CoolWWWsearch.toolband

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

CoolWWWsearch.toolband

Messagede gabriel » 17 Mar 2005, 10:22

Bonjour a tous,suite à des problèmes rémanents sur mon ordinateur,j'ai installer le pack sp2 et fais la manip.
Mon problème:Spybot trouve a chaque llancement de mon ordinateur coolwwwsearch.toolband ,j'ai beau corriger le problème et vacciner ,il réapparait toujours,ce qui est étonnant ,c'est que spybot le détecte mais pas CWschredder!
Donc voila je sais plus quoi faire ,j'en appelle à vos connaissances.
Merci d'avance!
Je suis sous xp pro ,firefox ,voici le log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 20:04:26, on 16/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\spnpinst.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Battosai\Bureau\Mes documents\logiciels\antivirus et parefeu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\RunServices: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85E9096E-67BF-4AA4-9A67-01F1AF80D7CF}: NameServer = 80.118.192.100 80.118.196.36
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe



un log d'un antivirus en ligne:

Incident Statut Analyse

Adware:Adware/MyCustomIE No Désinfecté C:\WINDOWS\blank.html
Spyware:Spyware/ISTbar No Désinfecté C:\Documents and Settings\Battosai\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\javainstaller.jar-3c936701-71c27666.zip[InstallerApplet.class]
Spyware:Spyware/ISTbar No Désinfecté C:\Documents and Settings\Battosai\Local Settings\Temporary Internet Files\Content.IE5\3MTUSK9M\gamma[1].exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\Documents and Settings\Battosai\Local Settings\Temporary Internet Files\Content.IE5\3MTUSK9M\gamma[1].exe[re11.REG]
Adware:Adware/WUpd No Désinfecté C:\Documents and Settings\Battosai\Local Settings\Temporary Internet Files\Content.IE5\W7834BOD\deds2[1].exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\Documents and Settings\Battosai\Local Settings\Temporary Internet Files\Content.IE5\W7834BOD\deds2[1].exe[re11.REG]
Spyware:Spyware/ISTbar No Désinfecté C:\ie6update3778.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\ie6update3778.exe[re11.REG]
Adware:Adware/WUpd No Désinfecté C:\supdate222.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\supdate222.exe[re11.REG]
Adware:Adware/WUpd No Désinfecté C:\supdate232.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\supdate232.exe[re11.REG]
Adware:Adware/WUpd No Désinfecté C:\supdate282.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\supdate282.exe[re11.REG]
Spyware:Spyware/ISTbar No Désinfecté C:\supdatesp081.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\supdatesp081.exe[re11.REG]
Spyware:Spyware/ISTbar No Désinfecté C:\supdatesp091.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\supdatesp091.exe[re11.REG]
Spyware:Spyware/ISTbar No Désinfecté C:\supdatesp891.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\supdatesp891.exe[re11.REG]
Spyware:Spyware/ISTbar No Désinfecté C:\WINDOWS\blank.html
Adware:Adware/WUpd No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\5B5XCCWF\hempy[1].exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\5B5XCCWF\hempy[1].exe[re11.REG]
Spyware:Spyware/ISTbar No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQJ8L63\cancelled[1].exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQJ8L63\cancelled[1].exe[re11.REG]
Adware:Adware/WUpd No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQJ8L63\hempy[1].exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OPQJ8L63\hempy[1].exe[re11.REG]
Adware:Adware/WUpd No Désinfecté C:\wrdpad2update.exe[blank.html]
Adware:Adware/MediaTickets No Désinfecté C:\wrdpad2update.exe[re11.REG]
gabriel
 
Messages: 4
Inscription: 16 Mar 2005, 20:07

Messagede Vazkor » 17 Mar 2005, 11:21

Bonjour

Tu dois fixer c’est-à-dire cocher pour corriger avec Hijackthis, les lignes suivantes:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe Pas dangereux mais inutile.

O4 - HKLM\..\Run: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE Ajouté par SBot Worm
O4 - HKLM\..\RunServices: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe
Nom pseudos aléatoires. Quad on trouve trois ou plus inscriptions dans la base de registre pour une même application, c'est pratiquement toujours une malveillance

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE Un vrai crampon signé MS qui ne fait que dévorer unutilement des ressources

Rappel important sur la mise en œuvre d'une correction ("Fix") via HijackThis:
Tout ceci doit être fait
-**- après avoir désactivé TeaTimer de Spybot-S&D s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items" dans "Config"),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).
-**- toujours en mode sans échec, exécuter les logiciels anti-virus, anti-spyware et anti-trojan (CWShredder, Spybot-S&D, Ad-Aware, ...).
-**- toujours en mode sans échec, vider la corbeille, le cache d'IE et les fichiers temporaires.

Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet) en précisant si le problème est toujours là.
Penser à réactiver la restauration système lorsque le problème est résolu (si Windows ME/XP).
Penser à réactiver TeaTimer de Spybot-S&D (si désactivé précédemment).

Détruire manuellement tous les fichiers signalés par l'antivirus en ligne.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede nickW » 17 Mar 2005, 11:29

Bonjour,

Pourrais-tu:
1/ Exécuter Spybot-S&D
-**- après avoir désactivé TeaTimer s'il est actif (lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer),
-**- après avoir désactivé la restauration système si Windows ME/XP (voir ICI),
-**- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer, IE-->Outils-->Options Internet...-->Supprimer les fichiers-->OK), ou en vidant les dossiers
C:\Documents and Settings\ton-profil\Local Settings\Temporary Internet Files\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temporary Internet Files\
-**- après avoir supprimé les fichiers temporaires (il est possible pour cela d'utiliser Spybot-S&D, voir ICI), sinon il faut vider les dossiers
C:\Windows\Temp\ (pour Windows 95/98/Me/XP) ou C:\Winnt\Temp\ (pour Windows NT/2000)
C:\Documents and Settings\ton-profil\Local Settings\Temp\
C:\Documents and Settings\tous-les-autres-profils\Local Settings\Temp\
-**- après avoir vidé la corbeille,
-**- après avoir fermé toutes les fenêtres (Explorateur, Internet Explorer, autres programmes),
-**- en mode sans échec (voir ICI).

2/ Exécuter CWShredder toujours en mode sans échec,

3/ Lancer un balayage complet par ton antivirus toujours en mode sans échec,

4/ Exécuter stinger 2.5.3 toujours en mode sans échec
http://vil.mcafeesecurity.com/vil/averttools.asp

5/ Redémarrer en mode normal, puis renvoyer un nouveau log en réponse à ce message (pas de nouveau sujet).

A bientôt,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Invité » 17 Mar 2005, 17:11

merci a vous nickW et vaskor de votre aide et d'avoir répondu si rapidement :D .alors je vous poste le nouveau log de hijadk:

Logfile of HijackThis v1.99.1
Scan saved at 16:48:50, on 17/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\Mixer.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\system32\spnpinst.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Battosai\Bureau\Mes documents\logiciels\antivirus et parefeu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85E9096E-67BF-4AA4-9A67-01F1AF80D7CF}: NameServer = 80.118.196.40 80.118.192.110
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

Je sais pas pourquoi sunjava est encore la,alors que je l'ai bien coché!

Sinon y 'a du progrés,pas de nouvelle de www.coolwebsearch et hier lorsque j'ai utilé trend en antivirus en ligne il trouvait 15 infections maintenant il en reste plus que 3:
1 virus dénnomé java-openstr.a
2 pour troj-startpge.ak

Par contre l'antivirus en ligne n'arrive pas a les remove ,iet je ne sais pas quell fichier supprimer mannuellement car il me donne pas leur localisation dans leur répertoire en entier.
Ex pour java il me dit C:Windows\System32\config\system profile\local settings et pis rien d'autres or il ya plusieurs dossiers et j'ai peur d'effacer quelque chose d'important(je dois avouer que je n'y connai rien) :shock:
Invité
 

Messagede Vazkor » 17 Mar 2005, 21:13

Bonjour,

Il te reste quelques lancements parfaitement inutiles dont:

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER Inutile au démarrage. D'ailleurs je me pose fortement des questions sur l'utilité de ce f* Real Player.
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime Inutile ne sert qu'à accélérer le lancement de Quick Time quand on en a besoin.

Je n'ai réinstallé aucunes de ces "choses" sur mon nouveau système et je ne m'en porte pas plus mal. Seuls les plugins pour le navigateur sont vraiment utiles.

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
Il faut désactiver la recherche de mises à jour de Java de Sun, qui sont inutiles, puisque rarement urgentes et qu'elles n'ont lieu de deux ou trois fois par an.
Le plus simple est de passer par le Panneau de configuration, cliquer sur la tasse de café et aller dans l'onglet Update, décocher la case correspondant aux mises à jour automatiques.
Il suffit d'y retourner de temps en temps, si on y pense, et de cliquer sur Check now (ou Update now) pour faire la mise à jour manuellement.

Pour les autres il faudra vérifier pavec la startup list de Pacman.

Bien plus grave! Je vois que la vraie saloperie est toujours là
O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe
Il faut arrêter ce processus avec le gestionnaire de tâches, supprimer cette clé et effacer ce fichier.
Essaie de fixer cette ligne avec HijackThis et vérifie qu'elle a bien été supprimée en faisant un nouveau scan après avoir redémarré.
Sinon, il faudra y aller manuellement, avec regedit. Mais c'est plus risqué.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede gabriel » 18 Mar 2005, 08:00

voila le dernier log en date :

Logfile of HijackThis v1.99.1
Scan saved at 07:49:03, on 18/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\Program Files\Logitech\ImageStudio\LogiTray.exe
C:\WINDOWS\Mixer.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\Java\JRE15~1.0\bin\java.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Documents and Settings\Battosai\Bureau\Mes documents\logiciels\antivirus et parefeu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.9online.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85E9096E-67BF-4AA4-9A67-01F1AF80D7CF}: NameServer = 80.118.192.100 80.118.196.36
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

Donc a priori l'affaire est dans le sac,je n'ai plus aucun problème apparent dans le fonctionnement de mon ordinateur,cependant il me reste un problème:
L'antivirus en ligne repère toujours une infection,son nom : JAVA_OPENSTR.A ,selon housecall c'est une variante de TROJ_ISTBAR
this Java Class malware downloads a file named ISTDOWNLOAD.EXE from a certain Web site.
Mais house call n'arrive pas à le supprimer,y a t'il une solution?

Désolé d'être chiant,mais en tout cas c'est vraiment super d'aider les nuls comme vous le faites a s'en sortir @+++
gabriel
 
Messages: 4
Inscription: 16 Mar 2005, 20:07

Messagede nickW » 18 Mar 2005, 08:20

Bonjour,

Pourrais-tu:
1/ Vérifier que ta machine affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/vo ... caches.php
2/ Lancer une recherche du fichier ISTDOWNLOAD.EXE sur tous les disques
S'il est trouvé, le supprimer
3/ Faire Démarrer ---> Paramètres ---> Panneau de configuration ---> Java PLug-in ---> onglet Cache ---> Effacer
4/ Relancer un balayage par TrendMicro Housecall

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede gabriel » 18 Mar 2005, 10:53

et bien meme si je n'ai pas trouver ISTDOWNLOAD.EXE,le dernier scan de house call ne l'a pas trouver :D
Un grand merci pour m'avoir aidé,ca fait plaisir d'avoir une machine "clean"
Sur ce @+++
gabriel
 
Messages: 4
Inscription: 16 Mar 2005, 20:07

Messagede nickW » 18 Mar 2005, 10:56

Re-Bonjour,

As-tu fait ceci:
Faire Démarrer ---> Paramètres ---> Panneau de configuration ---> Java PLug-in ---> onglet Cache ---> Effacer


Merci pour ta réponse, qui pourra aider d'autres internautes en proie à l'anxiété. :Mouaaarrrrffffffff:

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede gabriel » 18 Mar 2005, 11:16

non j'ai pas fait çca ,car je n'ai pas java plug in dans le panneau de configuration mais seulement java,donc j'ai fait :
java , général , supprimer les fichiers internet temporaires et pis j'ai scanné!et voila plus rien....
gabriel
 
Messages: 4
Inscription: 16 Mar 2005, 20:07

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 17 invités