRZPO5KqQ.html
R1 - HKCU\Software\Microsoft\Intern et Explorer\SearchURL,(Default) = about:blank
R1 - HKLM\Software\Microsoft\Intern et Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Intern et Explorer\Toolbar,LinksFolderNa me = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.D LL (file missing)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelp er.ocx
O2 - BHO: (no name) - {41051CCB-7508-BDBD-D4F8-3344CD45416E} - C:\DOCUME~1\william\APPLIC~1\E qPlan\Grid Drive.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\SPYBOT~1\SDHelper.dl l
O2 - BHO: (no name) - {838ABE1C-552F-1F97-4B6F-39A9A2CC4178} - (no file)
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsch ed.exe" -osboot
O4 - HKLM\..\Run: [PanelTelecom] C:\Program Files\Mediametrie\PanelTelecom \PanelTelecom.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\MSN-PLUS\MsgPlus.exe"
O4 - HKLM\..\Run: [find mfcd jugs cool] C:\Documents and Settings\All Users\Application Data\planbatfindmfcd\bows rule.exe
O4 - HKCU\..\Run: [onempeg] C:\DOCUME~1\william\APPLIC~1\B OLDSE~1\Multi Copy Rule.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Livecom] "D:\livecom\Livecom\APPLIC~1\E xe\..\..\Launcher\Exe\SilentLa uncher.exe"
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\INCRED~1\bin\resou rces\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\ EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2001 Pro\Copernic.exe
O9 - Extra 'Tools' menuitem: Lancer Copernic 2001 - {2A465934-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2001 Pro\Copernic.exe
O9 - Extra button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - C:\Program Files\Copernic 2001 Pro\Copernic.exe
O9 - Extra button: Traduire - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2001 Pro\Translate.htm
O9 - Extra 'Tools' menuitem: &Traduire avec Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - file://C:\Program Files\Copernic 2001 Pro\Translate.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dl l
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dl l
O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: Interface Chat Wanadoo Interview - http://int-chat1.voila.fr/version3/A...wchatsigni.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadCont rol Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Compagnon) - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip \..\{0291DB08-AA2E-4D7D-9947-642D2E476C99}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CCS\Services\Tcpip \..\{C10E4638-EA75-4C92-97DE-F351603F5FBE}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip \..\{0291DB08-AA2E-4D7D-9947-642D2E476C99}: NameServer = 193.252.19.3,193.252.19.4
O17 - HKLM\System\CS2\Services\Tcpip \..\{0291DB08-AA2E-4D7D-9947-642D2E476C99}: NameServer = 193.252.19.3,193.252.19.4
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\antivirus-avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\antivirus-avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\antivirus-avast\ashMaiSv.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CD ANTSRV.EXE
O23 - Service: License Management Service ESD - element5 - C:\Program Files\Fichiers communs\element5 Shared\Service\Licence Manager ESD.exe

Les R1 et R0 doivent etre parmis ce que que je vous parle, mais il y en a peut etre d'autre. Par exemple je ne sais pas pourquoi le son de l'ordi s'arrete dans le journee sans que je face quoi que soit et pour qu'il revient il faut rallumer l'ordi ??

Si non lesquelle sont ils sur de selectionner et que faut il faire apres car vu les 6 bouton d'en bas je n'ai pas d'idees ?

Merci

Williams

[fondevilla williams]

A bon !

Apres avoir regarder dans http://www.01net.com/telecharger/win...hes/29061.html on dirait qu'il y a un logiciel tout comme le fichier que tu as dit et que j'ai telecharger comme ton message n'etait pas arrive.

Donc pense tu que c'est bon ?

Williams

[inviteb276d5b4]

Tutorial d'interprétation des listes d'HijackThis

Et effectivement l'interpretation en ligne du site allemand est trés moyenne... Merci JPL

[yoda1234]

bonjour
Tout d'abord je ne suis pas un specialiste de l'analyse,mais a mon avis tu devrais,avant l'analyse:
vider le cache IE pour ceci dans IE outils->options->onglet general cliquer sur "supprimer les fichiers".vider l'historique.
Passer ton av regle au max
Passer spybot
passer ad aware.
Bien sur après avoir verifié que ces 3 logiciels sont bien a jour.
Et avant de lancer l'analyse fermer toutes les applications en cours y compris et surtout IE

[invite8684ff2b]

Bonjour,

Juste pour dire que normalement si on a par mégarde installé le sponsor de msg+, en allant dans ajout supression de programmes et en cliquant sur modifier/supprimer pour msg+, il nous propose soit d'enlever le sponsor, soit de désintaller le tout. J'ai essayer sur l'ordinateur d'un ami (un peu boulet ... ), et ça semble avoir bien marché. Voilà @ +