ADSL-BC

[Waaaa]

Bon voilà ma copine a Windows Xp je sais pas ce qu'il se passe sur le sien mais soit, à chaque fois quelle est sur le net y a un message, service d'affichage qui vient en permanence l'insitant à aller sur des sites pr enlever ces messages justement pour dire de stopper ces spywares. Je suppose que ça en sont des spywares. Mais avec Spybot et Adaware rien y fait il supprime certes des spywares qui ne dérrange pas mais les messages s'affichent à chaque fois kk'un pourrait me conseiller un programme ou une solution pr les effacer. Merci.

[clear.be]

C'est pas des messages net send ??

Elle a un firewall ta copine ?

[celui_qui]

En effet, je pense que un firewall pourrait arranger ton problème...

[BlCa`]

désactive le service d'affichage de message. Il n'y a rien à nettoyer après puisque c'est une fonction de windows qui est exploitée pour ça.

[RippeR]

désactive le service d'affichage de message. Il n'y a rien à nettoyer après puisque c'est une fonction de windows qui est exploitée pour ça.

Hello,

Ça supprimera l'effet mais pas la cause

Plus de message mais le poste reste ouvert à tous les vents...
Installer un FW et désactivé NETBios avec TCP/I¨(onglet WINS du NIC concerné) sur le NIC Internet.

En fait, je conseille souvent de le laisser activer (utile sur un LAN pour net send) , ça permet au moins de se rendre compte si le FW n'a pas été désactivé par erreur ou que NetBIOS est bien désolidarisé de TCP/IP sur l'interface web

[Waaaa]

C'est pas des messages net send ??

Elle a un firewall ta copine ?

Ben ça va déja mieux avec le firewall mais ça revient encore c'est énervant en fait ça renvoie un lien disant qu'il faut payer pr plus avoir de spyware lol, j'ai jamais rien payer pr les firewall ou spybot. Le service affichage j'ai essayer mais ils reviennent constament. Modem speed touch usb le vert de BC

[psyko]

C'est pas des messages net send ??

Elle a un firewall ta copine ?

Ben ça va déja mieux avec le firewall mais ça revient encore c'est énervant en fait ça renvoie un lien disant qu'il faut payer pr plus avoir de spyware lol, j'ai jamais rien payer pr les firewall ou spybot. Le service affichage j'ai essayer mais ils reviennent constament. Modem speed touch usb le vert de BC

Il ne suffit pas de faire un net stop messenger car au prochain reboot, le service aura redemarré. Pour l'arreter complètement il faut aller dans la liste des services puis desactiver l'affichage des messages et mettre son démarrage en désactivé.

[Xtof]

Hmmm ! Tout ça me fait penser à un OS de base sans aucun patch de sécurité. Si mes souvenirs sont exact le SP1 corrigeait ce problème.
Il est à craindre que le mal ne soit déjà bien plus profond que cela. Une machine sans protection met au plus 20 minutes avant de chopper des cochonneries

Sit tu veux combler ce trou là uniquement, le site de Gibson fournit un utilitaire (parmis d'autres tout aussi utile) pour remédier a çà ( http://www.grc.com/files/shootthemessenger.exe pour anglophile uniquement)

[Jean-Christophe]

Je suis pour le moment confronté à un problème.
XP SP2 up to date.
Un p'tain de truc s'est installé et démarre régulièrement une fenêtre IE qui affiche un truc du genre de fenêtre windows qui dit "attention, vous risquer de vous chopper un spyware, cliquer ici pour remédier à ce problème"

Bref, je l'ai déjà ce fichu spyware.

Microsoft anti spyware n'y fait rien
Ad'aware Personal SE non plus.

Le problème, c'est que explorer.exe est arreté, donc, plus d'interface.
Il bloque le démarrage du task manager, de regedit, et de tout ce qui pourait être utile.

Bref, je suis dans le caca.

Je veux bien un coup de main...

[RippeR]

'lut,

Redémarre en mode sans échec et poste le log de HijackThis en mode sans échec.

[Jean-Christophe]

Hi Jack, this is the log file

Code : Tout sélectionner

Logfile of HijackThis v1.99.0
Scan saved at 11:26:23, on 23/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX07.906\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.loadingwebsite.com/normal/yyy12.html
O2 - BHO: (no name) - {15FF36AB-C397-7B56-0677-2647780ED3AE} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5388C805-3F4D-12CB-54EB-5195CDA4B73B} - (no file)
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Configuration Loader] spoolss.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Comedy-Planet] C:\Program Files\Comedy-Planet\comedy-planet.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Pirmolin.com
O17 - HKLM\Software\..\Telephony: DomainName = Pirmolin.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Pirmolin.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Pirmolin.com
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: GB-PVR Recording Service -   - c:\program files\devnz\gbpvr\gbpvrrecordingservice.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: SAVRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: kuuufsrwnpxp - Unknown - C:\WINDOWS\system32\ffyzdlpp5.exe

J'espère que ca te mettre sur une piste, merci

[RippeR]

'lut,

Fermer toute instance de IE et OE et supprimer :

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.loadingwebsite.com/normal/yyy12.html
O2 - BHO: (no name) - {15FF36AB-C397-7B56-0677-2647780ED3AE} - (no file)
O2 - BHO: (no name) - {5388C805-3F4D-12CB-54EB-5195CDA4B73B} - (no file)
O4 - HKLM\..\Run: [Comedy-Planet] C:\Program Files\Comedy-Planet\comedy-planet.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dll
O23 - Service: kuuufsrwnpxp - Unknown - C:\WINDOWS\system32\ffyzdlpp5.exe


Ensuite, en ligne de commande exécuter netsh winsock reset catalog

Redémarrer

[Jean-Christophe]

Hello,

Ca va beaucoup mieux, merci.

J'ai toujours un Trojan détecté par MS Anti Spyware.
Je vais essayer d'avoir plus de détails.
Mais bon, j'ai une interface et ca à l'air de ne plus vouloir me casser les pieds, c'est déjà beaucoup.

Tchuss

[Jean-Christophe]

Voilà, 7Xtra.
Au premier reboot, j'avais encore une alerte, un petit scan et hop, tout est bon!

Encore merci